GabrielForzza
Usuario
Solá descartó un acercamiento entre Massa y Macri de cara a octubre "Son especulaciones ingenuas e imposibles, el 12 de junio cerraron las alianzas", sostuvo el candidato a gobernador del Frente Renovador. Recordó que Macri "no se animó" a una gran interna opositora: "Nos desairó" Una vez consumadas las PASO comenzó a cobrar fuerza la posibilidad de un acercamiento entre los dos candidatos presidenciales opositores más votados: Mauricio Macri y Sergio Massa. Ambos dirigentes cruzaron llamados telefónicos luego del comicio y hablaron públicamente de "diálogo". Sin embargo, esta tarde Elisa Carrió –junto a Macri en conferencia de prensa– dijo de manera tajante que para las elecciones generales de octubre "quedaron solo dos candidatos, el del oficialismo, Scioli, y el de Cambiemos, Macri". Ahora, y en la misma línea que Carrió, el flamante candidato a gobernador bonaerense del Frente Renovador, Felipe Solá, se mostró escéptico en torno a un posible acercamiento entre Massa y Macri. "Hay que entender una cosa, el 12 de junio cerraron las alianzas. Esto ya está jugado, estas especulaciones que aparecen son ingenuas e imposibles, se hubiese pensado en junio", aseveró. Al respecto, Solá recordó que el massismo era impulsor de una gran interna opositora, una idea que no fue aceptada por Macri. "Fuimos desairados por Macri, que no se animó, nosotros nos animábamos, ahora ya fue", afirmó en declaraciones a Radio Mitre. Para Solá, el rechazo de Macri a esa interna de toda la oposición estaba vinculado con un tema de "antiperonismo", ya que la mayoría de los dirigentes del Frente Renovador vienen de esa fuerza. "Macri quería dividir peronistas y antiperonistas, casi una guerra étnica", ironizó al respecto. Más allá de esto, y de cara al futuro, Solá consideró que ahora "las cartas se reparten de nuevo" y el desafío está en "ver quién crece más de cara a octubre, incluido Scioli". "Nosotros sentimos que hay espacio para trabajar y seguir creciendo", concluyó.
Los 10 empresarios Tech mas ricos del mundo Bill Gates, fundador de Microsoft, lidera la primera lista Forbes de los multimillonarios tecnológicos. Juntos, los 100 más ricos tienen una fortuna de u$s842.900 millones. El 94% creó su propia compañía La lista muestra que 51 de las 100 fortunas tecnológicas más elevadas del mundo corresponden a magnates con sede en Estados Unidos, 33 en Asia y ocho en Europa. De acuerdo con la revista, la fortuna total de las 100 personas asciende a u$s842.900 millones, siendo el mínimo exigido para formar parte de esta lista una fortuna de u$s2.000 millones. Bill Gates que durante mucho tiempo ha sido, o casi, la persona más rica del mundo, está a la cabeza de este grupo con una fortuna estimada en u$s79.600 millones, seguido por el fundador de Oracle, Larry Ellison, con u$s50.000 millones. La sorpresa fue el fundador de Amazon, Jeff Bezos, en tercera posición, cuya fortuna aumentó u$s13.000 millones este año gracias al ascenso de la empresa, lo que le otorga un valor total de u$s47.800 millones, según Forbes. El fundador de Facebook, Mark Zuckerberg, se sitúa en cuarta posición con un valor de u$s41.200 millones, seguido por los fundadores de Google, Larry Page (u$s33.400 millones) y Sergey Brin (u$s32.800 millones). En séptima posición esta el fundador de Alibaba, Jack Ma, con u$s23.200 millones (el más rico de los diez chinos de la lista), y en octava posición Steve Ballmer, ex jefe ejecutivo de Microsoft, con u$s22.700 millones. Laurene Powell Jobs, viuda del cofundador de Apple, Steve Jobs, ocupa la séptima posición con u$s21.400 millones, y el fundador de la compañía de computadoras y servidores Dell, Michael Dell, en décimo puesto con u$s19.400 millones. La viuda de Jobs es la más rica de las mujeres del grupo, donde la edad media es de 53 años, una década más joven que la media de la lista total de los millonarios del mundo, según la revista. El más joven es el fundador de Snapchat, Evan Spiegel, que con 25 años tiene una fortuna de u$s2.100 millones, y el más anciano el cofundador de Intel, Gordon Moore, de 86 años, cuya fortuna asciende a u$s6.000 millones. De los 100 multimillonarios de la lista, 94 crearon sus propias compañías, tres heredaron las fortunas y otros tres heredaron fortunas y las expandieron con éxito.
