Mostrando las entradas para la consulta JAVA ordenadas por fecha. Ordenar por relevancia Mostrar todas las entradas
Mostrando las entradas para la consulta JAVA ordenadas por fecha. Ordenar por relevancia Mostrar todas las entradas

miércoles, 13 de marzo de 2019

EE.UU. suspende vuelos de Boeing 737 MAX 8 y MAX 9

"El presidente de Estados Unidos, Donald Trump, anunció este miércoles que la Administración Federal de Aviación (FAA, por sus siglas en inglés) suspenderá "de manera inmediata" el uso de los modelos de avión 737 MAX 8 y MAX 9 de Boeing" (BBC).

Estados Unidos en el último de una importante serie de países en suspender vuelos del Boeing 737 MAX 8, involucrado en las tragedias en el mar de Java y Etiopía. En total, 56 países han prohibido volar a estos aviones, mientras que aerolíneas de otros 10 han adoptado la misma decisión, aunque las autoridades nacionales de tráfico aéreo no se hayan pronunciado.

Visto en YouTube, vía Euronews

"En la mañana del miércoles se filtró a medios locales un informe que detallaba varias quejas de pilotos de aerolíneas estadounidenses sobre supuestos desperfectos en los mecanismos de control de los 737 MAX 8" (BBC).

Aunque aún se investigan las causas, trascendió que la similitud entre ambos accidentes y las "fallas técnicas" en el primero han situado al software de la aeronave en el foco mediático.

Según ha informado BBC, "el Boeing 737 MAX 8 es una versión actualizada del 737 que está en uso comercial desde apenas el año 2017.

Una de las diferencias con el modelo anterior es que el conocido como sensor de "ángulo de ataque" y el software conectado al mismo funcionan de manera distinta.

El software de control de vuelo es un sistema denominado MCAS (Maneuvering Characteristics Augmentation System). Fue desarrollado por Boeing expresamente para el 737 MAX 8 y el MAX 9.

Boeing dice que ese software "no controla la aeronave en vuelos normales", sino que "mejora una parte de su comportamiento en condiciones operativas no normales".

También señala que MCAS se implementó en los aviones para mejorar su manejo y su tendencia a inclinarse en ángulos de ataque elevados.

Pero los investigadores del accidente de Indonesia descubrieron que el sensor que el software del avión pudo haber activado un sistema "anticalado", anulando los controles manuales. Eso habría podido resultar en que la nariz del avión se inclinara hacia el suelo"(BBC).

Mundo.es ha informado que "la prohibición de los vuelos del 737 MAX tiene connotaciones que van más allá de la seguridad aérea. Por una parte, la prohibición del uso de su espacio aéreo por esos aparatos afecta directamente a las aerolíneas estadounidenses. Southwest - una línea área de bajo coste de EEUU - es el mayor comprador del mundo del aparato, con 31 unidades en servicio y otras 249 encargadas, según datos del mes de febrero de Boeing. La mayor aerolínea del mundo, la también estadounidense American Airlines, tiene en total 24 unidades de este avión, y espera la entrega de otras 76. Eso implica que, potencialmente, las aerolíneas estadounidenses podrían verse obligadas a no usar tener que cambiar los aviones que usan en sus vuelos a Canadá y desviarlos a rutas domésticas. En los vuelos a México lo tienen más fácil, toda vez que ese país no ha decidido que los MAX no son seguros, aunque la aerolínea de bandera, Aeromexico, si ha decidido dejar de emplearlos.

Además, las empresas de transporte aéreo canadienses también emplean el MAX. Air Canada tiene 23 en servicio y ha pedido otros 61, y Jetlines ha comprado 5, aunque no ha recibido ninguno todavía.

lunes, 11 de marzo de 2019

Boeing 737 MAX 8

Boeing tiene un muy mal día, enfila el que sería su mayor desplome en dos décadas en Wall Street, superior al 10%, con una pérdida superior incluso a los 25.000 millones en términos de capitalización. El segundo accidente de un Boeing 737 MAX 8 desata un desplome bursátil sin precedentes. El avión de Ethiopian Airlines cayó el domingo minutos después de haber despegado del aeropuerto de la capital etíope.

Las dudas sobre la seguridad del Boeing 737 MAX 8 han surgido tras que, en octubre pasado, un avión de la compañía Lion Air se precipitara en el mar de Java doce minutos después de despegar de Yakarta. Del registro de las grabadoras la investigación dijo que el accidente se debió a fallos en el sistema automático, algo que se había repetido en los últimos cuatro vuelos y que la compañía aseguró haber solventado.

La investigación aún no ha llegado a ninguna conclusión final sobre la causa de aquel desastre.

Visto en YouTube, vía Euronews
"El Comité Nacional de Seguridad del Transporte de Indonesia indicó el año pasado que el vuelo 610 de Lion Air experimentó un "registro erróneo" de uno de sus sensores diseñados para alertar a los pilotos en caso de que el motor del avión corra el riesgo de pararse" (BBC).

"En el MAX 8 el sensor y el software conectado funcionan de manera diferente a los modelos anteriores del 737, pero en aquel momento los pilotos no habían sido informados de ello" (BBC).

Ethiopian Airlines informó que decidió “dejar en tierra toda la flota” de Boeing 737 MAX 8, tras la tragedia de ayer domingo de unos de sus aviones poco después de despegar de Adís Abeba con rumbo a Nairobi. Ethiopian Airlines señaló que recuperó las "cajas" registradoras de voz y y de vuelo y que aún no se conoce la causa del accidente.

Según ha publicado la agencia Reuters, "el regulador de aviación de China dejó en tierra el lunes a cerca de 100 aeronaves Boeing Co 737 MAX 8 operadas por sus aerolíneas, lo que supone más de una cuarta parte de la flota mundial de este modelo, después del accidente de uno de sus aviones en Etiopía".

La Administración de Aviación Civil de China (CAAC) "dijo que notificaría a las aerolíneas cuándo podrían reanudar los vuelos después de ponerse en contacto con Boeing y la Administración Federal de Aviación de Estados Unidos (FAA) para garantizar la seguridad".

