AMD revela la nueva serie Radeon E9170

Se trata de la primera GPU discreta con una arquitectura basada en Polaris disponible en el formato compacto de módulo multi-chip (MCM) para diseños eficientes en energía. Es ideal para ambientes con restricciones térmicas, como juegos de casino, imágenes médicas, señalización digital, militar y aeroespacial, y control industrial y automatización.

Los mercados verticales están evolucionando para requerir gráficos de alta calidad, bajo consumo de energía y complejas capacidades de cómputo debido a las tecnologías avanzadas y expectativas. AMD está atendiendo directamente a estas demandas con su más nueva serie E9170.

Según afirmó el fabricante, esta flamante serie brinda rendimiento revolucionario por vatio y una flexibilidad de múltiples pantallas con gráficos de 4K. Es ideal para ambientes con restricciones térmicas como juegos de casino, imágenes médicas, señalización digital, militar y aeroespacial, y control industrial y automatización.

Desde AMD destacan que la GPU de la serie E9170 es ideal para dispositivos que requieren gráficos de primera calidad y capacidades de visualización ampliadas, al tiempo que cumplen con exigentes demandas de potencia y eficiencia térmica.

La GPU AMD Embedded Radeon E9173, basada en la arquitectura “Polaris”, aprovecha un proceso de fabricación FinFET optimizado de 14nm para proporcionar hasta 3 veces el rendimiento por vatio sobre las generaciones anteriores de GPUs AMD incorporadas, informó.

Al ofrecer TDP sub-40W en un paquete pequeño, AMD permite una gama más amplia de productos, agregando un nuevo nivel de escalabilidad a la cartera de GPU de AMD Radeon Power-Efficient Embedded. Con soporte para hasta cinco pantallas 4K simultáneas, la GPU Serie E9170 elimina virtualmente la necesidad de procesadores adicionales. Además, la opción de seleccionar entre módulos MCM, MXM y PCI Express aumenta la flexibilidad de diseño y minimiza la complejidad.

“Los desarrolladores continúan imponiendo los límites de lo que es posible para sistemas embebidos, exigiendo más rendimiento, más características y más opciones de diseño, todo ello reduciendo significativamente el consumo de energía. En el nivel de la GPU, es fundamental proporcionar soluciones versátiles que no comprometan el rendimiento gráfico o las capacidades de visualización múltiple 4K “, dijo Colin Cureton, director of Product Management, AMD Enterprise Solutions.

Descripción del producto

  • FinFET de 14nm de alto rendimiento: HEVC, HDMI 2.0, DisplayPort 1.43
  • Ocho unidades de cómputo (CUs) y perfil de potencia sub-40W
  • 35W de potencia total de placa y 1,2 TFLOPS de pico de precisión simple
  • Brinda hasta 3X de rendimiento por vatio en comparación con los productos heredados de AMD en esta categoría
  • Diseño MCM permite más dispositivos integrados de baja potencia
  • Perfil de potencia sub-40W y puede alimentar hasta cinco pantallas independientes con gráficos 4K nítidos
  • La longevidad planificada de siete años asegura la continuidad de soporte para los productos de ciclo de vida largo

Oracle anunció su Servicio de Nube de Plataforma de IA

En el marco del Oracle Oracle OpenWorld, que se está llevando a cabo en San Francisco, presentó la expansión de su oferta de Inteligencia Artificial (IA). El objetivo es ayudar a los desarrolladores a “crear e implementar rápidamente servicios empresariales innovadores”.

“Con este anuncio, Oracle permite a los desarrolladores y científicos de datos configurar un entorno escalable y seguro para nuevos modelos de aprendizaje profundo en la Nube de manera más rápida y fácil”, afirma la compañía.

Oracle Cloud se diseñó especialmente para optimizar el entrenamiento a través de modelos al aprovechar los datos empresariales esenciales de los clientes y operar en una red de alta velocidad, almacenaje de objetos y GPU líderes en la industria.

