AT&T a un paso de DirectTV

La FCC ha dado AT & T la luz verde para seguir adelante con su adquisición del operador de televisión de pago DirecTV, bajo ciertas expectativas estrictas, que verán la empresa de telecomunicaciones a reforzar su estrategia multijugador y base de clientes.

Pensado para ser valorada en aproximadamente $ 50 mil millones, la compra de AT & T de DirecTV verá la compañía de telecomunicaciones adquieren su base de clientes de alrededor de 20,5 millones de suscriptores, según Ovum WBIS 's. Randall Stephenson, CEO de AT & T, considera que ahora es el mayor proveedor de televisión de pago en el mundo, que pueden recibir algún debate de Asia considerando China Telecom cuenta con una base de clientes de IPTV de alrededor de 34 millones. Stephenson dijo que la transacción verá AT & T convertirse en una empresa totalmente diferente.

"Esta transacción nos permite ampliar significativamente nuestro servicio de Internet de alta velocidad para llegar a millones de hogares, lo cual es un complemento perfecto para nuestra televisión de costa a costa y de la cobertura móvil", dijo. "Ahora somos una empresa fundamentalmente diferente con un conjunto diversificado de capacidades y empresas que nos diferencian de la competencia."

La adquisición ahora empuja AT & T por delante de Comcast como operador de televisión líder de EE.UU. - combinado con un 22,12% del mercado en comparación con el 18,84% de Comcast. Las cosas podrían haber sido diferentes si Comcast había sido capaz de conseguir sus manos en Time Warner Cable y la cuota de mercado del 10%, cerca de que goza, aunque la FCC golpeó el acuerdo de nuevo debido a los temores de dominación injusta por Comcast dada su mercado de la televisión e internet significativa acciones.

Tom Wheeler, el presidente de la FCC, dijo en el momento de la fusión entre Comcast y TWC arriesgó competencia y la innovación debido a la unión de dos empresas líderes del mercado. "La operación propuesta habría creado una empresa con más de banda ancha y los suscriptores de video en la nación junto a la propiedad de los intereses de programación importantes", dijo. "Hoy en día un mercado de vídeo online está emergiendo que ofrece nuevos modelos de negocio y mayores posibilidades de elección de los consumidores. La fusión propuesta habría planteado un riesgo inaceptable para la competencia y la innovación, incluyendo la capacidad de los proveedores de video en línea para alcanzar y servir a los clientes ".

Teniendo en cuenta la postura de la FCC con respecto a dos jugadores gigantes que se unen, es interesante ver el regulador de aceptar la "combinación de AT & T, uno de los proveedores de telefonía y servicios de Internet más grandes del país, y DIRECTV, proveedor de vídeo por satélite más grande de la nación", aunque con cierta condiciones. No sería sorprendente que Comcast no es muy impresionados.

Las condiciones de la FCC puso en su lugar, acordaron por AT & T, significa que el proveedor tendrá garantía de nuevo los niveles de servicio para sus clientes residenciales y de los consumidores frente a negocio en Internet, incluyendo las siguientes:

Fibra al despliegue locales; por el que AT & T ha de ampliar su servicio FTTP a 12,5 millones de ubicaciones de los clientes, principalmente para disipar los temores de anti-competencia en áreas donde AT & T y DirecTV estaban en competencia directa.
Servicios Gigabit a escuelas y bibliotecas elegibles para el apoyo de los proveedores de telecomunicaciones locales para garantizar la conectividad a Internet.
Prácticas basados ​​en el uso no discriminatorias para asegurarse de que AT & T no se aplican las tapas de datos injustamente. "La Comisión requiere AT & T-DIRECTV, como condición de esta fusión, que se abstengan de imponer derechos de emisión basados ​​en el uso discriminatorias u otras condiciones comerciales discriminatorias y condiciones de su servicio de Internet de banda ancha", dijo la FCC en un comunicado.
Servicios de banda ancha de descuento para suscriptores de bajos ingresos. "La Comisión en consecuencia requiere como condición de la fusión que AT & T-DIRECTV ofrezca una, de bajo precio del servicio de banda ancha independiente asequible para los consumidores de bajos ingresos en su área de servicio de banda ancha.

Tags: 

Apocalipsis de Android

"Millones de teléfonos Android cuentan con desesperación los días antes
de que llegue su Apocalipsis".

Joshua J. Drake (@jduck) no necesita presentación. Es uno de los
habituales. Investigador reputado, speaker y ctflaguero reincidente
en conferencias de seguridad de prestigio. Drake se volcó hace ya
tiempo en el mundillo Android, se subió al barco de la empresa Zimperium,
especializada en seguridad para dispositivos móviles, y continuó allí su
trabajo de investigación en este campo. A quienes seguían su trayectoria
no les extraña que sea el descubridor de un fallo de categoría "agárrate
que nos la vamos a pegar bien fuerte".

