Día: 2 marzo, 2016

Es detectada vulnerabilidad que afecta a uno de cada tres servidores con SSLv2

El protocolo SSLv2 nunca debió ser utilizado para cifrar las comunicación, así lo dejan ver expertos en seguridad, los cuales han descubierto una vulnerabilidad que permite a los atacantes escuchar las comunicaciones realizadas con servidores de tipo HTTPS.

Investigadores de seguridad han descubierto una nueva debilidad que permite a los atacantes espiar sobre las comunicaciones encriptadas entre los usuarios y un servidor de tipo HTTPS. El problema aparece debido a que muchos servidores HTTPS todavía soportan el antiguo protocolo e inseguro SSL (Secure Sockets Layer) en su versión 2. De hecho, SSLv2 fue sustituido por SSLv3 en el año 1996, pero oficialmente no quedó obsoleto hasta el año 2011. A partir de entonces, SSLv3 fue reemplazado también por el más moderno TLS (Transport Layer Security) en sus versiones 1.0, 1.1 y 1.2.

El protocolo SSLv2 señala que nunca debió ser utilizado para cifrar las comunicaciones. Sin embargo, los expertos en seguridad no han detectado hasta ahora que este hecho suponga una amenaza seria en las configuraciones de servidores, debido a que los navegadores modernos y otros clientes TLS ya no lo usan. Esto no impide que los ciberdelincuentes puedan emplearlo para otros fines, señalan que uno de cada tres servidores puede verse afectados al seguir soportando dicho protocolo.

En base a un trabajo de investigación publicado recientemente, se ha demostrado que si un servidor HTTPS se apoya todavía en el protocolo SSLv2, está permitiendo que un atacante pueda explotar y descifrar las conexiones que se producen entre dicho servidor y sus clientes a pesar de que las conexiones estén empleando la versión más reciente y segura del protocolo TLS.

Estos ataques, apodados como DROWN (Decrypting RSA with Obsolete and Weakened eNcryption) tienen varios requisitos previos que deben cumplirse. En primer lugar, necesita que el servidor HTTPS comparta su clave privada con otro servidor que se basa en SSLv2, por ejemplo, un servidor de correo electrónico. Resulta bastante habitual que las organizaciones utilicen la misma clave privada o certificado para implementaciones TLS en ambos servidores, tanto en el Web como en el servidor de correo.

down-attack-diagram

Las conexiones observadas necesitan utilizar el algoritmo de intercambio de claves RSA durante la conversación entre ellos, pero esto no debe suponer problema alguno para los atacantes, dado que RSA sigue siendo el método de intercambio de claves más popular en las implementaciones TLS. Una vez que el atacante tiene las conexiones capturadas, debe conectarse al servidor a través del protocolo SSLv2 y enviar mensajes de reconocimiento diseñados específicamente.

-Alfonso Casas

 

El presidente de VMware deja la compañía

Carl Eschenbach se unirá a Sequoia Capital, es una empresa de capital de riesgo de Silicon Valley.

El anuncio se ha dado a conocer después de que dejara hace pocas semanas el gurú de la compañía, Martin Casado. Así Carl Eschenbach se convierte en el segundo alto ejecutivo en abandonar VMware para dedicarse al mundo de las startups. El presidente y COO de VMware se unirá a la empresa de capital de riesgo de Silicon Valley, Sequoia Capital.

Desde 2002 Eschenbach ha ocupado diferentes puestos en VMware hasta alcanzar la presidencia en 2012. En este tiempo ha sido el encargado de supervisar los 6 000 millones de dólares de ventas de la compañía, así como los canales y la estrategia de marketing de la misma. En estos años Eschenbach se ha convertido en una de las caras visibles de VMware junto con su CEO Pat Gelsinger, llegando a ser considerado el número dos tras el propio Gelsinger.

La marcha del director general se produce en un momento de cambios para VMware, ya que la compañía madre, EMC, ha sido comprada por Dell. Esta fusión, según ha declarado Gelsinger, tendrá poca repercusión en las operaciones de VMware. La marcha de Eschenbach, sin embargo, sí que podría afectar a la compañía ya que se ha producido tan sólo una semana después del anuncio de la marcha de Martin Casado, hasta ese momento director general y vicepresidente ejecutivo del negocio de Redes y Seguridad. Casado también dejó VMware para continuar su carrera en la empresa de capital de riesgo Andreessen Horowitz. La compañía anunció que Rajiv Ramaswami, proveniente de Broadcom Corporation, será el sustituto de Casado.

Cabe destacar que ni Casado ni Eschenbach dejarán totalmente VMware ya que se mantendrán como asesores. En el caso de Eschenbach, según anunció la propia compañía, será asesor de Gelsinger, dentro del consejo de administración y del equipo ejecutivo. Aun así, su marcha ha obligado a reestructurar el organigrama de la compañía.