Cómo votar múltiples veces con el sistema Vot.AR este domingo en Buenos Aires (Argentina) Este domingo en Argentina van a tener lugar las elecciones a Jefe de Gobierno de la ciudad autónoma de Buenos Aires, en las que se van a utilizar un sistema de votación electrónico denominado Vot.AR. Ayer, un grupo de investigadores de seguridad no solo publicaba los fallos que tiene el sistema, sino una demostración de cómo es posible utilizar papeletas manipuladas para conseguir engañar al sistema y votar varias veces con una sola boleta de votación. Este es el trabajo, y si alguien comenzara a utilizarlo, podría acabar como la controversia que hubo en EEUU con las primeras elecciones gubernamentales en las que ganó Georg Bush (hijo) en el año 2004. Ataque a sistema de voto electrónico Vot.Ar (BUE) permite sumar multiples votos con una sola boleta. Introducción El sistema de voto electrónico vot.ar escogido para las elecciones locales de la ciudad de Buenos Aires, inspeccionado por la Facultad de CIencias Exactas y Naturales de la UBA a solicitud del Tribunal Superior de Justicia de la ciudad,permite alterar los resultados del escrutinio en cada mesa. El domingo 5 de julio del 2015 se realiza por primera vez en la Ciudad de Buenos Aires una elección empleando un sistema de voto electrónico. Son muchas las polémicas que genera tanto a nivel legal como técnico en el ámbito de la seguridad informática. Durante semanas previas a las elecciones, un grupo de entusiastas de la seguridad informática intentamos ofrecer nuestra ayuda por diferentes medios teniendo innumerables reuniones con responsables y políticos, todas ellas en vano. Nuestro objetivo era la realización de un informe sobre los aspectos físicos, lógicos y procedimentales de seguridad que fuera totalmente independiente y por sobre todo, no partidario. Simplemente desde la posición de un ciudadano más. Ante la falta de colaboración, nuestro último recurso fue la recolección de información pública en internet y la utilización para realizar pruebas de los puestos públicos de capacitación. Este documento demuestra uno de los errores de seguridad más graves encontrados, que permite que cualquier elector malintencionado deposite una boleta en la urna con un chip grabado para alterar el resultado del escrutinio provisorio. Descripción e impacto del Ataque Multivoto El presidente de mesa entrega a cada votante inscrito en el padrón una boleta. Esta contiene un tag de identificación por radiofrecuencia (RFID), compuesto de un circuito integrado (“chip”) y una antena. Mediante las máquinas de Vot.Ar, el elector elige los candidatos de su preferencia, y esta selección se graba en el chip y se imprime en la boleta, que es luego depositada en una urna tradicional. Al finalizar los comicios, el presidente de mesa abre la urna y comienza el conteo de los votos empleando la misma máquina vot.ar mediante otra función del programa. Para efectuar el conteo: * Apoya la boleta en la máquina -> se contabiliza un voto. * Apoya la próxima boleta -> se contabiliza otro voto. Y así hasta finalizar el recuento. El software de la máquina de voto (PC corriendo sistema operativo Ubuntu 14.04) no permite restar votos al recuento sin volver a cero. Durante nuestra investigación descubrimos que este proceso no está correctamente implementado, y a través de un error de programación es posible grabar el chip mediante un simple smartphone de forma que contenga múltiples votos a un mismo candidato. Cuando el presidente apoye la boleta en la máquina, ocurrirá lo siguiente: Una boleta con chip -> se contabilizan múltiples votos. Demo link: https://www.youtube.com/watch?v=JzFHaPqoLZQ Detalles técnicos El pseudo-código del programa que lee y cuenta los votos es: class Selection(object): ... def from_string(TAGcontent): datatag = parse(TAGcontent) ... candidates = [] for e in datatag.vote: party_code = e["party"] category_code = e["category"] candidate = CandidateClass.get(category_code, party_code) candidates.append(candidate) Primero se leen los datos del chip de la boleta y se almacenan en la variable datatag. Después se interpreta la selección y se agrega a la lista candidatos. El código NUNCA verifica si hay más de un voto para el mismo candidatopor elector, y tampoco limita un número máximo de votos por boleta. La función parse() falla también en verificar los datos de forma alguna. Luego, la clase "Count()" suma los votos. Este es el pseudo-código: class Count(object): ... def add_selection(self, selection, RFIDserial=None): if not RFIDserial or not self.serial_exists(RFIDserial): for candidate in selection.candidates: self.results[candidate.party_code, candidate.category_code] += 1 if RFIDserial: self._RFIDserials.append(RFIDserial) ... else: raise RepeatedSerial() Aquí la lista que contiene los múltiples votos es agregada a la variable 'results'. Nuevamente, no hay mecanismo alguno que detecte votos repetidos. Falla de Recuento Este problema podría haberse subsanado en la fase de recuento