El fallo se apoda Stagefright (podría traducirse como miedo escénico) y
sí, si te asolaba la duda puedes descansar tranquilo: tiene un icono
personalizado, aunque por razones obvias, no tiene una web asociada. El
nombre no está escogido al azar. En realidad la librería vulnerable se
llama así. Echemos un vistazo al esquema del mismo proyecto Android para
ver donde se ubica:

Observamos que existe un componente nativo, escrito en C++, que es
piedra angular del sistema de reproducción multimedia de Android.
Estos componentes nativos tienen una razón de ser muy importante
en el sistema. Android, en la capa de aplicación (API) presenta una
implementación propia en el conocido lenguaje Java. Para ciertas tareas
donde el consumo de memoria y los ciclos de CPU cotizan al alza el
rendimiento de Java es prohibitivo. Para ello se emplean lenguajes que
dominen el secreto y antiguo arte de los punteros y el manejo de memoria
manual. Al final de la lista, siempre, o casi siempre, nos quedan dos
candidatos: C o C++.

Hay tres cosas realmente complicadas para un ser humano con
adiestramiento informático: Resolver P vs NP, justificar la barra de Ask
en el instalador de Java y la gestión manual y segura de la memoria.
Sobre éste último mito se han escrito canciones y contado miles de
historias desde el albor de los tiempos de Epoch.

Drake atravesó las capas de Java y exploró las farragosas tierras de las
librerías nativas encontrando al final un gran tesoro; del que solo nos
falta ver el mapa.

Cuando Android recibe un archivo o flujo de datos con formato multimedia
tiene que invocar la funcionalidad de procesamiento desde esta librería
nativa 'libstagefright'. A partir de esa llamada la responsabilidad del
proceso cae sobre un componente nativo, con todo su poder, con todos sus
defectos.

¿Qué ocurre si la función encargada de reservar memoria de un búfer
permite que cierto parámetro sea manipulado externamente? Desbordamiento
de búfer. ¿Qué ocurriría si para calcular el final de un array me sobra
un entero? Off-by-one. ¿Qué pasará sin esa variable es iniciada mediante
una operación entre un entero con signo y un entero sin él?
Comportamiento indefinido, consecuencias dependientes de la
implementación.

Siete CVE se han apuntado a raíz de buscarle estos defectos a esta
librería, queden aquí registrados:

CVE-2015-1538
CVE-2015-1539
CVE-2015-3824
CVE-2015-3826
CVE-2015-3827
CVE-2015-3828
CVE-2015-3829

Hay un detalle, el más impactante mediáticamente, en el que se puede ver
como no es necesaria la intervención del usuario para que el terminal
caiga en desgracia. Y sí, esto es tal como se ve. Cuando se recibe un
mensaje multimedia (MMS) el sistema realiza una previsualización del
archivo. Todo el mecanismo que se acciona para reproducir un simple
vídeo, de forma similar se desencadena para crear esa previsualización.
Es decir, la librería nativa en ambos casos ha de abrir el archivo o
flujo, interpretar su cabecera, reservar memoria, acceder a los datos,
descomprimirlos e interpretarlos para formar una imagen o una secuencia
de estas (conocido también como, sorpresa, vídeo).

Debido a que las previsualizaciones se efectúan por obra y gracia del
sistema, el veneno ya está en la sangre; antes de que puedas terminar la
frase "me ca…" tu terminal se podría convertir en un estupendo ladrillo
de diseño futurista o portador de lo que nuestros analistas de malware
denominan cariñosamente: "un regalito".

Son vulnerables las versiones de Android desde la 2.2 hasta la 5.1.1.
Drake presentará los resultados de la investigación en la conferencia
Black Hat USA del próximo 5 de agosto, así como en la DefCon 23 del 7
agosto. Hay un pequeño detalle. Al apuntar ellos mismos la librería
donde están los fallos estamos seguros de que miles de IDAs están ahora
mismo barriendo los bytes de este componente de arriba abajo en busca de
los fallos antes de que las brechas se cierren; un filón.

El descubrimiento ha sido en modo responsable. Drake y compañía han
coordinado esfuerzos para que el equipo de Google corrija los fallos y
estos estén a disposición de los fabricantes. Algunos de ellos, una
minoría, han propagado ya las actualizaciones pertinentes para sellar
las grietas. Otros, como es de conocido sufrimiento, tardarán un poco
más y otros no llegarán nunca.

¿Nunca? Efectivamente. ¿Os acordáis de esos sistemas Android que ya no
verán actualizados sus vulnerables componentes WebView?

Fuente: http://unaaldia.hispasec.com/2015/07/drake-y-el-codiciado-tesoro-del-and...

Tags: 

Nuevo 0day en Java

Durante un buen tiempo Java fue la auténtica bestia negra para
la seguridad de los usuarios, la aparición de nuevos 0days,
vulnerabilidades, etc. era tan frecuente como en la actualidad
estamos viendo en Flash. Sin embargo hacía cerca de dos años que
no se anunciaba ningún 0day en Java, pero toda racha está destinada
a romperse: Acaba de anunciarse un nuevo 0day para Java.