El Boeing 737 MAX 8 es la última versión del aparato de fuselaje estrecho de Boeing que entró en servicio en 2017.

La serie 737 MAX se ofrece en cuatro longitudes de fuselaje, ofreciendo típicamente desde 138 a 230 asientos y una alcance de 3215 a 3825 millas náuticas. El 737 MAX 7, MAX 8 y MAX 9 reemplazan respectivamente al 737-700, -800 y -900, y se ofrece una longitud adicional con el 737 MAX 10.

El MAX 8 reempla al 737-800 con un fuselaje más largo que el MAX 7. Boeing planeó mejorar su alcance de 3515 millas náuticas (6510 km) a 3610 mn (6690 km) después de 2021. Su primer vuelo comercial fue operado por Malindo Air el 22 de mayo de 2017 entre Kuala Lumpur y Singapur.

Noticia en desarrollo.

___________________
NOTA: Las cookies de este sitio se usan para personalizar el contenido y los anuncios, para ofrecer funciones de medios sociales y para analizar el tráfico. Además, compartimos información sobre el uso que haga del sitio web con nuestros partners de medios sociales, de publicidad y de análisis web. Ver detalles.
IMPORTANTE: Todas las publicaciones son sin fines comerciales ni económicos. Todos los textos de mi autoría tienen ©todos los derechos reservados. Los contenidos en los link (vínculos) de las notas replicadas (reproducidas) y/o citadas son de exclusiva responsabilidad de sus autores. Éste blog ni su autor tienen responsabilidad alguna por contenidos ajenos.

jueves, 1 de diciembre de 2016

Sobre la falta de personal en information technology IT

BOOTCAMPS: ASÍ ES COMO LAS EMPRESAS SUPLEN LA FALTA DE PERSONAL EN IT.
Por Debora Slotnisky, publicado por INFOTECHNOLOGY.

LOS BOOTCAMPS DE PROGRAMACIÓN SIRVEN PARA SENTAR LAS BASES Y LANZAR NUEVOS PROFESIONALES AL MERCADO EN TIEMPO RÉCORD. LOS CASOS LOCALES DE UNA TENDENCIA GLOBAL.

A medida que las organizaciones dependen cada vez más del software, se incrementa la demanda de programadores. La situación se agrava por la proliferación de empresas de e-Commerce y compañías del sector tecnológico que se basan en el trabajo de los coders. A mayor demanda, hay que trabajar en la oferta. Y el problema de déficit entre los profesionales de IT es conocido y de escala global: hay pocos profesionales con conocimientos de programación. Según el estudio “Employer Branding”, de la consultora Randstad, para 2050 habrá 35 millones de puestos no cubiertos sólo en Europa debido a la escasez de perfiles de ingenieros en general y especialistas en nuevas tecnologías, como expertos en e- Commerce, marketing digital, desarrolladores web y de aplicaciones móviles.

La Argentina no es la excepción. En 2015, la exportación de servicios vinculados a soluciones y soporte de IT generó US$ 6.500 millones en divisas para el país. En parte, se debe al crecimiento (en torno del 8 por ciento) de exportaciones con respecto al año previo, según datos de Argencon, entidad conformada por empresas prestadoras de servicios basados en el conocimiento, relacionadas con los mercados externos. Y en un año de pérdida generalizada de empleo, el sector del software es de los pocos que florece: planea crear 7.000 nuevos empleos de acá a fin de año. Este sector tiene 81.800 profesionales, según la Cámara de la Industria Argentina del Software (Cessi).

Para intentar dar respuesta a esta problemática, en 2012 comienzan a surgir en Estados Unidos los denominados Coding Bootcamps o Coding Schools. Son centros que imparten cursos intensivos de entre 8 y 20 semanas de programación web y móvil, aunque también los dan vinculados al mundo digital en temáticas como User Experience (UX) y Data Science, por mencionar sólo algunos. Los programas se basan en tecnologías de punta y las clases se dan bajo la guía de profesionales experimentados que enseñan con el foco puesto mucho más en la práctica que en la teoría. Entre los más conocidos están General Assembly, Dev Bootcamp, FullStack Academy y The Data Incubator.

“En ese momento, teníamos dos problemas muy diferentes pero complementarios: Por un lado, más de la mitad de los graduados universitarios recién egresados estaban subempleados o sin trabajo, mientras que las empresas de software estaban en auge, pero luchando por encontrar suficientes programadores calificados para seguir creciendo. En este contexto, Hack Reactor nace para enseñar a programar de manera rápida a alumnos que inmediatamente después de graduarse necesitaban insertarse laboralmente”, cuenta a INFOTECHNOLOGY Shawn Drost, gerente Comercial y cofundador de Hack Reactor, uno de los bootcamps más populares.

Pero no sólo se encargan de la inserción laboral. Otro factor clave para el desarrollo de estos centros es el costo, ya que realizar uno de estos cursos es más económico que pagar una universidad privada. A modo de ejemplo, Sherif Abushadi, profesor de Dev Bootcamp, explica que su centro tiene varios campus en Estados Unidos. “Los planes de estudio son idénticos en todas nuestras sedes. Pero la cuota no, por la diferencia del costo de vida entre una ciudad y otra.” En San Francisco y Nueva York la matrícula es de US$ 13.950, mientras que en Chicago, San Diego, Seattle y Austin, es de US$ 12.700. Para tener una referencia, asistir a una universidad puede costar unos US$ 30.000 al año.

En un contexto desfavorable para el empleo, el sector IT crece

En Europa, el segundo bootcamp que comenzó a funcionar es IronHack. Gonzalo Manrique, uno de sus fundadores, cuenta: “Abrimos en octubre de 2013 con 12 alumnos. Para 2015 estimamos tener 350 entre las sedes de Madrid, Barcelona y Miami, y para el 2017 la proyección es tener casi 750 estudiantes”. Manrique dice que el 95 por ciento de sus alumnos consigue empleo como junior developer dentro de los primeros 90 días de haber egresados. “Si bien se inician en puestos básicos, pueden ir avanzando de acuerdo con sus habilidades y motiva ciones”, señala, y agrega que las organizaciones más interesadas por estos perfiles son aquellas que buscan personas para que tengan su primer empleo.