Las instancias de la Nube de Plataforma de IA de Oracle tienen preinstalados marcos de aprendizaje profundo, herramientas y bibliotecas de IA familiares como Caffe, Jupyter Notebook, Keras, NymPy, scikit-learn y TensorFlow, entre otros. Los practicantes del aprendizaje automático también tienen acceso al Almacenamiento de Objetos de la compañía y pueden conectarse fácilmente a clusters de Spark/Hadoop existentes.

“La IA tiene el poder de ser más transformativa para la empresa que cualquier otra tecnología en la historia reciente”, comentó Amit Zavery, vicepresidente sénior de desarrollo de productos de la Plataforma de Oracle Cloud. “Oracle se encuentra en la posición única de proporcionar IA en todas las capas de la Nube, empoderando a los clientes para descubrir y liberar patrones de negocios críticos en sus datos empresariales con el fin de transformar la productividad, eficiencia y perspectivas de la organización”.

La compañía comunicó que este Servicio de Nube de Plataforma de IA opera en Infraestructura de Oracle Cloud de clase mundial optimizada para el mejor rendimiento y proporción precio-rendimiento para ejecutar aplicaciones especializadas de aprendizaje profundo. La capa de infraestructura diferenciada incluye almacenamiento flash NVMe y las mejores GPU de su clase en una red de 25 gigabits para un rendimiento extremo.

Según informó, en una prueba comparativa estándar de la industria, Oracle tuvo un rendimiento 2x mejor que la instancia de GPU más grande de Azure y mostró una relación precio-rendimiento 2.4x mejorar que su equivalente más cercano en AWS. (1) El Servicio de Nube de Plataforma de IA incluye una forma de GPU en el disco duro: 2x GPU P100 de Tesla con base en la Arquitectura Nvidia Pascal y pronto soportará los nuevos GPU Volta con hasta 8 GPU.

Aplicaciones Inteligentes Adaptivas

Oracle también anunció nuevas Aplicaciones Inteligentes Adaptivas que permiten a los usuarios comerciales de toda la organización aprovechar las aplicaciones comerciales modernas basadas en IA.

“Al integrar capacidades de IA directamente dentro de las Aplicaciones existentes de Oracle Cloud, que incluyen la Nube de Planificación de Recursos Empresariales, la Nube de Gestión de Capital Humano, la Nube de Gestión de Cadena de Suministro y la Suite de Nube de Experiencia del Cliente de Oracle, eliminamos la necesidad de más integraciones y otros procesos costosos y prolongados”, aseguró.

Otras nuevas soluciones y servicios basados en IA que se develaron o expusieron en Oracle OpenWorld incluyen la Nube Móvil de Oracle que incluye IA conversacional a través de bots para automatizar las interacciones humanas utilizando lenguaje natural, sentimientos, habla, imágenes y aprendizaje automático; la Nube de Base de Datos Autónoma que incluye aprendizaje automático para permitir almacenamiento y OLTP de datos autogestionado y autoreparador para mejorar la seguridad y la escalabilidad; la Nube Analítica, que permite a los analistas utilizar técnicas de aprendizaje automático para visualizar mejor los datos y comprender patrones sin tener que convertirse en científicos de datos; y la Nube de Gestión y Seguridad de Oracle, que incluye aprendizaje automático integrado para automatizar la detección, prevención y respuesta a fallas de seguridad, anomalías en el rendimiento y vulnerabilidades.

Mas información
https://www.oracle.com/artificial-intelligence/index.html
https://www.oracle.com/openworld/index.html

Google forzará HSTS en los TLD con los que opere

Google avisó durante la semana pasada que obligaría a los 45 TLDs bajo su control a hacer uso de HSTS, aumentando de esta manera la seguridad en todos sus dominios.