De esta manera, Maurizo Carli ha sido ascendido a presidente de ventas a nivel mundial, Ray O’Farrell, hasta ahora CTO, será también vicepresidente y Sanjay Poonen, que hasta ahora dirigía la división informática para usuario final, será el encargado del equipo de marketing y comunicación a nivel global. “Con los cambios ejecutivos que estamos llevando a cabo, así como la reciente incorporación de Zane Rowe como nuevo CFO, estamos bien posicionados para continuar ayudando a nuestros clientes en la transición a la nueva era móvil y en la nube”, afirmó Gelsinger.

-Brandon Butler

 

Cisco adquiere CliQr por 260 millones de dólares

La firma californiana señala que la compra de esta empresa que desarrolla software de orquestación de nube ayudará a sus clientes a configurar y operar desarrollos de nube híbrida, privada y pública.

Cisco sigue armándose para jugar fuerte en el ámbito de cloud computing. Su última adquisición es CliQr, empresa desarrolladora de software de orquestación de nube, por 260 millones de dólares. Con esta operación, aseguran desde la compañía, sus clientes podrán mejorar la configuración y operación de entornos de nube híbrida, privada y pública.

El software de CliQr permite a los operadores de cloud es desplegar y gestionar aplicaciones en entornos de contenedores y virtualizados. En la actualidad, la tecnología de esta compañía está, de hecho, integrada ya con numerosas ofertas cloud y de switching de centros de datos de Cisco, incluyendo Application Centric Infrastructure y Unified Computing System. Es más, desde Cisco afirman que seguirá integrando CliQr en su porfolio de centro de datos.

La plantilla de CliQr se unirá a la unidad de negocio Insieme de Cisco, y reportará a Prem Jain, vicepresidente senior y director general. Se espera que la operación se cierre en el tercer trimestre del ejercicio fiscal de Cisco, que finaliza el próximo mes de abril.

-Redacción

El software cognitivo y el IoT cambiarán la forma de trabajar de las empresas

El informe de Predicciones TMT señala a la generación millennial se posiciona  como agente principal de cambio en consumo de televisión y videoconsolas, mientras que el software cognitivo y el IoT cambiarán la forma de trabajar de las empresas.

Por quinto año consecutivo Deloitte pública su informe de Predicciones TMT en Tecnología, Medios y Telecomunicaciones, y por primera vez lo hace de forma conjunta; es el resultado de unas industrias cada vez más entrelazadas y convergentes, que avanzan hacia una conectividad total.

El informe, señala que se elaboró con ejecutivos de la industria, analistas de todas partes del mundo y consumidores a nivel global, señala las tendencias del 2016 y algunas que prometen marcar el camino de los próximos cinco años. Según ha explicado Luis Jiménez, socio responsable del área de Medios en Europa de Deloitte, el análisis se estructura a grandes rasgos en tres puntos: clientes nuevos, productos novedosos y las oportunidades del negocio.

Los clientes influyentes

Mucho se ha dicho en los últimos años sobre los patrones de consumo que iba a tener la generación millennial; sin embargo, los resultados son muy claros respecto a estas suposiciones: sí que son nativos digitales y mantienen una fuerte relación con sus smartphones, pero no es una relación exclusiva; en contra de lo pensado los millennial, ya que siguen usando equipos de cómputo de escritorio como uso diario, en especial los portátiles, como dispositivo complementario.

“Empezamos a entender a los millennials: son principalmente consumidores de datos, y para ello emplean una conjunción híbrida de PC y smartphones, por lo que la profecía de una generación post-PC no se cumple”, explica Fernando Huertas, socio responsable del área de telecomunicaciones en la compañía. “En realidad no están sustituyendo, sino son complementarios”, añade.

Específicamente, dentro de esta generación sobresalen los Trailing Millennials; la subgeneración, que actualmente tiene entre 18 y 24 años, son los más enfocados en ordenadores; de ellos un tercio tiene previsto comprar un móvil a lo largo del año mientras que un cuarto prevé comprar un portátil. Siguiendo a estos dos la videoconsola es el tercer dispositivo más popular entre los jóvenes.

millennials_WiFi_Oficina

Conscientes de la influencia de esta generación, las empresas están reaccionando, por ello han extendido la oferta de dispositivos a colegios, administraciones, lugares públicos… se trata de un influjo que afecta también a otros aspectos: el 66% de los nativos digitales en Estados Unidos  (donde las tendencias empiezan antes que en todo el mundo) prefieren emplear el ordenador antes que el smartphone para compras online por razones de usabilidad y comodidad.