La voz de las firmas empleadoras

martes, 22 de noviembre de 2016

Se agranda Oracle Corporation y adquiere DynDNS

Una de las mayores empresas de software conocida principalmente por sus soluciones de bases de datos y por el lenguaje de programación Java, Oracle Corporation adquirió a DynDNS (Dynamic Network Services, Inc.), la compañía de Internet de los Estados Unidos, dedicada a soluciones de DNS en direcciones IP dinámicas, que fuera ciberatacada el pasado 21 de octubre. En realidad fueron varios ciberataques masivos que bloquearon una parte fundamental de la infraestructura de Internet.

Imagen de Oracle
Se ha informado que Oracle, que ofrece desde hace tiempo soluciones cloud a través de su plataforma, concretamente Infrastructure-as-a-Service (IaaS) y Platform-as-a-Service (PaaS), ha querido ampliar su catálogo con ésta adquisición, y con la misma se posiciona como un componente crítico para muchas empresas de Internet.

DynDNS brinda servicios a unos 3.500 sitios y maneja diariamente 40.000 millones de decisiones de optimización de tráfico.

Oracle planea agregar la solución DNS, de DynDNS, a su plataforma de cloud computing, que provee una variedad de productos de Infraestructura como Servicio (IaaS) y Plataforma como Servicio (PaaS), en competencia con empresas como Amazon AWS.

En julio pasado se conoció que Oracle compró por US$9.300 millones del editor NetSuite, uno de los pioneros de la informática en la nube. La operación de compra, que debería concluir a fines de año en caso de recibir el aval de las autoridades de la competencia de Estados Unidos y de los accionistas de NetSuite, debería tener un efecto positivo inmediato sobre los resultados de Oracle.

A principios de noviembre, Oracle inauguró su primer Centro de Innovación para toda Latinoamérica, ubicado en sus oficinas de Buenos Aires. Desde el Centro de Innovación se trabajarán proyectos transformacionales e innovadores de Big Data, Internet of Things y Smart Cities para diferentes industrias como retail, banca, media, telcos y Manufacturing. Además, permitirá mostrar soluciones innovadoras utilizando tecnología propia a través de casos de uso y proyectos piloto.-


Prevéngase del Aedes aegypti, el mosquito de la fiebre amarilla, del dengue, de la chikunguña, de la fiebre de Zika y el Virus Mayaro. Cuide su salud y la de los suyos. Asesórese como ayudar a combatir el Aedes aegypti. Comience con las medidas preventivas


___________________ Nota: Las cookies de este sitio se usan para personalizar el contenido y los anuncios, para ofrecer funciones de medios sociales y para analizar el tráfico. Además, compartimos información sobre el uso que haga del sitio web con nuestros partners de medios sociales, de publicidad y de análisis web. Ver detalles.

jueves, 21 de mayo de 2015

Hay un déficit cada vez más grande de programadores senior

Desde 2003, el sector IT incrementó sus ventas, y sus exportaciones crecieron notablemente. Pero las universidades sólo cubren cerca de la mitad de la demanda de ingenieros en sistemas. Como conseguir este tipo de profesionales es difícil, las empresas se esfuerzan por "fidelizarlos" y retenerlos con beneficios impensados en otros rubros. Así y todo la demanda es insatisfecha.

Según informa la Cámara de Empresas de Software y Servicios Informáticos de la República Argentina (CESSI), continúa el crecimiento del empleo de la industria SSI argentina.

Más códigos y programación
Foto: "Más códigos y programación", de Jorge S. King ©Todos los derechos reservados, en Flickr

Programadores senior, los más buscados del "universo IT": cobran sueldos de gerentes y fijan sus propias condiciones.
Por Cecilia Novoa, publicado en iProfesional - Management.

En el "submundo" que hoy representan tanto las áreas de Sistemas de las empresas como las firmas tecnológicas dentro del mercado laboral, estos perfiles se posicionan como los más disputados entre las compañías. El déficit cada vez es más grande. Encima, ahora la competencia también viene de afuera.

En el "submundo" que representan tanto las áreas de Sistemas de las empresas como las firmas tecnológicas -conocidas como "software factory"- dentro del mercado laboral, los programadores senior se posicionan como los perfiles más buscados y disputados entre las compañías.

Así surge de reciente una reciente encuesta realizada por EducaciónIT, instituto dedicado a capacitación en las principales tecnologías de la información, entre las empresas para entender cuáles son las posiciones más requeridas, y qué tipo de lenguaje de programación era el más solicitado a la hora de contratar personal.

Ante la pregunta "¿Cuál es la posición que su empresa más demanda dentro de Sistemas?", el 42% respondió programador, el 18% dijo analista funcional y el 9%, soporte técnico. El 31% restante eligió puestos como administrador de redes o analista de base de datos.

También se les consultó acerca de qué lenguaje de programación era el más requerido, punto en el que las respuestas fueron diversas:
  • El 20% dijo priorizar a quienes sepan Java,
  • El 19%, PuntoNet 
  • El 17%, JavaScript
  • El 15% eligió PHP 
  • El 29% restante se dividió entre lenguajes como SAP y ASP, pero en porcentajes menores.

Las estadísticas de esta encuesta -respondida por 500 empleadores que habitualmente se acercan a Educación IT para contratar personas capacitadas o envían a sus colaboradores a formarse ratifican las tendencias que plantea la Cámara de Empresas de Software y Servicios Informáticos (CESSI).

En diálogo con iProfesional, Sebastian Divinsky, director del centro de estudios, aseguró que "en el mercado de IT la situación es cada vez peor. Cuanto más compleja es la tecnología para la que se buscan recursos, más se reduce el universo de gente disponible."

Y diferenció: "Ante una búsqueda para un desarrollar básico, sobran los candidatos, hay para elegir, pero el problema aparece cuando se necesitan perfiles senior, avanzados, que sean productivos desde el día cero y que trabajen bien y solos, que resuelvan cualquier tema. De éstos casi no hay, se los sacan entre las empresas y muchas veces se los lleva el mejor postor."