 All requests use HTTPS when HSTS is enforced

HSTS (HTTP Strict Transport Security) fuerza el uso de HTTPS en las conexiones a los servidores, un punto clave en la estrategia de cifrado web.

Esta politica de seguridad web establecida para evitar ataques que puedan interceptar comunicaciones, no solo fuerza el protocolo HTTPS en todas las conexiones -incluso si el usuario utiliza HTTP-, sino que también previene otros ataques como el secuestro de cookies o el downgrade. Segun palabras del ingeniero de Google Ben Mcllwain, el uso de HSTS a nivel de TLD permite que los dominios sean seguros por defecto.

Google avisó que comenzaría a aplicar esta politica con los dominios pertenecientes a los TLD .foo y .dev. Por tanto, aquellos que registren con Google un TLD con HSTS implementado contarán con seguridad garantizada para su sitio web. Sólo necesitarán registrar un TLD seguro y un certificado SSL.

El uso de HSTS es importante porque inutiliza ataques como Logjam y Poodle, los cuales permiten a atacantes experimentados degradar las conexiones SSL a estados más vulnerables. Por ejemplo, Logjam permite rebajar la seguridad del grado de exportación del certificado de 2048-bit a 512-bit, permitiendo a un atacante leer tráfico supuestamente seguro en dicha conexión. Por su parte, Poodle ataca implementaciones SSLv3 y permitiendo a los atacantes recuperar en texto plano las comunicaciones de red.

Ya en agosto de 2016, Google forzó en su dominio HSTS para mantener a sus usuarios seguros incluso cuando hacian click sobre enlaces http. Esto permitió mejorar la seguridad no solo en el motor de búsqueda, sino también en servicios como Alerts, Analytics y Maps.

Google to enforce HSTS on TLDs:

Try Catch Stack Overflow

Interesante estudio de varios investigadores del Virginia Tech, en el que ponen en entredicho la calidad del código que podemos encontrar en sitios como StackOverflow y similares, desde el punto de vista de la seguridad.

Todo aquel que ha tenido que tirar alguna que otra línea de código (programar), se habrá encontrado en una situación en la que necesitaba la ayuda de alguien para soslayar un problema determinado. “¿Cómo implemento una conexión SSL?”, “¿Cómo hago para comprobar la validez de un certificado x.509?”, “¿Por qué no estudié gastronomía en vez de informática?”.

A menudo, un golpe de buscador nos arroja un listado de recursos sobre los que indagar en la implementación que “encaje” en nuestro código y lo haga funcionar. Sobre esta suerte de mecanismo de consultoría exprés se ha abusado tanto que incluso algunos gestores han llegado a creer que programar se reduce a buscar un trozo de código y pegarlo en un editor de texto (naturalmente, el Notepad).

Esa creencia, tanto por parte de la dilatada imaginación de algunos gestores como de la poca pericia de algunos junta-palabras-reservadas, hace que se construya una falsa concepción de lo que significa el sacro arte del diseño y programación de computadores digitales basados en la arquitectura Von Newmann (o en la Harvard). Es tan de chiste la cosa, que incluso existen libreríasque atrapan una excepción y te buscan la traza en StackOverflow para que directamente copies la mejor respuesta. Verlo para creerlo.

Imagen de: https://github.com/gautamkrishnar/tcso

¿Cuál es el problema?

Basado en el estudio sobre las preguntas y respuestas dadas en torno al lenguaje y plataforma Java, los investigadores han encontrado multitud de errores en respuestas populares que contienen vulnerabilidades de seguridad. El problema, señalan, no se encuentra en las librerías usadas –que no deja de ser reutilización legítima de código-, sino en que estas no se usan de forma segura, dando lugar a la exposición de riesgo por falta de pericia en su uso.

Hay ejemplos de todo tipo, como sugerir deshabilitar la protección contra ataques CSRF del framework Spring para resolver un problema en la autenticación o auténticas chapuzas glorificadas acerca de la implementación correcta de criptografía en la aplicación, como la generación de claves sin la entropía adecuada o uso de algoritmos ya desfasados y retirados desde hace mucho, mucho tiempo.