“También han cambiado la forma de consumir películas y programas de TV: los millennials emplearon el doble de tiempo en un ordenador con este fin que en smartphones o tabletas el año pasado. Esta generación es también un aviso de la siguiente; si esta consume más el smartphone y la PC que la televisión, la siguiente generación seguirá esta tendencia aún más”, subraya Concha Iglesias, socia responsable del área de tecnología en Deloitte.

Tampoco es el único cambio que ha vivido el consumo audiovisual: mucho se habló del cord-cutting, dejar de utilizar la tele por cable para consumir solo TV a través de Internet; sin embargo este fenómeno no ha impactado tanto como se creía en un principio, otro mito que se desvanece. En cambio, la tendencia que sí se ha convertido en una realidad gracias a los millennial es el downgrading: la simplificación/reducción de canales en los paquetes de televisiones de pago, con una consecuente reducción del precio.

Los productos que surgen como respuesta

La clave está en la diferenciación, en la televisión la estrella sin duda alguna es el fútbol: conforme ganan presencia las competiciones su valor aumenta; un ejemplo es la liga española, la cual ha subido un 36% su valor en los últimos cinco años, un reflejo de lo que ha pasado en Inglaterra o Alemania. “Tras el deporte encontramos una gran cantidad de series como gran reclamo para la audiencia, no es una sorpresa debido a la calidad de las series en la actualidad; los mejores guionistas están ahí, y tienen mucho menos miedo a probar algo nuevo que por ejemplo en el cine”, puntualiza el responsable del área de Medios de Deloitte.

La otra gran propuesta es el movile gaming; “supera a los juegos de PC y a las consolas de videojuegos,  es uno de los contenidos más perseguidos; hay que tener en cuenta que se puede consumir en cualquier momento (en el metro, en una parada de autobús, etc.) y puede transportarse a cualquier sitio, no como los otros dispositivos”, según comenta Jiménez.

Pero el contenido no es la única herramienta que las compañías podrán utilizar, según señala la ejecutiva Iglesias: “Es innegable que el contenido tienen un efecto disruptivo, pero es necesario acompañarlo de otras tecnologías que multipliquen su valor del producto, como la Realidad Virtual. Además, no se consolida solo esta tecnología como entretenimiento, sino también como herramienta de trabajo”.

En 2016 la Realidad Virtual generará 1 000 millones de dólares, dirigidos en su mayoría a jugadores habituales de consolas y PC. Sin embargo, es en el área empresarial dónde puede tener más aplicaciones, especialmente si se emplea de forma conjunta con el IoT.

Ya se comenta desde hace tiempo, y el MWC lo ha confirmado: el IoT está ya a la vuelta de la esquina, si es que no lo está ya en muchas aplicaciones industriales. El 2016 será un gran año para los operadores de telecomunicaciones, “el Internet de las cosas tiene muchos usos industriales, y la conectividad necesaria para desarrollarlas requieren de este agente”, subraya el experto Huerta.

La expansión del IoT requerirá nuevas frecuencias, “en la actualidad se están empleando frecuencias bajas en muchos casos por el bajo coste que implica”, agrega el responsable de Telecomunicaciones.

¿Dónde están las oportunidades de negocio?

Las operadoras de telecomunicaciones están desarrollando plataformas IoT horizontales (basadas en otras plataformas M2M ya creadas). Dichas soluciones tendrá como objetivo apoyar en una nueva plataforma de red basada en tecnologías de Software Defined y virtualización, que permitirán nuevos servicios de comunicaciones con modelo as-a-serivce, nuevos modelos de negocio como los servidores embebidos y explotación de API.

Los software de tecnología cognitiva tampoco se queda atrás, “el 80% de las compañías ya lo emplean, tendencia que continuará en el futuro: los procesos de automatización, métricas, predecir… se espera que entre 2015 y 2024 este negocio facture un total de 43 500 millones de dólares. Por lo cual no trata ya de Inteligencia Artificial, si no que va un paso más allá”, recalca Iglesias.

Pero una de las aplicaciones más atractivas para las empresas es la optimización del inventario publicitario, ya que toda esta información otorga una gran capacidad de segmentación; “esto resulta en que el ad block ya no será necesario puesto que los anuncios no serán tan intrusivos y molestos. Para las marcas será beneficioso, ya que podrán converger dos tipos de medios diferentes para reforzar su imagen con publicidad muy especializada”, concluye la socia responsable del área de tecnología de Deloitte.

-Redacción

Apple y el FBI defienden sus posturas en el Congreso de Estados Unidos

Ayer se notificaba como un juez federal de Nueva York falla a favor de Apple frente a la demanda del FBI en un caso de narcotráfico.