Por eso -enfatizó- es que los programadores senior de lenguajes que se están usando ahora -como Java, PuntoNet, o web- están percibiendo salarios similares a los de un gerente. "Con apenas 26 años, estos perfiles pueden ganar unos $30.000 en la mano, pero un desarrollar junior cobra lo mismo que un empleado de comercio", remarcó.

A su vez, contó Divinsky, para aceptar una propuesta laboral exigen un sinfín de condiciones y beneficios (horarios flexibles, mayor cantidad de días de vacaciones y la cobertura de gastos diversos, entre otros) y le prestan particular atención a las posibilidades de capacitación y desarrollo que les ofrezca la compañía que busca atraerlos.

Así, cuando los programadores eligen una oferta de trabajo no solo lo hacen en base al salario. Según el director de EducaciónIT, ellos tienen un miedo en común: entrar en algún lugar donde se queden estancados tecnológicamente como, por ejemplo, suele suceder en los bancos.

"Buscan que el desafío sea interesante y proyectos cambiantes, con versiones actualizadas, que les permitan capacitarse, no quedarse en un lugar trabajando siempre con la misma tecnología", explicó. 

Dada la escasez de estos perfiles, la formación universitaria completa no es hoy un requisito excluyente. De hecho, remarcaron desde EducaciónIT, hay ingenieros recibidos que no tienen buen perfil. Por lo general, se trata de chicos que hicieron toda la carrera sin trabajar, apoyados económicamente por sus padres, que llegaron a egresarse pero que no cuentan con la experiencia necesaria para resolver los problemas de las empresas. 

Lo primordial, para las compañías, es captar recursos con cuenten con los conocimientos, la expertise, que tengan la mente preparada y que capten y aborden rápidamente los requerimientos. Estos perfiles son los que más rapido avanzan.

La competencia también es externa

Como si la competencia entre las firmas locales fuera poca, cada vez más programadores trabajan de manera independiente para empresas del exterior. 

"El idioma para programar, en cualquier parte del mundo, es el inglés. Por eso, se postulan en bolsas de empleo de Estados Unidos y de países europeos y son contactados por Internet. Tienen reuniones virtuales, trabajan en proyectos puntuales, de manera remota y desde la comodidad de sus casas", explicaron en EducaciónIT.

Muchos cobran incluso sus honorarios en dólares en Uruguay para evitar que los mismos sean convertidos al tipo de cambio oficial. Se abren una cuenta y viajan a Colonia o Montevideo una vez por mes para retirar el dinero en efectivo, detalló Divinsky. 

Y concluyó: "Esto se está llevando mucha gente. Es que, en Estados Unidos, por ejemplo, a este tipo de perfil le pueden estar pagando entre u$s2.500 y u$s3.000 mensuales, que a casi $13 por dólar les da un salario enorme." / Por Cecilia Novoa, publicado en iProfesional - Management.--

Todas las fotografías con Todos los derechos reservados por Jorge S. King© 2006-2015 Absténgase de utilizarlas.

lunes, 6 de enero de 2014

Un kit exploit ataca a miles de usuarios de Yahoo

Un ataque de malware afecta a miles de usuarios de Yahoo
Por  Faith Karimi y Joe Sutton para CNN.

(CNN) – Un ataque de malware (software malicioso) contra el servidor de publicidad de Yahoo en los últimos días afectó a miles de usuarios en varios países, dijo una firma de seguridad en internet.

En un entrada de blog, Fox-IT dijo que los servidores de Yahoo estaban liberando un “kit exploit” que explotó las vulnerabiliades en Java e instalaba malware.

“Los clientes que visitaron yahoo.com recibieron publicidades de ads.yahoo.com", dijo la firma. “Algunos avisos publicitarios eran maliciosos”.

Fox-IT, una compañía de Países Bajos, se enfoca en cíberdefensa.

La firma estima que decenas de miles de usuarios fueron afectados cada hora.

“Teniendo en cuenta la tasa típica de infección de 9 %, esto resultaría en alrededor de 27.000 infecciones cada hora”, dijo la compañía. “Con base en la misma muestra, los países más afectados por el kit de exploit son Rumania, Reino Unido y Francia. En este momento no es claro por qué esos países son los más afectados, pero probablemente se debe a la configuración de las publicidades maliciosas en Yahoo”.

Si una computadora infectada con malware es conectada a una red, los atacantes con frecuencia pueden acceder a otros sistemas y servidores conectados.

Yahoo dijo que estaba al tanto de los problemas de seguridad.

“En Yahoo, nos tomamos muy seriamente los temas de seguridad y privacidad”, dijo en un comunicado la empresa el sábado en la noche. “Recientemente identificamos una publicidad diseñada para difundir malware a algunos de nuestros usuarios. Inmediatamente la retiramos y seguiremos monitoreando y bloqueando cualquier aviso usado para esa actividad”.

La firma de seguridad dijo que no se sabe con certeza quién está detrás del ataque, pero parece que fue “con motivos financieros”. No proporcionó más detalles.

La investigación reveló que la primera señal de infección fue el 30 de diciembre. / Por  Faith Karimi y Joe Sutton para CNN.

jueves, 19 de septiembre de 2013

Microsoft publica parche temporal para Internet Explorer

Visto en Wikipedia
Microsoft ha publicado un parche temporal, como "Fix it" "CVE-2013-3893 MSHTML Shim Workaround" si bien esta solución solo sirve para versiones 32-bit del navegador. Visite http://support.microsoft.com/kb/2887505.

Se informa que el parche no pretende ser un sustituto de la actualización de seguridad, que seguramente se publicará posteriormente a través de un boletín en el ciclo habitual de actualizaciones.