No nos confundamos. StackOverflowes un recurso maravilloso para un programador; incluso debería tener su propia festividad en el calendario. En el puedes encontrar librerías, consejos, experiencias y algoritmos que jamás hubieses encontrado de no ser porque un colega ya lo ha hecho antes que tú. Lo que realmente sugieren en este estudio es que todo, absolutamente todo, ha de ser pasado por el filtro del sentido común y la capacidad crítica de cada uno. Herramientas que parecen inmunes ante el virus de la prisitis urgentia.

Cuando ves una respuesta que tiene más de 10 años en la que se hace uso del hash MD5 para almacenar hashes de contraseñas, es evidente que no es la respuesta adecuada. Hemos de ser precavidos, levantar el pie del acelerador y observar con detenimiento tareas que son críticas y podrían devenir en quebraderos de cabeza en un futuro. No en vano, existe código escrito que no ha pasado a revisión en décadas, con vulnerabilidades que estaban allí y de las que nadie se percató.

Más información:

Secure Coding Practices in Java: Challenges and Vulnerabilities:

[PDF] https://arxiv.org/pdf/1709.09970.pdf

El nuevo sistema operativo macOS ‘High Sierra’ se estrena con una grave vulnerabilidad

El fallo en cuestión permite a cualquier aplicación robar las contraseñas del ‘keychain’ sin conocimiento del usuario.

El descubridor de esta brecha de seguridad ha sido el experto informático ‘Patrick Wardle’, el cuál asegura que no va revelar el funcionamiento del fallo hasta que la famosa marca lo corrija.

‘Patrick’ trabajó como hacker de la NSA, y actualmente ocupa el puesto de Jefe de investigación de seguridad en la firma ‘Synack’.

En su Twitter explica que cualquier aplicación instalada en el sistema  puede acceder al llavero haciendo un ‘bypass’ sobre cualquier componente de seguridad que tenga nuestro equipo.

Normalmente ninguna aplicación puede acceder al contenido del ‘keychain sin que el usuario introduzca la contraseña principal.

Tweet de ‘Patrick Wardle’ mostrando las evidencias de la vulnerabilidad

El mismo investigador, aconseja a todo usuario de la marca, que hasta que el fallo no sea corregido, no se debe instalar ninguna aplicación que venga de fuentes desconocidas o que no este firmada. Recomienda el uso de ‘Gatekeeper’ para mantener un mayor control de estas aplicaciones que instalamos.

Tweet recomendando el uso de ‘Gatekeeper’
Wardle’ además, ha subido una prueba de concepto del exploit demostrando como una aplicación maliciosa, firmada o sin firmar, permite al atacante robar todas las contraseñas del llavero de manera remota.
Esperemos que Apple no tarde mucho en arreglar este fallo el cuál ha eclipsado en parte al resto de mejoras en seguridad que traía con el nuevo sistema.


Más información:
 
Perfil de Twitter de ‘Patrick Wardle’:

Tu corazón podría sustituir a tus contraseñas

Un grupo de científicos de la Universidad de Buffalo, en Nueva York, han desarrollado un nuevo sistema de autentificación cardíaco que utiliza la forma y tamaño del corazón como único identificador biométrico.

Extraída del Proyecto ‘Cardiac-Scan

Este nuevo sistema de autentificación usa un ‘Doppler’ a bajo nivel para mapear de forma inalámbrica y continua las dimensiones de tu corazón latiendo. La primera vez que utilizas el escáner tarda alrededor de 8 segundos, a partir de entonces, el sistema reconoce tu corazón de manera ininterrumpida.

