Como encontrar tu password en tu WiFi

No poder recordar la contraseña de una red Wi-Fi puede ser una experiencia frustrante. Afortunadamente, hay algunas formas rápidas de rastrear la colección errante de letras, números y caracteres especiales.

Como eliminar los programas de inicio de Windows 10

La carga de todas sus aplicaciones con Windows las hace más rápidas cuando desea usarlas, pero ralentiza la carga de Windows. Explicamos cómo administrar sus programas de inicio para que Windows arranque más rápido

Como mover aplicaciones de Windows a SD o USB

Como mover aplicaciones de Windows a SD o USB

Ransomware Black-Router promovido como un desarrollador de software

Un desarrollador iraní descubrió que un ransomware llamado BlackRouter fue promovido como un Ransomware-as-a-Service en Telegram

Microsoft Office version 1901 para Windows

Microsoft ha lanzado una nueva compilación de vista previa de Office la 1901 para usuarios que participan en el programa Insider.

Twitter corrige un error en su aplicacion de Android que exponía Tweets protegidos

Un error en la aplicación de Twitter para Android pudo haber expuesto tweets reveló la plataforma de medios sociales el jueves.

Es posible que no pueda usar un protector de pantalla en el Samsung Galaxy S10

El Galaxy S10 será el primer teléfono inteligente de Samsung en presentar un sensor de huellas dactilares integrado en la pantalla, pero esta nueva implementación viene con sus pros y sus contras.

Microsoft lanza la version preliminar de KB4480955 para Windows 7

Microsoft ha publicado la vista previa del paquete acumulativo mensual para Windows 7, que permite a los usuarios probar algunas de las mejoras que introduciría como parte del ciclo del martes de parches de febrero de 2018.

Alemania quiere prohibir a Huawei de sus redes 5G

Actualmente Alemania está estudiando una posible prohibición de que Huawei participe en el desarrollo de sus redes 5G, una vez más debido a la preocupación de que la compañía podría estar espiando para el gobierno chino.

Microsoft mejora el modo oscuro en la aplicacion de correo de Windows 10

Microsoft ahora está experimentando con una serie de cambios visuales para las aplicaciones de Correo y Calendario de Windows 10, ya que la compañía quiere refinar el modo oscuro que se ofrece a los usuarios.

Notas del parche de Windows 10 KB4480977 version 1607

Microsoft ha lanzado una nueva actualización acumulativa para la actualización de aniversario de Windows 10 (versión 1607), que ya no recibe soporte a menos que los dispositivos estén inscritos en la sucursal LTSC.

Purism anuncia la tienda de aplicaciones PureOS para su telefono Librem 5 Linux

Purism sorprendió a todos al anunciar que funciona en una tienda de aplicaciones para su sistema operativo basado en Linux, PureOS, con el fin de poder entregar aplicaciones a sus computadoras portátiles y al próximo teléfono Librem 5 Linux.

Editor de graficos vectoriales de codigo abierto Inkscape 1.0

Después de estar en desarrollo durante los últimos 15 años el editor de gráficos vectoriales de código abierto y gratuito de Inkscape finalmente está alcanzando el hito 1.0, demostrando su madurez con nuevas y emocionantes características y mejoras.

KDE Plasma 5.15 entra en Beta y promete numerosas mejoras

El Proyecto KDE anunció la disponibilidad general de la versión beta del próximo entorno de escritorio KDE Plasma 5.15 para sistemas operativos basados ​​en Linux.

Sitios web de comercio electronico inyectados con codigo skimming

Cientos de sitios de comercio electrónico infectados con el código skimmer malicioso que roba la tarjeta de pago del cliente de las páginas de pago.

Dos hackers arrestados vinculados a ataques DDoS

Dos jóvenes hackers arrestados por lanzar ataques DDoS en varias fuentes críticas de Ucrania, incluida la ciudad de Mariupol y varias otras instituciones educativas

Como rootear tablets y moviles Android

Rootear tu dispositivo Android puede tener varios beneficios, pero tampoco es algo que debas hacer por capricho. Vamos a desglosar los beneficios y mostrarle cómo rootear su teléfono o tableta Android.

773 millones de credenciales de correo electronico y passwords filtradas

Bienvenido a la violación de datos masivos de 2019 alrededor de 773 millones de datos que contienen direcciones de correo electrónico y las contraseñas fueron violadas y circuladas en foros de hackers.

Apple reducira contrataciones por las lentas ventas del iPhone

La demanda más débil de lo anticipado para iPhones está obligando a Apple a recurrir a varias medidas de ahorro de costos, y luego de reducir la producción de dispositivos y anunciar recortes de precios, la compañía ahora también reduce las contrataciones.

La seguridad del navegador de Emsisoft lo protege de los sitios malintencionados

Para aquellos que buscan protección adicional mientras navegan por la web, Emsisoft ha lanzado una extensión de navegador que le impedirá interactuar con sitios conocidos de phishing, malware o estafa

Windows 10 1903 convierte Cortana en un ciudadano de segunda clase

Los rumores que llegaron a los titulares el año pasado indicaron que Microsoft podría matar a Cortana en algún momento en el futuro y, si bien esto es muy poco probable, el gigante del software aún está realizando cambios que reducen su exposición en Windows 10.