El fallo, con CVE-2013-3893, "podría permitir la ejecución remota de código si un usuario accede a una web específicamente creada. La vulnerabilidad reside en el acceso por Internet Explorer a objetos en memoria que han sido eliminados o incorrectamente asignados por el motor de representación HTML (mshtml.dll) de IE. El exploit detectado por Microsoft está implementado totalmente en Javascript (no depende de Java, Flash, etc.) pero sí depende de una DLL de Office que no fue compilada con ASLR habilitado (Address Space Layout Randomization). El propósito de esta dll en el contexto del exploit es evitar ASLR mediante código ejecutable en una dirección en memoria conocida" (Hispasec).

Para usuarios avanzados y administradores de sistemas también se recomienda el uso de EMET (Enhanced Mitigation Experience Toolkit o kit de herramientas de experiencia de mitigación mejorada) para mitigar la explotación de la vulnerabilidad mediante la inclusión de capas de protección adicionales. EMET 3.0 y EMET 4.0 tienen soporte oficial de Microsoft. EMET es un programa de Microsoft gratuito, (solo disponible en lenguaje ingles) sencillo de manejar y de gran utilidad. En el aviso de seguridad de Microsoft se explican detalladamente los pasos para su adecuada configuración. Visite http://technet.microsoft.com/en-us/security/advisory/2887505.

Fuentes:
Post relacionado:

viernes, 7 de junio de 2013

Oracle ha opinado sobre la seguridad de Java y su futuro en el navegador

Oracle se ha pronunciado sobre la seguridad de Java y la gestión de sus applets. Como responsable de una inmensa mayoría de las infecciones a través del navegador, es interesante conocer qué planes tiene la compañía para este producto en el futuro. Oracle debe tomar cartas en el asunto. Desde principios de 2013 ha comenzado una estrategia para mejorar la seguridad de Java en el navegador, pero el tiempo se le echa encima.
Por Sergio de los Santos para Una-al-día de Hispasec.

Más información sobre Java en éste blog.

viernes, 26 de abril de 2013

Problemas en Java y las vulnerabilidades que más buscan lo "exploits packs"

Desde hace unos meses, Java está en primera plana debido a la multitud de problemas de seguridad encontrados en varias de sus versiones. De hecho, se conoce que la mayoría de los navegadores con Java son susceptibles a los exploit y kits de herramientas de ataque.

Aunque Java corrigió 42 vulnerabilidades recientemente, se detectó un problema, continúa la falla que permite que "alguien" pueda saltarse la sandbox de la plataforma Java para acceder al sistema operativo.

El atacante tendría total libertad para ejecutar cualquier tipo de código sin problemas, sería capaz de cambiar los parámetros de Java para conseguir un acceso a más funciones del sistema. Se ha informado que Oracle ya ha sido informada del grave problema de seguridad para que lance lo antes posible una actualización que lo corrija.

Hoy Hispasec, a través de su servicio Una-al-día, ha publicado un interesante artículo con las vulnerabilidades más usadas por los kits de explotación, y en el que claramente señalan que "la mayor amenaza se encuentra en el navegador. Sus vulnerabilidades y las de los plugins que exponen al exterior, permiten a los atacantes ejecutar código en el sistema con solo visitar una web".
Las vulnerabilidades más usadas por los kits de explotación.- "Recientemente se ha publicado la última versión de una tabla colaborativa en la que se detallan qué "exploits packs" intentan explotar qué vulnerabilidades además de otros datos relevantes sobre los kits y sus posibilidades. Se observa de forma esquemática qué fallos son los más codiciados y utilizados". Por Sergio de los Santos para Hispasec Una-al-día.
Java sigue siendo todo un dolor de cabeza, en el caso de tener instalado y en uso Java es muy recomendable mantenerlo actualizado, instalar los parches que se se publican oficialmente y estar muy atentos a las novedades que surjan. Más información sobre Java en éste blog.

miércoles, 17 de abril de 2013

Java corrigió 42 vulnerabilidades

Java corrige 42 vulnerabilidades y mejora un poco sus opciones de seguridad 
"Oracle corre una carrera de obstáculos para corregir y mejorar su plugin de Java. En la última actualización de seguridad, corrige 42 fallos, la mayoría críticos. Introduce algunas mejoras en los mensajes de advertencia y opciones, y continúa el soporte para la rama 6, que dijo que abandonaría el febrero. Se acaba de publicar Java 7u21 y Java 6u45. Además de la cantidad de vulnerabilidades corregidas, se mejoran los mensajes de seguridad y se eliminan algunas opciones de seguridad peligrosas, inútiles y activadas por defecto".
Por Sergio de los Santos para Hispasec @unaaldía

jueves, 28 de marzo de 2013

La mayoría de los navegadores con Java son susceptibles a los exploit y kits de herramientas de ataque

Java se está convirtiendo en un serio problema de seguridad, hay que tenerlo muy en cuenta. Vía CSO España nos enteramos de un informe de Websense donde se señala que la mayoría de los navegadores que son compatibles con Java, son vulnerables a los exploit de Java. En el informe se destaca que sólo alrededor del cinco por ciento de éstos navegadores han instalado la versión más actualizada del plug-in de Java. La mayoría de las versiones tienen meses e incluso años de retraso, exponiéndolos a los últimos exploits descubiertos.

Los "Exploit kits" son unas herramientas muy común para la distribución de las muchas amenazas basadas en Java. Las últimas actualizaciones de Java (Java 7 Update 17 (7u17) y Java 6 Update 43 (6u43)) fueron lanzadas el pasado 4 de marzo como respuesta a una vulnerabilidad explotada por los crackers que afectaba al lenguaje de programación.