Trend Micro ha descubierto este nuevo 0day a través de la investigación
y seguimiento de una campaña de ataques dirigidos, conocida como
Operación Pawn Storm. De este análisis encontraron una serie de URLs
sospechosas que alojaban el nuevo exploit como parte del ataque. Es
conveniente aclarar que este nuevo 0day no tiene nada que ver con los
recientemente descubiertos en Flash, como parte de las investigaciones
del Hacking Team.

Según Trend Micro las URL que alojaban el nuevo 0day de Java eran
similares a las URLs que se habían visto en los ataques conocidos como
Operación Pawn Storm, lanzados contra miembros de la OTAN y la Casa
Blanca el pasado abril. En este caso, las direcciones que alojaban el
exploit Java estaban incluidas en correos email dirigidos a ciertas
fuerzas armadas de un país de la OTAN y a una organización de defensa
de los Estados Unidos

Se le ha asignado el identificador CVE-2015-2590 y afecta a versiones
de Java 1.8.0.45. Las versiones anteriores de Java 1.6 y 1.7 no están
afectadas por este exploit. Oracle acaba de publicar una actualización
para este 0day como parte de su conjunto de parches de julio.

Tags: 

Red Dorsal - Perú 2016

El Ministerio de Transportes y Comunicaciones destacó que se conectará a 180 capitales de provincia con esta nueva infraestructura.
La mejora de la conectividad digital del Perú avanza. En el primer semestre del 2016 se culminarán con el tendido de la red dorsal de fibra óptica con el que el 92% de capitales de departamento tendrán acceso a Internet de banda ancha de alta velocidad.
“Con la red dorsal de fibra óptica que es un proyecto que ya terminó su primera etapa que es hasta Huancavelica y hasta junio del 2016 vamos a llegar a todas las 180 capitales de provincias en las diferentes regiones”, afirmó el ministro de Transportes y Comunicaciones, José Gallardo Ku.
La red dorsal nacional de fibra óptica, inició el tendido de sus redes en diciembre del 2014 y cuenta con una inversión de S/. 999 millones.
La primera entrega del tendido de red se realizó el 17 de marzo de 2015, en las 7 capitales de provincias de Huancavelica, y luego de un período de pruebas finales ingresó en operación el 12 de mayo del 2015. En esa región se desplegaron 453 kilómetros de fibra óptica.
Posteriormente se continuará con las entregas en Ayacucho, Apurímac e Ica, cuyas capitales de provincia deben terminar de ser interconectadas en julio del 2015.
A fines de este año se habrá logrado el avance en la mayoría de regiones del país, y el próximo año se conseguirá el objetivo (92% de capitales de provincia).

Tags: 

Nueva vulnerabilidad crítica en OpenSSL

Por si no teníamos ya bastante con vulnerabilidades como Heartbleed,
FREAK o la más reciente Logjam, llega una nueva vulnerabilidad crítica
en OpenSSL. Una vez más el problema podría facilitar a un atacante
remoto la realización de ataques de hombre en el medio, y poder
escuchar el tráfico de conexiones seguras.

El pasado lunes el equipo del proyecto OpenSSL anunció la publicación de
una nueva versión de OpenSSL para corregir una vulnerabilidad calificada
como de gravedad "alta". Este anuncio creó cierta expectación que
rápidamente quedó eclipsada por las informaciones relacionadas con
el Hacking Team. Todas las incógnitas sobre el problema han quedado
resueltas.

Tal y como anunció, el proyecto OpenSSL ha publicado hoy una
actualización para esta nueva vulnerabilidad de falsificación de cadenas
de certificados alternativos, identificada con CVE-2015-1793. La
vulnerabilidad está relacionada con el proceso de verificación de
certificados.

Durante la verificación de certificados si falla el primer intento de
construir la cadena de certificados, OpenSSL (desde versiones 1.0.1n y
1.0.2b) intentará encontrar una cadena de certificados alternativa. Sin
embargo, un error en la implementación puede permitir a un atacante
evitar la comprobación de determinados controles (como la bandera de CA)
en certificados no confiables. Esto puede permitir a un certificado de
usuario válido actuar como certificado de CA y emitir certificados, que
aunque no sean válidos, serán aceptados como confiables por el sitio
afectado.

Este problema afecta a cualquier aplicación que verifique certificados
incluyendo clientes SSL, TLS y DTLS y servidores SSL, TLS y DTLS que
usen autenticación de clientes. Afecta a las versiones 1.0.2c, 1.0.2b,
1.0.1n y 1.0.1o de OpenSSL.

Se han publicado las actualizaciones:
OpenSSL 1.0.2d para usuarios de OpenSSL 1.0.2b y 1.0.2c
OpenSSL 1.0.1p para usuarios de OpenSSL 1.0.1n y 1.0.1o

Tags: 

Páginas