Hay un grave problema de seguridad en macOS High Sierra, que permite que cualquiera pueda iniciar sesión como administrador, sin necesidad de contar con la contraseña.
Este bug lo reportó un desarrollador, Lemi Orhan Ergin, en Twitter:
Microsoft ha presentado un método práctico para reportar bugs en Microsoft Edge, su más reciente navegador. Se trata del hashtag #EdgeBug que, ligado al portal oficial para publicar o buscar información sobre diversas incidencias en Edge (EdgeHTML issue tracker), permite la generación de dichos reportes con apenas un tweet.
La idea surge de una desarrolladora y escritora, @LeaVerou, quien alegaba que sería interesante contar con la habilidad de reportar una buena cantidad de bugs directamente desde Twitter. En Microsoft la escucharon y decidieron implementar dicha sincronización para que cada tweet que contenga el mencionado hashtag, pase a convertirse en un nuevo post dentro del EdgeHTML issue tracker para luego proceder con su revisión y solución. Continúa leyendo «Ahora es posible reportar bugs de Microsoft Edge con el hashtag #EdgeBug»
Infer es una herramienta de análisis del código de aplicaciones móviles, propiedad de Facebook, que tiene como objetivo la identificación automatizada de los posibles errores comunes existentes en dicho código antes de que las aplicaciones sean puesta a disposición de los usuarios. La adquisición de Infer por parte de Facebook se produjo en el año 2013 como parte de un acuerdo realizado con la compañía Monoidics para adquirir ciertos activos, en el que además, el equipo se unía a Facebook durante el proceso.
Infer detectará automáticamente dichos errores en las miles de líneas de códigos de las aplicaciones y añadirá los comentarios necesarios dentro de los puntos donde hayan sido encontrados, lo que permitirá a los desarrolladores las correcciones de los mismos con el objetivo de que dichos códigos estén, dentro de lo posible, libre de errores antes de entregar las aplicaciones a los propios usuarios.
Esta herramienta ha sido empleada durante el proceso de desarrollo de las aplicaciones móviles de Facebook, incluyendo Facebook para Android e iOS, Facebook Messenger e Instagram, entre otras. A partir de hoy, Facebook ha liberado el código de la misma, estando disponible para la comunidad de código abierto a través de la plataforma GitHub. De esta manera, Infer se une a los más de 200 proyectos de código abierto que Facebook tiene disponible en la plataforma GitHub, entre los que también se encuentra la máquina virtual HipHop, la librería fresco, e incluso la libería JavaScript React.
Si os gusta encontrar problemas de seguridad para avisar de su existencia a las empresas responsables por los diferentes sistemas, atentos al nuevo proyecto de Dropbox.
Comienzan su programa de «paguemos a los que encuentren fallos» usando hackerone como plataforma, existiendo ya un perfil en hackerone.com/dropbox.
Lo anuncian en el blog oficial indicando que, además de pagar a los que encuentren errores de aquí en adelante, también pagarán de forma retroactiva a los que reportaron errores usando su programa existente (ya han pagado casi 11.000 dólares de esta forma).
El premio dependerá de varios factores, partiendo de 216 dólares. Lo máximo que ya han pagado es de 4.913 dólares.
Si varias personas identifican el mismo problema, pagarán al primero de ellos, teniendo como objetivo tanto a Dropbox y Carousel como a Mailbox para iOS y Android y el SDK ofrecido por Dropbox.
Para poder reportar este tipo de errores, es necesario contar con una cuenta de prueba. Este tipo de cuentas son habilitadas por Facebook con el único fin de investigar una vulnerabilidad sin la necesidad de tener que emplear una cuenta real, además de no contar con la posibilidad de interactuar con usuarios reales de la red social. A la hora de recompensar a un determinado usuario por haber localizado un fallo, Facebook tiene en cuenta el impacto del mismo para determinar la recompensa que se pagará al mismo, por lo que no recibirá la misma recompensa un usuario que reporte un fallo de seguridad potencial que puede poner en riesgo la seguridad y privacidad de millones de usuarios que otro que descubra un error menor. A pesar de ello, hasta ahora la recompensa mínima era de 500 dólares, por lo que el saber que siempre obtendremos el doble de lo pagado hasta ahora debería de ser motivador para todos aquellos con los conocimientos necesarios para localizar este tipo de vulnerabilidades.
Así es, eso es lo que acaba de publicar en su perfil de Twitter el siempre polémico y multimillonario creador de la franquicia MEGA, Kim Dotcom. Con su programa de detección de vulnerabilidades y bugs en MEGA, ofrece hasta 10.000 euros (algo más de 13.500 dólares al cambio según Google.com) a quien logre encontrar problemas con la seguridad del sistema de almacenamiento «más seguro en la red».
Claramente hay ciertas reglas y condiciones para que sea válido y efectivo determinado reporte: ejecución remota de código malicioso desde su servidores, ejecuciones remotas desde programas clientes, programas que pasen su sistema de encriptación y manipulen las claves de los ficheros, acceso no autorizado con sobreescritura de claves y violaciones de cuentas de usuarios que puedan comprometer también sus cuentas de email.
Se prescinde en general de bugs que incluyan negligencias del usuario como el pishing, la ingeniería social -análisis a partir de los datos en redes sociales-, intrusiones debido a contraseñas débiles, ataques de denegación de servicio, acciones de hecho que impliquen atentar contra los centros de datos, vulnerabilidades en servicios de terceros (como los resellers de hosting) y ataques teóricos (que requieran extremo potencial computacional), entre otros.
Como si fuera poco, también se incluye un premio especial para quien logre conseguir la clave de cifrado de un archivo a través de un ataque de fuerza bruta, cuya URL han publicado en el blog de MEGA, y luego la envíe encriptada a través de un enlace dispuesto también en el blog.
El programa de recompensas ha sido titulado The MEGA Vulnerability Reward Program y se da como respuesta a las críticas técnicas de sitios como Forbes y Ars Technica que con buenos argumentos ponen en duda el nivel de seguridad de MEGA. La idea obviamente es solucionar los fallos y de paso aumentar la confianza, tanto en usuarios como en detractores (ya lo hizo al cerrar un buscador ayer), al presentar al público una alternativa de almacenamiento casi perfecta, segura, legal y privada.