El informe de Websense señala que el exploit para éstas vulnerabilidades estaba integrado en el Cool Exploit Kit, una herramienta Web de ataque de “alta gama” que requiere una suscripción de 10.000 dólares al mes, "lo que hace que muchos hackers no puedan permitírselo. No obstante, Websense ha descubierto que existe un gran número de navegadores que cuentan con Java que también son vulnerables a exploits más económicos y a paquetes de ataques más generalizados" (CSO España).
Java Vulnerability Vulnerable Versions** Vulnerable Exploit Kits With Live Exploits
CVE-2013-1493   1.7.15, 1.6.41                 93.77%      Cool
CVE-2013-0431   1.7.11, 1.6.38                 83.87%      Cool
CVE-2012-5076   1.7.07, 1.6.35                 74.06%      Cool, Gong Da, MiniDuke
CVE-2012-4681   1.7.06, 1.6.34                 71.54%      Blackhole 2.0, RedKit, CritXPack, Gong Da
CVE-2012-1723   1.7.04, 1.6.32                 67.72%      Blackhole 2.0, RedKit, CritXPack, Gong Da
CVE-2012-0507   1.7.02, 1.6.30                 59.51%      Cool, Blackhole 2.0, RedKit, CritXPack, Gong Da
** All prior JRE versions below those listed are also vulnerable. (Fuente: Websense Security labs Blog)
"Probablemente no es de extrañar que la mayor vulnerabilidad explotada es solo el más reciente, con una población vulnerable de los navegadores en el 93,77%. Eso es lo que hacen los chicos malos - examinar los controles de seguridad y encontrar la manera más fácil de pasar por alto" (Websense Security labs Blog).

Java es hoy por hoy todo un dolor de cabeza, repito algo, en el caso de tener instalado y en uso Java es muy recomendable mantenerlo actualizado e instalar los parches que se se publican oficialmente. Coincido con aquellos que están opinando que se debería dejar de usar Java. El gran tema es el importantísimo número de websites que lo utilizan.

Más información sobre Java en éste blog

domingo, 10 de marzo de 2013

Firefox 19.0.2 corrige una vulnerabilidad crítica encontrada en el Pwn2Own

Mozilla ha lanzado oficialmente una actualización de Firefox, en la cual soluciona una vulnerabilidad considerada como crítica: Firefox 19.0.2 y ya está disponible para su descarga para Windows, Mac OS X y para Linux. La vulnerabilidad crítica fue encontrada en la competencia Pwn2Own 2013, tal como lo comentamos el viernes.

Durante la competencia Pwn2Own 2013, celebrada en Canadá como parte de la conferencia CanSecWest, se informó que la mayoría de los navegadores web han sido crackeados en el primer día de la competencia. La empresa de seguridad francesa, anunció que logró explotar Internet Explorer 10 en Windows 8, Firefox 19 en Windows 7 y Java.

Relacionados:

viernes, 8 de marzo de 2013

Firefox, Internet Explorer 10, Java y Chrome han sido vulnerados en Pwn2Own 2013

Las noticias informan que la mayoría de los navegadores web han sido crackeados en el primer día de la competencia Pwn2Own 2013, celebrada estos días en Canadá como parte de la conferencia CanSecWest.

VUPEN, una empresa de seguridad francesa, anunció que logró explotar Internet Explorer 10 en Windows 8, Firefox 19 en Windows 7 y Java. "Hemos hackeado MS Surface Pro con dos errores de día cero de IE10 para lograr un compromiso completo de Windows 8 con evitación del entorno de seguridad" informó VUPEN vía Twitter. Luego, un par de horas más tarde emitió un nuevo informe señalando "Hemos hackeado Firefox usando un error use-after-free y una nueva técnica para eludir ASLR/DEP en Win7 sin necesidad de ningún ROP".

Con respecto a Java, informan que se han aprovechado de un "desbordamiento de heap único como una pérdida de memoria para eludir ASLR y ejecutar código". "Todos los fallos de día cero descubiertos y las técnicas que hemos utilizado en #Pwn2own han sido divulgados a los proveedores de software afectados para permitirles ofrecer parches y proteger a los usuarios", dijo VUPEN.

Ésta mañana nos llega la novedad que hay una actualización para Google Chrome, queda más que claro que el equipo de Google no perdió tiempo. En éstos días Oracle lanzó nuevos parches para Java, así es que no sería sorpresa que ante los resultados en la Pwn2Own 2013, publiquen nuevas actualizaciones.

Ésto está justificando las grandes cantidades de dinero ofrecidas en la competencia. ZDI HP está ofreciendo más de medio millón de dólares (USD) en efectivo y premios durante la competencia en busca de vulnerabilidades y técnicas de explotación en las siguientes categorías. El primer concursante que comprometer con éxito un objetivo seleccionado va a ganar los premios de la categoría.

Web Browser
  • Google Chrome on Windows 7 ($100,000)
  • Microsoft Internet Explorer, either
  • IE 10 on Windows 8 ($100,000), or
  • IE 9 on Windows 7 ($75,000)
  • Mozilla Firefox on Windows 7 ($60,000)
  • Apple Safari on OS X Mountain Lion ($65,000)
Web Browser Plug-ins using Internet Explorer 9 on Windows 7
  • Adobe Reader XI ($70,000)
  • Adobe Flash ($70,000)
  • Oracle Java ($20,000)

jueves, 21 de febrero de 2013

Señalan a Java detrás de los ciberataques, y Oracle lanza nuevos parches

Como se está señalando no pocos opinan que "Java se está convirtiendo en un serio problema de seguridad". Aquí dos noticias importantes respecto del tema, a considerarlas muy seriamente:
Java detrás de los ataques a Apple, Facebook y Twitter.- "Estos últimos días se han conocido varias noticias de ataques relevantes: los ingenieros de Facebook, Twitter y Apple han sido infectados por malware en las redes internas de ambas compañías. Los ataques parecen tener en común varios elementos, pero básicamente, están basados en fallos de seguridad en Java". Por Sergio de los Santos para Hispasec - una-al-día 
Oracle soluciona cinco nuevas vulnerabilidades de Java.- "Oracle ha publicado una nueva actualización de seguridad para Java Runtime Environment (JRE), software instalado en un gran número de PCs de todo el mundo. En esta oportunidad, se actualiza Java 6 y Java 7. Las nuevas versiones pasan a denominarse, respectivamente, 1.6.0_41 y 1.7.0_15." Por DiarioTi.
En el caso de tener instalado y en uso Java es muy recomendable mantenerlo actualizado e instalar los parches que se se publican oficialmente. Coincido con aquellos que están opinando que se debería dejar de usar Java. El gran tema es el importantísimo número de websites que lo utilizan.

miércoles, 13 de febrero de 2013

En tremendo parche de seguridad Microsoft corrige 57 vulnerabilidades, 5 clasificadas como "críticas"

El boletín de seguridad de Microsoft Update ha publicado un importante parche de seguridad Microsoft, con más de 64 MB de descarga, que corrige 57 vulnerabilidades, 5 de ellas están clasificadas como "críticas". Se ha señalado que la cercanía a la fecha de celebración de San Valentín, sería una de las razones. La fecha es muy utilizada por los atacantes para explotar vulnerabilidades de los equipos.