La forma de trabajo de este nuevo sistema es la siguiente:

  •  Al llegar a tu puesto de trabajo, tu equipo detecta el latido de tu corazón y se desbloquea de manera automática sin necesidad de contraseña o alguna otra interacción.
  • Al alejarte del dispositivo, el ordenador deja de detectar tu corazón latiendo y bloquea el equipo.

Los investigadores aseguran que la forma y las pulsaciones de nuestros corazones son únicas y pueden ser muy útiles para la autenticación y desbloqueo de dispositivos. De esta manera, tendríamos un sistema biométrico mucho más fiable que la huella dactilar o el escáner de iris.

En cuanto a los riesgos de salud que puede generar este dispositivo, los investigadores aseguran que es mucho menor que el de las señales Wi-Fi o cualquier otro sistema de autentificación. 

‘Wenyao Xu’, del Departamento de Ciencias de la computación e Ingeniería nos explica:

Vivimos en ambiente rodeado de señales Wi-Fi, y este nuevo sistema es tan seguro como esos dispositivos. El lector tiene una potencia de alrededor de 5 milivatios, es incluso menos del 1% de la radiación de nuestros teléfonos inteligentes.“.

A día de hoy, este sistema no es del todo práctico debido a su enorme tamaño. Los investigadores ya trabajan para conseguir unas dimensiones aplicables a las esquina de un teclado de ordenador o a los ‘smartphones‘.

Uno de los errores de seguridad que presenta el dispositivo es una de sus virtudes, la facilidad de desbloqueo. Cualquier persona podría usar tu ordenador desbloqueado siempre que te encuentres lo suficientemente cerca del mismo. Desde la Universidad de Buffalo ya trabajan en una solución al problema.

Tendremos que estar atentos para ver como avanza este proyecto y ver si puede llegar a ser una alternativa real a la cada vez más anticuadas contraseñas.

Más información:
 
Documentación oficial ‘Cardiac-Scan‘:

Vulnerabilidad en Apple Quarantine permite ejecutar codigo arbitrario

Un investigador de wearesegment descubre una vulnerabilidad en OS X que permite bypassear Apple Quarantine y la ejecutar código arbitrario sin restricciones.

Ejecución de código remoto aprovechando la vulnerabilidad.

La caracteristica Quarantine esta diseñada con el fin de proteger a los usuarios de ataques y archivos maliciosos, introduciéndolos en una cuarentena en caso de ser sospechosos o peligrosos. Quarantine funciona estableciendo un atributo extendido para los archivos descargados y aquellos extraidos de archivos comprimidos. Este atributo comunica al sistema que abra o ejecute estos archivos en un entorno restringido. Por ejemplo, un archivo .html en cuarentena no permitirá cargar recursos.

La vulnerabilidad esta presente en un archivo HTML que forma parte del núcleo de OS X y que es propenso a recibir ataques DOM XSS permitiendo la ejecución de código JavaScript arbitrario en un contexto sin restricciones. A continuación, podemos observar un video donde se muestra la vulnerabilidad en acción:

El archivo vulnerable se puede encontrar en /System/Library/CoreServices/HelpViewer.app/Contents/Resources/rhtmlPlayer.html

De momento Apple no ha asignado CVE a esta vulnerabilidad y no se menciona en ningun changelog de la misma. La unica solución de momento es actualizar a OS X High Sierra o eliminar rhtmlPlayer.html

Fernando Díaz
fdiaz@hispasec.com
@entdark_
Más información:
 
Mac OS X Local Javascript Quarantine Bypass:

 

Por noreply@blogger.com (Fernando Díaz)

30/09/17

Tu corazón podría sustituir a tus contraseñas

Un grupo de científicos de la Universidad de Buffalo, en Nueva York, han desarrollado un nuevo sistema de autentificación cardíaco que utiliza la forma y tamaño del corazón como único identificador biométrico.