de votos asegurándose de que la suma de votos coincida con la cantidad de boletas. Como puede verse en la siguiente fotografía de la impresión, esta verificación no se realiza: La máquina emite acta con un total de votos a Jefe de Gobierno mayor al total general. Prueba de concepto Hemos intentado hacer llegar nuestra preocupación sobre la fragilidad de este sistema y alertar sobre los riesgos a diferentes autoridades sin éxito. Fracasada esta opción, nuestra responsabilidad como ciudadanos y como practicantes de la seguridad informática nos obliga a publicar esta información para que autoridades de mesa y fiscales estén alerta durante el recuento. El error detectado no es único, sino un ejemplo de un problema lógico en una de las funciones principales del sistema. Su constatación hace evidente que los programas no fueron auditados conforme a las reglas del arte, en particular para una aplicación que es crítica en la ejecución de un proceso fundamental de la democracia. La información que permite reproducir este “ataque de boleta multivoto” ya se ha hecho pública por diversos medios. Como medida paliativa, no publicaremos código que facilite la creación de boletas fraudulentas hasta después de transcurrida la elección. Estamos a disposición de las autoridades, los partidos y/o periodistas que estén interesados en comprobar la vulnerabilidad que se describe en este documento. Solución Paliativa La solución de fondo de este problema es no emplear sistemas de emisión del sufragio por medios informáticos. Estos agregan nuevas posibilidades de ataques y fraudes sin solucionar ninguno de los problemas característicos de nuestro sistema electoral que no pueda ser resuelto con la boleta única de papel. El sistema fue impuesto de forma apresurada, sin educación apropiada a los ciudadanos ni las autoridades y sin una auditoría de código exhaustiva, como claramente deja en evidencia este ejemplo de error de programación. Por otra parte, la experiencia internacional muestra que todo sistema de voto electrónico, más temprano que tarde, ha resultado vulnerable a alguna forma de ataque. Como paliativo, recomendamos enfáticamente a los presidentes de mesa y a los fiscales realizar la contabilidad boleta por boleta haciendo énfasis en la impresión por sobre la información del chip. Es indispensable asegurarse de que la cantidad de boletas coincide exactamente con los votos contados por la máquina. Con carácter más general, pero no menor importancia, recomendamos no confiar en los resultados generados por la máquina vot.ar, ya que aunque no hubiera sido manipulada maliciosamente, la aparición de este grueso error ante una inspección limitada en tiempo y medios permite inferir una programación deficiente y el probable surgimiento de otros errores críticos. Aconsejamos desarrollar un procedimiento manual en paralelo, ejecutado por las autoridades de mesa y los fiscales del mismo modo que históricamente se ha ejecutado para las elecciones convencionales. LLEVAR CALCULADORA PARA CONTROLAR EL ACTA En la medida de nuestras posibilidades desarrollaremos una aplicación móvil para detectar el ataque en las boletas electrónicas. Recomendación Durante nuestra investigación, notamos que la forma y el estilo de la programación del sistema no parece realizada bajo los estrictos estándares que requieren aplicaciones de infraestructura crítica. Durante nuestra investigación no pudimos determinar si este y otros errores de seguridad encontrados son intencionales o se deben a la torpeza de los programadores y falta de adecuados procesos de control de calidad del software. Desde el campo de la seguridad de los sistemas de información. evaluamos que los riesgos que introduce el voto electrónico en términos de errores accidentales o ataques maliciosos a gran escala y fáciles de encubrir superan con holgura los beneficios reales o percibidos de la automatización de un paso crítico del sistema electoral. Se ha generalizado la creencia que todo sistema social puede ser migrado a un sistema de computadoras, y que esto implica automáticamente una mejora en términos de agilidad y economía, sin ninguna contrapartida. Existen ciertas aplicaciones, con requerimientos críticos de seguridad informática, privacidad y usabilidad, para los cuales la tecnología actual aún no puede dar respuesta. Estos sistemas son complejos y a mayor complejidad, mayor es el riesgo de falla. La comunidad académica y la industria aún no saben cómo hacer máquinas y sistemas seguros de este tipo. Por esta razón, la buena intención de explorar la migración tecnológica del sistema de votación debe estar englobada en un proyecto que incluya múltiples iteraciones de análisis y retroalimentación con los diversos actores de la comunidad. Ningún avance técnico debe debilitar la democracia. Adhieren: Alfredo Ortega Ivan Ariel Barrera Oro Enrique Chaparro Fernando Russ Francisco Amato Javier Smaldone Juliano Rizzo Nicolas Waisman Sergio Demian Lerner Y gente de la Internet.. El Autor del Contenido no es mio es de Chema Alonso