Los boletines son:
Hay opiniones en los ámbitos de seguridad informática que apuntan a un duro día de San Valentín para muchos administradores de TI. A los que hay que sumar, lamentablemente, los problemas relacionados con Java.

martes, 12 de febrero de 2013

Más sobre la seguridad del plugin de Java

Tal como lo comentamos en post anterior, desde el mes pasado, en "una al dìa", el servicio de noticias y análisis sobre seguridad de Hispasec, vienen publicando unos muy interesantes post sobre entender la seguridad del plugin de Java. Ayer publicaron una nueva entrada respecto del tema:
Que complementa y aporta más información a las anteriores publicaciones:

lunes, 4 de febrero de 2013

Sobre la seguridad del plugin de Java

No pocos opinan que "Java se está convirtiendo en un serio problema de seguridad" y es importante "entender cuáles son los riesgos de los applets de Java". En "una al dìa", el servicio de noticias y análisis sobre seguridad de Hispasec, desde el mes pasado vienen publicando unos muy interesantes post sobre entender la seguridad del plugin de Java. Una lectura más que recomendada.
Mejorar y entender la seguridad del plugin de Java (I) 
Mejorar y entender la seguridad del plugin de Java (II) 
Mejorar y entender la seguridad del plugin de Java (III) 
Mejorar y entender la seguridad del plugin de Java (IV)
    Dan una interesante opinión sobre qué hay que prevenir en Java, y a partir de ello cómo configurar. Finalmente, adelantan que en una próxima entrega tratarán otras formas de proteger el plugin a través de las funcionalidades del navegador.

    Actualización:
    Nueva entrega:

    martes, 22 de enero de 2013

    La historia de Bob, el outsourcing y la seguridad informática

    Bob es un desarrollador de software, un programador “inofensivo y tranquilo” de cuarenta y tantos años, que ganaba muy bien, un poco más de de 100 mil dólares anuales, trabajando haciendo que trabajaran por él en una importante empresa relacionada con la “infraestructura crítica” de Estados Unidos. Bob simplemente le pagaba una quinta parte de su salario a unos programadores de una empresa de programación en la ciudad de Shenyang, en el sureste de China, para que hicieran su trabajo.

    Hasta aquí todo parece una simple historia de alguien que desarrollo experiencia en el outsourcing (subcontratación) para hacer más eficaz su tarea y ganar más dinero con menor esfuezo. Pero no, la historia de Bob y el outsourcing tiene que ver con un caso de seguridad que ha captado la atención de expertos en seguridad en todo el mundo.

    El "bueno" de Bob, que era considerado como un programador experto en C, C + +, Perl, Java, Ruby, PHP, Python, etc. “inofensivo y tranquilo”, y que en los últimos años, "recibió excelentes calificaciones por su desempeño por su codificación limpia, y bien escrita”. Y también había sido señalado como “el mejor desarrollador en el edificio”. Pero se transformó en un "caso de estudio" de la empresa de telecomunicaciones estadounidense, Verizon.

    Todo se inició cuando la empresa relacionada con la “infraestructura crítica” de Estados Unidos, que según la investigación de Verizon, había ido poco a poco avanzando hacia una fuerza de trabajo más orientado teletrabajo, y por lo tanto había comenzado a permitir a sus desarrolladores trabajar desde casa en ciertos días, comenzó a registrar cierta actividad anómala en sus registros de su Virtual Private Network (VPN), y solicitó una auditoría a su proveedor de servicios, Verizon, que finalmente ha permitido "destapar" la situación.

    A principios de mayo de 2012, después de leer el Data Breach Investigations Report (DBIR) 2012, su departamento de seguridad, del TI de la empresa, decidió que debían iniciar un seguimiento activo de los registros que se generan en el concentrador VPN.

    Entonces comenzaron escudriñando diariamente las conexiones VPN en su entorno. Fue la sorpresa del TI de la empresa, cuando descubrió que desde China accedían a sus sistemas informáticos. Los técnicos responsables de la seguridad informática de la empresa inicialmente creyeron que el acceso no autorizado a los sistemas desde China con las credenciales de Bob, no eran responsabilidad del "bueno" de Bob, que de alguna forma se había eludido, desde China, el fuerte sistema de autentificación, conformado por factores, que incluían un token de seguridad con una clave RSA. Inicialmente se pensó en algún tipo de malware de día cero que fue capaz de iniciar conexiones VPN de la estación de trabajo del escritorio de Bob a través de proxy externo y luego la ruta que el tráfico VPN a China, sólo para ser enviados de regreso a su concentrador.

    Increíblemente no se sospechaba de Bob, hasta que se descubrió que había “enviado físicamente por FedEx su token de seguridad a China para que el contratista pudiera ingresar con sus credenciales”, según fue informado por un investigador forense en Verizon.

    La investigación descubrió que los programadores chinos, subcontratados por Bob, trabajaban durante la noche, en un horario que imitaba a una jornada laboral promedio de ocho horas. También se pudo establecer que es probable que ésta experiencia del outsourcing de Bob "se haya extendido a lo largo de varias empresas en su área, lo que lo hizo ganar varios cientos de miles de dólares al año mientras pagaba aproximadamente 50,000 dólares anuales a sus programadores fantasma de China, según cientos de facturas en PDF que también fueron descubiertas en su computadora de trabajo" (CNN).

    La investigación forense de la estación de trabajo de Bob reveló que el bueno, inofensivo y tranquilo empleado pasaba durante su horario laboral navegando por Reddit, viendo vídeos de gatos, visitando eBay y las redes sociales de Facebook y LinkedIn. Verizon, informó que a través de un correo electrónico, Bob “fue despedido al final de la investigación”.