Extraída del Proyecto ‘Cardiac-Scan

Este nuevo sistema de autentificación usa un ‘Doppler’ a bajo nivel para mapear de forma inalámbrica y continua las dimensiones de tu corazón latiendo. La primera vez que utilizas el escáner tarda alrededor de 8 segundos, a partir de entonces, el sistema reconoce tu corazón de manera ininterrumpida.

La forma de trabajo de este nuevo sistema es la siguiente:

  •  Al llegar a tu puesto de trabajo, tu equipo detecta el latido de tu corazón y se desbloquea de manera automática sin necesidad de contraseña o alguna otra interacción.
  • Al alejarte del dispositivo, el ordenador deja de detectar tu corazón latiendo y bloquea el equipo.

Los investigadores aseguran que la forma y las pulsaciones de nuestros corazones son únicas y pueden ser muy útiles para la autenticación y desbloqueo de dispositivos. De esta manera, tendríamos un sistema biométrico mucho más fiable que la huella dactilar o el escáner de iris.

En cuanto a los riesgos de salud que puede generar este dispositivo, los investigadores aseguran que es mucho menor que el de las señales Wi-Fi o cualquier otro sistema de autentificación. 

‘Wenyao Xu’, del Departamento de Ciencias de la computación e Ingeniería nos explica:

Vivimos en ambiente rodeado de señales Wi-Fi, y este nuevo sistema es tan seguro como esos dispositivos. El lector tiene una potencia de alrededor de 5 milivatios, es incluso menos del 1% de la radiación de nuestros teléfonos inteligentes.“.

A día de hoy, este sistema no es del todo práctico debido a su enorme tamaño. Los investigadores ya trabajan para conseguir unas dimensiones aplicables a las esquina de un teclado de ordenador o a los ‘smartphones‘.

Uno de los errores de seguridad que presenta el dispositivo es una de sus virtudes, la facilidad de desbloqueo. Cualquier persona podría usar tu ordenador desbloqueado siempre que te encuentres lo suficientemente cerca del mismo. Desde la Universidad de Buffalo ya trabajan en una solución al problema.

Tendremos que estar atentos para ver como avanza este proyecto y ver si puede llegar a ser una alternativa real a la cada vez más anticuadas contraseñas.

Más información:
 
Documentación oficial ‘Cardiac-Scan‘:

Publicada la píldora formativa Thoth 48: ¿Cómo se oculta información con esteganografía?

Se ha publicado en el canal YouTube de la UPM la píldora formativa 48 del proyecto Thoth que lleva por título “¿Cómo se oculta información con esteganografía?”

El procedimiento para ocultar información utilizando una técnica esteganográfica, dependerá mucho del estegomedio elegido. Se entiende por estegomedio el recurso utilizado para ocultar información, por ejemplo, una imagen digital, un audio, un vídeo, un protocolo de comunicación, una página web, un texto, etc.

Independientemente del estegomedio utilizado, uno de los procedimientos comúnmente utilizados consiste en identificar información redundante. Información que puede ser modificada sin afectar al contenido del estegomedio.

Recuerda que todos los vídeos del proyecto Thoth cuentan con un archivo srt original de subtítulos incluido en YouTube, muy importante para personas con limitaciones auditivas, así como un archivo podcast mp3 que puede descargarse desde el sitio web del proyecto, válido en este caso tanto para personas con limitaciones visuales como para quienes deseen realizar solamente la audición de estas lecciones.

Se puede acceder a la documentación en pdf, el podcast en mp3 y también al vídeo de esta nueva píldora y de las 47 píldoras anteriores, desde la página web del Proyecto Thoth, que te permite, además, una búsqueda mediante los siguientes cinco filtros:

  1. Fundamentos de seguridad
  2. Criptografía clásica
  3. Historia de la criptografía
  4. Matemáticas en criptografía
  5. Criptografía moderna.

La próxima entrega del proyecto Thoth será en noviembre de 2017, con la píldora número 49 de título ¿Por qué pueden utilizarse las curvas elípticas para cifrar? y con guión hecho por los doctores Víctor Gayoso Martínez y Luis Hernández Encinas.

