«Noticias sobre SWL», es una contribución de Lázaro y Delio Orozco González a la Comunidad Cubana de Software Libre, suscrita a la lista de GUTL.
Sumario: =============================================================================== 1.-Chris Beard es el nuevo CEO de Mozilla. 2.-Importante vulnerabilidad afectaría a las 50 apps más populares de Android. 3.-Maligno. Herramienta de pruebas de penetración de Código Abierto. =============================================================================== 1.-Chris Beard es el nuevo CEO de Mozilla. Fecha: 28 de julio de 2014. Chris Beard ha sido confirmado como el nuevo Director Ejecutivo (CEO) de Mozilla, luego de tres meses ocupando el cargo de forma interina o temporal. Durante el pasado mes de marzo se vivieron algunos acontecimientos bastante polémicos en las oficinas directivas de Mozilla, la organización sin fines de lucro responsable de algunos productos muy conocidos en la internet, sobre todo cuando se habla de estándares abiertos o libres. Brendan Eich fue designado el 24 de marzo de 2014 como nuevo CEO de Mozilla, y esto desató una cadena de sucesos que terminaron en su dimisión. "Luego de 3 meses como CEO interino, Chris Beard es confirmado como el nuevo Director Ejecutivo" El caso es que se descubrió y publicó que Eich, creador de JavaScript, había realizado donaciones a campañas que buscan evitar la aprobación de derechos igualitarios para parejas del mismo sexo. El hecho de que Eich esté en contra del matrimonio igualitario desató polémica en los medios y en la misma Mozilla, dado que tres ejecutivos de la junta directiva renunciaron, como protesta. Luego de esto, Chris Beard fue apuntado como CEO interino, para continuar con las labores directivas mientras se buscaba a la persona que ejercería el cargo de forma definitiva. Sin embargo, el día de hoy desde Mozilla han anunciado que Chris Beard ha sido confirmado como el nuevo Director Ejecutivo de la organización. Beard, antiguo CMO de la organización, ha sido uno de los hombres más importantes en el crecimiento de Mozilla durante los últimos 10 años, impulsando el lanzamiento de Firefox en Android y siendo un aliado clave para Jay Sullivan en el lanzamiento de Firefox OS, el sistema operativo móvil de la casa enfocado, inicialmente, en los mercados emergentes, y que cuenta con el importante apoyo de operadores como Telefónica. Así que, a partir de ahora, Chris Beard, un hombre de la casa del famoso navegador de internet del panda rojo, tiene la difícil pero gran tarea de sacar adelante los productos de Mozilla, tomando las decisiones más importantes para impulsar no solo el navegador, sino también todo el ecosistema de desarrollo que han creado, y por supuesto, seguir con sus ambiciones de conquistar (de cierta forma) el mercado móvil, llevando smartphones a todos con Firefox OS. Fuente: www.alt1040.com ============================================================================== 2.-Importante vulnerabilidad afectaría a las 50 apps más populares de Android. Fecha: 29 de julio de 2014. 50 de las más populares apps de Android sufrirían graves fallos de seguridad según un estudio del grupo Codenomicon que se publicará esta semana. Lo más común es enviar información del usuario a redes publicitarias de terceros. Los coletazos de la tormenta Heartbleed aún se han acabado a pesar de haber pasado ya varios meses desde que todo saliera a la luz. Y es que resulta que como consecuencia de la reutilización de librerías de software por lo menos 50 apps de las más populares para Android sufrirían graves vulnerabilidades de seguridad, según podemos leer en IT News. "Heartbleed es el agujero de seguridad más importante de internet" La web australiana ha adelantado una investigación que se hará pública esta semana por el grupo Codenomicon, los mismos que destaparon el famoso fallo de seguridad en OpenSSL. Sus estudios demuestran que más de la mitad de las 50 apps envían información del usuario, normalmente en texto plano, a redes de publicidad de terceros sin el consentimiento del dueño del terminal. Es más, incluso algunos desarrolladores desconocían tal hecho. El especialista jefe de Codenomicon, Olli Jarva, comenta que entre el 80% y 90% de las aplicaciones de software móvil están hechas de librerías reutilizadas, la mayoría de las cuales están bajo código abierto. Algo que es normal, ciertamente, ya que los desarrolladores a día de hoy prefieren lanzar una app de manera rápida antes que revisar una y otra vez su código. Cerca de la mitad de las cincuenta aplicaciones mencionadas envían el Android ID a redes publicitarias de terceros, una de cada diez envía el IMEI del dispositivo o información de geolocalización e, incluso, una enviaba el número de teléfono del usuario. El estudio revela que el 30% de estas apps transmiten los datos en texto plano y que la mayoría no encriptan la información. "Esta brecha se produciría por no revisar las librerías de OpenSSL" La información que se refleja en el avance del estudio podría llevar a dos conclusiones: los desarrolladores no son conscientes de las vulnerabilidades (lógico, teniendo en cuenta las prisas a las que se ven sometidos); los desarrolladores son conscientes de estos fallos (lo cual nos llevaría a pensar que reciben importantes sumas de dinero por dejar estas puertas abiertas y filtrar información sobre nosotros y nuestro comportamiento). Sea cual sea, y no tengo claro cual prefiero de las dos opciones, debería llevar a una seria revisión del software que tenemos en nuestros dispositivos. Pero sobre todo debería llevar a una revisión de la ética empresarial, tanto de unos como de otros, para que no nos traten como meros números. Fuente: www.alt1040.com ===================================================================== 3.-Maligno. Herramienta de pruebas de penetración de Código Abierto. Fecha: 22 Julio 2014. Maligno es una herramienta de pruebas de penetración de código abierto que sirve cargas útiles Metasploit. Genera código shell con msfvenom y la transmite a través de HTTP o HTTPS. El código shell se cifra con AES y se codifica con Base64 antes de la transmisión. Esta es una colección de herramientas que pueden ser útiles para usted, si usted es un pentester o consultor de seguridad. Todo el código fuente publicado en este sitio web está licenciado bajo la licencia FreeBSD. Utilice el software a su propio riesgo. Es la responsabilidad del usuario obedecer todas las leyes aplicables. El desarrollador o el sitio web Encripto AS no asumen ninguna responsabilidad y no son responsables de cualquier mal uso o daño causado por el software. No descargar ni utilice el software, si usted no está de acuerdo con los términos y condiciones de la licencia. Características: Soporte multi-host Metasploit, soporte de servidor socks4a (Metasploit), último recurso para la redirección de las solicitudes no válidas y hosts fuera de alcance, ofuscación del código de cliente automático, ejecución de carga del cliente retrasada, generación de archivos metasploit automática de recursos. Sitio web de descarga. http://www.encripto.no/tools/ COMMAND LIST ============ maligno | this helper maligno-certgen | SSL/TLS certificates generator maligno-client | client/backdoor creator maligno-server | server/listener maligno-conf-edit | edit configuration file maligno-conf-helper | how to edit the configuration file maligno-helper Fuente: www.linux-party.com -- Este mensaje ha sido analizado por MailScanner en busca de virus y otros contenidos peligrosos, y se considera que está limpio. ______________________________________________________________________ Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba. Gutl-l@jovenclub.cu https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