1903 de Windows 10 se ofrece a los usuarios para que Windows sea aun mejor

Microsoft está probando un nuevo mensaje que se mostraría en la primera ejecución después de instalar o actualizar Windows 10 y que ofrecería a los usuarios mejorar Windows aún más.

Windows 10 KB4480116 causa problemas de navegacion

La actualización acumulativa más reciente para Windows 10 versión 1809 (actualización de octubre de 2018) descompone a Microsoft Edge cuando intenta cargar una página local.

Android Q confirma el tema oscuro de todo el sistema

Se ha confirmado muchas veces que Google está trabajando en un tema oscuro de todo el sistema para una versión futura de su sistema operativo móvil Android basado en Linux, pero la última fuga de Android Q ofrece un primer vistazo al nuevo modo oscuro y otras funciones próximas.

Aplicaciones web y servidores JavaScript vulnerables a ataques ReDoS

Las aplicaciones web JavaScript y los servidores web son susceptibles a un tipo específico de vulnerabilidades / ataques conocidos como denegación de servicio de expresión regular ReDoS

Estas vulnerabilidades tienen lugar cuando un atacante envía fragmentos de texto grandes y complejos a la entrada abierta de un servidor web o aplicación basados ​​en JavaScript.

Si el componente del servidor o una biblioteca de aplicaciones no están diseñados específicamente para manejar varios casos extremos, la entrada del atacante puede terminar bloqueando toda la aplicación o el servidor por segundos o minutos a la vez, mientras el servidor analiza y compara el patrón con la entrada.

Varios lenguajes de programación y tecnologías de servidor web tienen problemas similares con el rendimiento de operaciones de coincidencia de patrones y ataques ReDoS, pero son enormemente exagerados en el caso de JavaScript debido al modelo de ejecución de un solo subproceso de la mayoría de los servidores JavaScript, donde cada solicitud es manejada por el mismo hilo.

Cuando se produce un ataque ReDoS, esto termina obstruyendo todo el servidor, en lugar de ralentizar una operación en particular.

Ataques ReDoS conocidos desde 2012 pero cobrando impulso

Los ataques ReDoS en el caso de los servidores JavaScript se detallaron por primera vez en un documento de investigación publicado en 2012, pero en aquel entonces, JavaScript, y Node.js, en particular, no eran tan gigantescos como en la escena de desarrollo web, por lo tanto, este problema particular fue ignorado en gran parte durante otra mitad de la década.

La investigación posterior publicada en 2017 reveló que el 5% de las vulnerabilidades totales encontradas en las bibliotecas y aplicaciones de Node.js eran vulnerabilidades ReDoS.

Pero según una investigación presentada en una conferencia de seguridad la semana pasada, el problema de ReDoS está ganando impulso en la comunidad de JavaScript porque no se ha tratado durante tantos años.

Cristian-Alexandru Staicu y Michael Pradel, dos académicos de la Universidad Técnica de Darmstadt, Alemania, dicen haber encontrado 25 vulnerabilidades desconocidas hasta ahora en los populares módulos Node.js.

Los dos dijeron que un atacante podría crear paquetes de exploits especiales y atacar sitios web / servidores usando cualquiera de estas 25 bibliotecas.

Enviar paquetes de exploits hace que cualquiera de los sitios vulnerables se congele entre unos segundos e incluso minutos, ya que el servidor intenta hacer coincidir el texto contenido en el exploit con un patrón de expresión regular ( regex ) para decidir qué hacer con el entrada. Tales filtros regex en los campos de entrada son comunes, ya que son la base de muchos filtros XSS.

Pero aunque un ataque es malo, enviar paquetes de exploits repetidos al mismo servidor puede causar periodos de inactividad prolongados.

Casi 340 sitios vulnerables a ataques ReDoS

Staicu y Pradel dicen que la razón principal de estos defectos es la falta de atención al rendimiento del ajuste de expresiones regulares, ya que la mayoría de los desarrolladores parecen estar enfocados en la precisión, dejando grandes agujeros en su código que los atacantes pueden explotar usando ataques ReDoS.

Los dos también llevaron su investigación un paso más allá. Idearon un método para detectar estas vulnerabilidades en sitios web en vivo sin utilizar realmente el código de explotación ReDoS.

Utilizaron este método para escanear 2.846 sitios populares basados ​​en Node.js, revelando que 339 -aproximadamente 12% - eran vulnerables a al menos una vulnerabilidad ReDoS.

"ReDoS representa una seria amenaza para la disponibilidad de estos sitios", dijo el equipo de investigación. "Nuestros resultados son un llamado a las armas para el desarrollo de técnicas para detectar y mitigar vulnerabilidades ReDoS en JavaScript".

Algunos problemas ReDoS fueron parcheados

El equipo de investigación de TU Darmstadt informó todas las vulnerabilidades a los desarrolladores de módulos respectivos, algunos de los cuales abordaron los problemas. Este repositorio de GitHub contiene exploits de prueba de concepto para probar las bibliotecas vulnerables pero también enlaces a las correcciones apropiadas para los módulos afectados.

Además de JavaScript, también se sabe que Java se ve afectado por los ataques ReDoS. En 2017 , investigadores de la Universidad de Texas en Austin crearon una herramienta llamada Rexploiter, que utilizaron para encontrar 41 vulnerabilidades ReDoS en 150 programas Java recopilados de GitHub.