El FBI, representado por su director James Comey, como Apple, representada por su vicepresidente de asuntos legales, Bruce Sewell, defendieron sus posturas en el Congreso de Estados Unidos, para tratar de poner punto final al debate sobre el cifrado de seguridad y el propio proceso judicial que mantienen desde hace meses.

Apple compareció en el Congreso reafirmada en su postura tras la decisión de un juez del estado de Nueva York de no obligarles a facilitar el acceso a la información de un terminal involucrado en un caso de narcotráfico en ese estado.

El desacuerdo entre la compañía de Cupertino y el FBI se remonta concretamente al mes de diciembre, tras un tiroteo en la ciudad californiana de San Bernardino en el que murieron 14 personas. El FBI pidió a Apple acceder al almacenamiento interno del iPhone del acusado Rizwan Farook, amparándose en el estatuto All Writs Acts. En este caso, la jueza dio la razón al Gobierno americano, decisión que Apple ha recurrido tras negarse a crear una versión modificada de iOS que permita al FBI el acceso a la información del dispositivo.

Sewell defendió la postura de Apple de no hacer cambios en el sistema operativo: “En lugar de pedir ayuda a Apple para eliminar el sistema de contraseñas que borra toda la información del dispositivo tras diez intentos fallidos, el FBI podría hacer cientos de copias del almacenamiento”. De esta manera, el FBI se evitaría tener que llevar a Apple ante la justicia en el caso contra Rizwan Farook.

Por su parte, el FBI asegura no haber encontrado otras formas de tener acceso a esta información sin ayuda de Apple. “Si hubiéramos tenido otra manera de hacer esto en privado, lo habríamos hecho”, aseguró Comey. La agencia también reconoció haber cometido  un error al pedir el cambio de la contraseña del iPhone del sospechoso pocas horas después de la matanza de San Bernardino.

Por el momento, Apple ha conseguido mantener su posición y sólo se ha comprometido a entrar en un debate sobre  la política de privacidad pero sin unas propuestas concretas. El Congreso podría forzar a Apple a prestar ayuda en futuras investigaciones. Los críticos de Apple consideran que la compañía está ignorando la seguridad pública. Para el propio Comey, el cifrado y la seguridad de los smartphones suponen un problema al mantener la vida privada de los sospechosos fuera del alcance de la policía.

Para los detractores del FBI, esta petición de la agencia federal podría dar lugar a otros cientos de demandas similares.

“Los criminales encontrarán maneras de explotar los agujeros obligados en el cifrado”, señaló Zoe Lofgren, demócrata de California.

-Grant Gross

 

ZTE lanza una solución cloud para datacenters basada en SDN

La nueva solución de la firma china, ZTE, uSmartDC es compatible con las funciones de red NFV y permitirá a los proveedores crear nubes privadas virtuales.

ZTE ha lanzado una nueva solución software para datacenters cloud basada en redes definidas por software (SDN). Con este servicio, ZTE hace su apuesta para posicionar el centro de datos virtual (VDC) como elemento claves para  futuras arquitecturas de red, carriers centrales y comtainers de servicios TIC y por lo tanto también como clave para la transformación de los principales operadores globales.

“La solución uSmartDC de ZTE puede ayudar a los operadores a desplegar arquitecturas de aplicaciones que son similares a Internet. También puede soportar y distribuir los datacenters activos para lograr modelos innovadores y arquitecturas que son similares a la puesta en marcha de la entrada de internet, y poner en marcha innovadores proyectos piloto para el ensayo de nuevos servicios “, comentó, vicepresidente de ZTE durante la presentación de la solución en el MWC.

La solución uSmartDC basada en SDN consiste es una estructura de red abierta donde el controlador SDN es el núcleo de la arquitectura de red SDN. Este controlador es compatible con diferentes tecnologías de red, con protocolos de interfaz southbound/northbound y conla programación dinámica con la que se pueden optimizar continuamente los recursos de la máquina virtual (VM) a través de los recursos empleados de monitorización. También proporciona un control unificado de interruptores OpenFlow y conmutadores no OpenFlow.

El uSmartDC permite a los operadores construir cloud privadas virtuales atribuidas. Este servicio es compatible con los operadores en el desarrollo de servicios basados en la función de red de virtualización (NFV) que pueden evolucionar para proporcionar servicios gubernamentales y servicios de red empresarial al mismo tiempo para lo último en la convergencia de las TIC “, explicó Zhu Jinyun, vicepresidente de ZTE.

OpenStack es la solución que está detrás del nuevo producto SDN de ZTE, lo que proporciona compatibilidad con nube pública y privada y también híbrida, lo que aportaría a los operadores una gestión más flexible y unificada. Además, detecta automáticamente el tipo de tecnologías que utiliza la empresa agilizando el proceso y acortando los tiempos de despliegue.

-Toñi Herrero Alcántara