    Realmente todo un caso de estudio. Pienso que no pocos apuntarán al tema teletrabajo, y sus implicancias en la seguridad, pero creo que ésta modalidad laboral se está imponiendo y brindando posibilidades laboral a cada vez a mayor número de personas y aunque se pueda señalar aspectos que hacen a la seguridad, todo ésto se ira superando con el tiempo. Me parece que lo que se debe considerar, como algunas veces lo señalamos en éste blog, es el tema del factor humano.

    El factor humano limita la gestión efectiva de la seguridad, es algo ya bien entendido pero no asumido. Las empresas tienden a menospreciar el papel de la conducta humana y se inclinan a confiar en el hardware y en el software para resolver problemas de seguridad, cuando lo que necesitan dedicar más tiempo a capacitar y concientizar al personal en políticas y procesos, si quieren asegurar las infraestructuras de TI.

    Fuentes:

    martes, 15 de enero de 2013

    Estados Unidos dice que Java es riesgoso, incluso después de la actualización de seguridad

    Según una nota que publica Reuters, el Departamento de Seguridad Interna de EE.UU. advirtió que una actualización de seguridad de software Java, de Oracle Corp., para los navegadores Web no hace lo suficiente para proteger los ordenadores de los ataques, e insiste en su consejo anterior de desactivar el programa.

    “Al no ser que sea absolutamente necesario el uso de Java en los navegadores Web, desactívenlo”, indica, en un mensaje publicado en su website, el Departamento de Equipo de Seguridad Nacional de Preparación para Emergencias Informáticas, comenta la nota de referencia.

    El Gobierno de Estados Unidos no ha sido el único que ha advertido sobre los problemas de seguridad de Java. No pocos expertos de seguridad han alertado sobre el riesgo de que aquellos equipos y/o dispositivos informáticos, en los que esté instalado Java, podría ser atacados por criminales que buscan robar números de tarjetas de crédito, credenciales bancarias, contraseñas, etc…

    Mientras que algunos investigadores han quejado desde hace tiempo que el software tenía problemas, comenzó a generar un mayor escrutinio público el año pasado después de una amenaza de seguridad en agosto.

    "No es que Java tiene inseguro de repente. Ha sido inseguro durante años", dijo Charlie Miller, un ingeniero informático en Twitter, que ha trabajado anteriormente como consultor de seguridad para empresas de Fortune 500 y como analista de la Agencia de Seguridad Nacional.

    Kaspersky Lab. ha señalado que "Java fue responsable del 50 por ciento de todos los ataques cibernéticos año pasado en el que los hackers irrumpieron en el ordenador aprovechando los errores de software".

    Para mayor información sobre como desactivar Java, lea el post:
    Como resguardarce del problema en Java, algunas sugerencias básicas,
    y/o visite la webpage de Oracle para desactivar Java.

    lunes, 14 de enero de 2013

    Oracle lanza la actualización Java SE 7 Update 11 que corregiría la vulnerabilidad

    Oracle ha lanzado el Alerta de seguridad CVE-2013-0422 para hacer frente a la falla en el software de Java integrado en los navegadores web. Más información acerca de esta alerta de seguridad está disponible en https://blogs.oracle.com/security Este es un blog que trata sobre cuando el error fue reportado y las acciones que los usuarios de Java debe tomar para proteger sus sistemas.

    En el sitado blog, Oracle señala que éstas vulnerabilidades no afectan a Java en servidores, aplicaciones Java de escritorio, o Java incorporado. Las vulnerabilidades corregidas con ésta alerta de seguridad son CVE-2013-0422 y CVE-2012 3174, que sólo afectan a la versiones Oracle Java 7, son explotables remotamente sin autenticación y han recibido una puntuación total de 10,0 CVSS, y ha recomendado que esta alerta de seguridad se aplique lo antes posible, ya que estos problemas pueden ser explotados "in the wild", y algunos exploits están disponibles en varias herramientas de hacking.

    Microsoft anunció que la vulnerabilidad de seguridad de alto riesgo que afectaban a Java 7 e Internet Explorer 6, 7 y 8 quedarán resueltas finalmente en los próximos días. Estaría lanzando parches de emergencia, serán distribuidos a través de Windows Update. Microsoft ha advertido a los que aplicaron el primer parche que no tendrán que desinstalarlo y que la solución a la vulnerabilidad se instalará automáticamente en los ordenadores que tengan activadas las actualizaciones automáticas.

    En algunos medios especializados se está señalando que la gravedad del exploit es realmente muy importante, tanto que hasta el propio Departamento de Seguridad Nacional de Estados Unidos también lanzó un aviso a los usuarios recomendando desactivar Java hasta el lanzamiento del parche. Se conoció que Apple hizo lo propio en respuesta a la amenaza, mientras que Mozilla aprovechó la ocasión para promocionar uno de los últimos añadidos en Firefox, Click to Play, que permite detener la carga de Java en páginas hasta que el usuario dé su permiso.

    También se conoció la información que hace unos días la vulnerabilidad fue aprovechada con rapidez para atacar a usuarios mediate ransomware, un tipo de malware que bloquea el ordenador infectado y muestra un mensaje a los usuarios chantajeándoles para estafarles una determinada cantidad (entre 200 y 300 dólares) si quieren desbloquearlo, algo que no sucede si se realiza el pago.

    Con ésta alerta de seguridad, y además de las correcciones para CVE-2013-0422 y CVE-2012 3174, Oracle Java está cambiando la configuración de seguridad a "alto" por defecto. Los arreglos de esta Alerta son un cambio en la configuración por defecto de Java de nivel de seguridad "Medio" y "Alto". Con el ajuste "Alto", el usuario siempre se le pregunta antes de firmar cualquier applet de Java o aplicaciones Java Web Start que se ejecuta.

    Actualización:

    Informan que "el martes Oracle va a lanzar 86 parches que cubren vulnerabilidades que afectan a diversos productos, entre ellos, 18 problemas que afectan a MySQL (dos de éstas pueden ser explotadas sin que se solicite nombre de usuario o contraseña)".