Sin embargo, la tranquilidad no ha durado mucho, puesto que tan solo un par de días después de que Adobe solucionase la primera vulnerabilidad, aparecían noticias de una nueva vulnerabilidad 0-day en Adobe Flash usada por Hacking Team para realizar sus actividades. Ahora mismo, el código que permite fabricar un exploit propio para esta vulnerabilidad se encuentra disponible de forma pública, permitiendo a los cibercriminales utilizarlo de forma maliciosa para instalar malware en equipos de forma remota. Adobe ha publicado un boletín de seguridad donde avisa de las versiones afectadas. Estas son: * Adobe Flash Player versión 18.0.0.203 y anteriores para Windows y Mac OS * Adobe Flash Player versión 18.0.0.204 y anteriores para Linux instaladas junto a Google * Adobe Flash Player Extended Support Release versión 13.0.0.302 y versiones 13.x anteriores para Windows y Mac OS * Adobe Flash Player Extended Support Release versión 11.2.202.481 y versiones 11.x anteriores para Linux Medidas de seguridad preventivas En el momento de escribir estas líneas aún no se ha publicado ningún parche de seguridad por parte de Adobe . Esto, unido al hecho de que el código del exploit ya ha sido integrado en el conocido Framework Metasploit, hace que millones de usuarios en todo el mundo estén expuestos a un ataque que se aproveche de esta vulnerabilidad. No obstante, existen medidas preventivas que podemos tomar hasta que se publique un parche de seguridad por parte de Adobe . Quizás la más obvia sea desinstalar Flash temporalmente y, si bien en entornos corporativos puede ser incluso hasta recomendable, a los usuarios domésticos puede que no les haga tanta gracia que páginas como YouTube no se carguen correctamente. También tenemos a nuestra disposición la herramienta gratuita EMET de Microsoft, que nos ayuda a prevenir la explotación de vulnerabilidades de seguridad como la que acabamos de comentar. EMET genera capas de seguridad adicionales que un atacante debe sortear si quiere explotar una vulnerabilidad en el sistema, por lo que nunca está de más. Asimismo, los antivirus están constantemente actualizándose para detectar nuevas amenazas que intenten aprovecharse de esta vulnerabilidad, y algunos, como las soluciones de seguridad de ESET, incluyen mecanismos de bloqueo de exploits que permiten bloquear un ataque como los que ya se están realizando utilizando esta segunda vulnerabilidad 0-day en Flash en menos de una semana. Conclusión Por si no había quedado claro aún, las vulnerabilidades en Flash Player son, a día de hoy, uno de los vectores de ataque preferidos por los ciberdelincuentes para comprometer fácilmente los sistemas de los usuarios. Es por eso que, con la rapidez con que aparecen nuevas vulnerabilidades, resulta crucial estar informado y tomar medidas que eviten poner en riesgo la valiosa información que almacenamos en nuestro sistema. ara comprender mejor qué es un 0-day, no se pierdan nuestro video sobre exploits:
La compañía dedicada en ofrecer hackeos a instituciones gubernamentales recibió una dosis de su propia medicina. En el mundo hay empresas que se dedican a trabajos de dudosa legalidad. HackingTeam, una compañía italiana, es una de esas. Sus labores incluyen evadir la seguridad computacional, adquirir información relevante de los objetivos, descifrar datos seguros, entre otras actividades dignas de grupos de hackers anónimos. Entre los clientes de HackingTeam se encuentran agencias y gobiernos como Corea del Sur, Arabia Saudita, Líbano, Mongolia, Rusia, Sudán, entre otros. O, al menos, eso es parte de la información que ha sido filtrada, según información publicada en CSOOnline. Eso, a pesar de que ellos mismos dicen que no hacen tratos con países que están en las listas negras de los Estados Unidos, la Unión Europea o las Naciones Unidas. Sus actividades son tan desleales, que incluso, para Reporteros Sin Fronteras, es una empresa Enemiga del Internet. Además de los clientes de esta compañía italiana, la información filtrada incluye 400GB de contenido confidencial, código fuente de sus productos y comunicaciones por email. Para rematar, sus redes sociales fueron hackeadas y se publicaron mensajes de burla hacia los métodos y prácticas de HackingTeam, dichos mensajes ya fueron eliminados, pero la velocidad de respuesta de HackingTeam fue de risa, pues por al menos 6 horas las cuentas estuvieron en manos de los hackers. Hackers hackeando hackers. Y en este caso particular, aplaudo este ataque a una empresa que realiza prácticas de espionaje y tienen el descaro de presumirlo. Los dejo con el siguiente video que explica como HackingTeam se gana la vida… Sin palabras... link: https://www.youtube.com/watch?v=R63CRBNLE2o Como dato adicional, Chile es el país que ha firmado el contrato más grande con HackingTeam, de acuerdo al usuario en Twitter Christopher Soghoian. El Link de descarga de los 400gb no lo pongo por que no se si es legal descargar ese material.