Exfiltración de información en redes aisladas

Las redes aisladas son aquellas que no están conectadas físicamente con otras redes a propósito, por motivos de seguridad. Ilustramos técnicas usadas para evadir esta medida de seguridad.

Extraída de progressny.com

Es una medida clásica en entornos críticos, de alta seguridad. Las redes aisladas (air-gapped networks) ponen en práctica un hecho evidente: No puedes introducir o extraer información de una red (o nodo de ésta) a través de otra red a la que se encuentre conectada, si no hay red a la que se encuentre conectada. A pesar de lo radical que resulta la medida (los problemas de comunicación que puede tener una red aislada), esto tampoco garantiza que no se introduzca o extraiga información de la red, sólo que no se puede hacer a través de otra red a la que se encuentre conectada. A continuación comentamos algunas formas curiosas en las que se ha violado la seguridad de redes aisladas.

Uno de los casos más sonados es el de Stuxnet (descubierto en 2010), una amenaza persistente avanzada en forma de troyano financiada y desarrollada conjuntamente por Estados Unidos e Israel, con el fin de atacar centrales nucleares iraníes y retrasar su programa nuclear. El objetivo era alterar los sistemas de control de las centrifugadoras usadas en el enriquecimiento de material radioactivo. El problema es que estos sistemas de control se hallaban en redes aisladas. En este caso, la forma de introducir código que alterase estos sistemas de control fue a través de un malware quese propagaba a través de las memorias USB. Una de éstas habría terminado en manos de algún técnico de mantenimiento de la planta…

Extraída de wonderhowto.com

El caso de Stuxnet es un caso de comprometer una red aislada desde fuera, pero… ¿qué pasa si quieres extraer información de al red aislada? Para ello, nos remontamos dos años atrás, a Fanny. Este malware ya fue detectado cuando salió, en 2008, pero se etiquetó como una versión común de malwareque infectaba ordenadores a través de memorias USB. Pero la parte “divertida” de Fanny fue descubierta en 2014, cuando investigadores crearon una detección sobre el código de exploit de Stuxnet, y se encontraron con que detectaba un viejo troyano de 2008.

Aquí la historia se vuelve interesante, y es que Fanny ya usaba parte del código de exploit de Stuxnet (detectado en 2010) en 2008. Cuando investigaron más a fondo la funcionalidad de este troyano, descubrieron que estaba especializado en extraer información de las redes aisladas a través de memorias USB. Según iba infectando máquinas, iba almacenando datos interesantes en la memoria USB de forma oculta. Y en cuanto alcanzaba una máquina con conexión a Internet mandaba todos los datos robados a un servidor de control. A su vez, el servidor de control también podía mandar órdenes a las máquinas infectadas, que las introducirían de vuelta en la memoria USB para su ejecución en máquinas sin conexión a Internet

Extraída de arstechnica.com

Si bien estos casos ya son dignos de Hollywood, todavía hay formas más originales de exfiltrar información en redes aisladas. Otro caso llamativo es el del mítico malware BadBIOS (mítico porque no hay pruebas concluyentes de su existencia). Entre otras funcionalidades, se le atribuía el poder de establecer comunicación entre máquinas infectadas a través de ultrasonidos, usando los altavoces y los micrófonos de las máquinas como emisores y receptores. Técnicamente es posible, que conste… De hecho, un reciente estudio llamativamente titulado aIR-Jumper demuestra que es posible hacer lo mismo con cámaras de vigilancia con visión infrarroja. En este caso, el emisor sería el conjunto de luces LED usadas para iluminar el punto a vigilar, y el receptor la misma cámara que puede captar la luz infrarroja.

Como hemos podido observar, la medida de aislar redes no es la panacea(nada lo es en seguridad informática). Es un requisito imprescindible en sistemas realmente críticos que se benefician poco o nada de estar conectados a otras redes. Pero tal y como se ve en algunos de los ejemplos dados en este artículo, no sirve de mucho sin buenas políticas de seguridad que regulen el verdadero punto flaco de los sistemas de información: Las personas que los manejan.

Carlos Ledesma
cledesma@hispasec.com
Más información:
 

Canal encubierto
https://es.wikipedia.org/wiki/Canal_encubierto

El grupo de espionaje Sednit ataca redes seguras aisladas
https://www.welivesecurity.com/la-es/2014/11/11/grupo-espionaje-sednit-ataca-redes-aisladas/

Spying on Keyboard Presses with a Software Defined Radio
https://www.rtl-sdr.com/spying-keyboard-presses-software-defined-radio/

Hear that? It’s the sound of BadBIOS wannabe chatting over air gaps
http://www.theregister.co.uk/2013/12/05/airgap_chatting_malware/

Oracle anuncia nuevos programas de soluciones en la Nube

Si bien las organizaciones están ansiosas por trasladarse a la Nube, muchas no lo han hecho debido a obstáculos que los han obligado a elegir entre contar con flexibilidad o enfrentar menores costos.  Se han visto retados por la complejidad que ven en las soluciones en la Nube y la incapacidad de balancear los gastos entre distintos servicios. Las organizaciones también han sido detenidas por la limitada visibilidad y control sobre los gastos en la Nube. Hasta ahora, han sido incapaces de aprovechar plenamente sus inversiones de software para trasladarlas a la Nube, habiéndose visto limitados a servicios IaaS (infraestructura como servicio) o sacrificando características clave de base de datos en la capa de PaaS (plataforma como servicio).  Los nuevos programas de Nube de Oracle responden a los desafíos de adopción de la Nube que enfrentan los clientes al mejorar y simplificar la manera en la que compran y consumen servicios de Nube.

Oracle Database PaaS

Actualmente, los clientes pueden trasladar sus licencias a IaaS de Oracle. Ahora, Oracle expandirá la oferta al permitir a los clientes reutilizar sus licencias de software existentes en  PaaS de Oracle, lo que incluye Oracle Database, Oracle Middleware, Oracle Analytics y otros. Los clientes con licencias existentes pueden aprovechar esa inversión para migrar a Oracle Database Cloud a una fracción del costo del antiguo precio de PaaS. Ejecutar Oracle Database en IaaS de Oracle es más rápido y ofrece más características que Amazon, proporcionando el costo total de propiedad más bajo de la industria. Adicionalmente, los clientes pueden reducir aún más los costos administrativos y operativos que requiere el mantenimiento en las instalaciones al beneficiarse de esta automatización de PaaS.

Créditos universales

Oracle presentó Universal Credits (Créditos universales), el modelo más flexible de compra y consumo de servicios de Nube de la industria. Con estos créditos universales, los clientes tienen un contrato sencillo que proporciona acceso ilimitado a todos los servicios actuales y futuros de PaaS y IaaS de Oracle, que abarcan Oracle Cloud y Oracle Cloud at Customer.  Los clientes obtienen acceso on-demand a todos los servicios, además del beneficio del menor costo que ofrecen los servicios prepagados.  Asimismo, cuentan con la flexibilidad para actualizar, expandir o mover servicios entre distintos centros de datos dependiendo de sus requisitos. Con los créditos universales, los clientes obtienen la capacidad de cambiar los servicios PaaS o IaaS que están utilizando sin tener que notificar a Oracle. Además, se beneficiarán de utilizar nuevos servicios con su conjunto existente de créditos de Nube, una vez que dichos servicios estén disponibles.

Las nuevas opciones de Universal Credits y Bring Your Own License to PaaS de Oracle estarán disponibles a partir del 25 de septiembre de 2017. Estos programas abarcan Oracle Cloud y Oracle Cloud at Customer.