Desde principios de 2010 se conoce (y todavía sigue vigente) una característica oculta en Windows 7 denominada “God Mode” que permite a los usuarios acceder a todos los paneles de control del sistema operativo dentro de una sola carpeta. De hecho incluye más de 270 elementos configurables, muchísimos más de los que encontramos directamente dentro del Panel de Control estándar.
Lo más sorprendente es que basta con crear un nuevo directorio y renombrarlo con la siguiente cadena de texto al final:

GodMode.{ED7BA470-8E54-465E-825C-99712043E01C}

Pruébalo y verás que serás capaz de manejar todo desde un solo lugar, desde cambiar la apariencia del puntero del ratón hasta hacer una nueva partición del disco duro. Se trata de un acceso directo para desarrolladores oculto y no documentado… y existen unos cuantos accesos directos más:

    Default Location – {00C6D95F-329C-409a-81D7-C46C66EA7F33}
Biometrics – {0142e4d0-fb7a-11dc-ba4a-000ffe7ab428}
Power Settings – {025A5937-A6BE-4686-A844-36FE4BEC8B6D}
Notification Area – {05d7b0f4-2121-4eff-bf6b-ed3f69b894d9}
Manage Credentials – {1206F5F1-0569-412C-8FEC-3204630DFB70}
Get New Programs – {15eae92e-f17a-4431-9f28-805e482dafd4}
Default Programs – {17cd9488-1228-4b2f-88ce-4298e93e0966}
NET Framework Assemblies – {1D2680C9-0E2A-469d-B787-065558BC7D43}
Wireless Networks – {1FA9085F-25A2-489B-85D4-86326EEDCD87}
Network Neighborhood – {208D2C60-3AEA-1069-A2D7-08002B30309D}
My Computer – {20D04FE0-3AEA-1069-A2D8-08002B30309D}
Printers – {2227A280-3AEA-1069-A2DE-08002B30309D
RemoteApp and Desktop – {241D7C96-F8BF-4F85-B01F-E2B043341A4B}
Windows Firewall – {4026492F-2F69-46B8-B9BF-5654FC07E423}
Performance – {78F3955E-3B90-4184-BD14-5397C15F1EFC}
Sync conflicts: {289978AC-A101-4341-A817-21EBA7FD046D}
Sync setup folder: {2E9E59C0-B437-4981-A647-9C34B9B90891}
Windows Update: {36eef7db-88ad-4e81-ad49-0e313f0c35f8}
Bluetooth Devices: {28803F59-3A75-4058-995F-4EE5503B023C}

Referencia: http://support.microsoft.com/kb/979240/es

Fuente: http://www.hackplayers.com/2014/04/el-modo-dios-en-windows-7-god-mode.html

Es poco probable que el mayor fallo de OpenSSL se arregle en la mayoría de dispositivos vulnerables como los sistemas de domótica y equipos de red empresariales.

Se calcula que el fallo de seguridad descubierto esta semana afecta a dos tercios de los sitios web y tiene a los usuarios de internet desesperados por comprender el problema y actualizar sus contraseñas en línea. Pero muchos sistemas vulnerables al fallo están ocultos al público y es poco probable que se arreglen.

OpenSSL, en el que se ha encontrado el fallo, bautizado como Heartbleed, se usa de forma generalizada en el software que conecta los dispositivos en casas, oficinas y entornos industriales a internet. Este fallo podría permanecer durante años en dispositivos como el hardware de red, los sistemas de automatización domésticos e, incluso, sistemas clave de control industrial, porque todos ellos se actualizan con muy poca frecuencia. 

Los dispositivos conectados a la red suelen ejecutar un servidor web básico para permitir al administrador acceder a los paneles de control en línea. En muchos casos estos servidores se aseguran a través de OpenSSL y tendrían que actualizar su software de forma constante, explica el presidente de la empresa de seguridad Lieberman Software, Philip Lieberman. Sin embargo es poco probable que esto sea una prioridad. “Los fabricantes de esos dispositivos no lanzarán parches para la gran mayoría de sus dispositivos y los consumidores parchearán por su cuenta una cantidad insignificante de los mismos”. 

Los aparatos de televisión por cable y los routers domésticos son sólo dos de los principales tipos de dispositivos que probablemente estén afectados, explica Lieberman. “Los proveedores de internet tienen millones de dispositivos de este tipo con el fallo dentro”, afirma. 

Es probable que este mismo problema afecte a muchas empresas, porque gran cantidad del hardware de red empresarial e industrial y de los sistemas de automatización empresarial también depende de OpenSSL, y este tipo de dispositivo tampoco se suele actualizar. La revisión a gran escala de direcciones de internet ya ha descubierto en anteriores ocasiones cientos de miles de dispositivos desde equipos informáticos hasta sistemas de control del tráfico que están configurados mal o no se han actualizado para resolver fallos conocidos.

“Al contrario que los servidores parcheados por ejércitos de empleados del departamento de informática de una empresa, estos dispositivos conectados a internet con partes de OpenSSL vulnerables no van a recibir la atención necesaria”, explica el encargado de estrategia e investigación en STEALTHbits Technologies, Jonathan Sander, que ayuda a las empresas a gestionar y hacer un seguimiento del acceso a los datos y las filtraciones. “OpenSSL es como un motor defectuoso que se ha usado en cada modelo y versión de coche, carrito de golf y scooter”.

Resulta complicado calcular cuántos dispositivos conectados a internet son susceptibles de tener el fallo Heartbleed, pero lleva mucho tiempo presente en OpenSSL. “Cualquier cosa que se compilara en una versión de OpenSSL entre diciembre de 2011 y antes de ayer podría ser vulnerable”, afirma el investigador de seguridad de la empresa de seguridad Rapid7, Mark Schloesser.

Otra incógnita es a qué datos de valor se puede acceder mediante un ataque aprovechando Heartbleed. Schloesser afirma que las pruebas hechas hasta ahora sugieren que varía mucho de un sistema a otro. Los servidores de Yahoo, por ejemplo, filtraron contraseñas de usuarios, mientras que otros filtraban cosas de poco valor.

No todos los que se dedican ahora mismo a averiguar qué sistemas filtran información importante son investigadores de seguridad bienintencionados. “Hay mucha gente intentando explotar el fallo a gran escala”, sostiene Schloesser. Destaca la actividad observada en los registros de servidores web para encontrar sistemas vulnerables desde que se dio a conocer el problema, y la aparición de scripts que se pueden usar para probar si los dispositivos tienen vulnerabilidades asociadas con Heartbleed o no. 

Sander señala que muchos dispositivos con un único cometido, por ejemplo los termostatos conectados a internet, no contienen información demasiado valiosa. Pero añade que podría ser la suficiente como para que un atacante entrara en ellos y se hiciera con su control y que incluso pequeñas cantidades de datos podrían revelar, por ejemplo, si hay alguien en casa o no. 

Fuente: Technology Review

Todos hemos sentido alguna vez la tentación y curiosidad de saber qué conversaciones y con quién, tienen nuestros amigos, familiares o pareja en sus redes sociales, esto es así, nos encanta saltarnos la privacidad, y ya desde los tiempos del difunto MSN Messenger tratábamos con modos más que dudosos de “adivinar” la contraseña de nuestros contactos. Como no, ahora con WhatsApp pasa exactamente lo mismo, queremos cotillear, y para ello recurrimos a aplicaciones que supuestamente nos mostrarán las conversaciones de quién le digamos, y de eso vamos a tratar en este post.

Y esto a qué viene, diréis, pues resulta que en los últimos tiempos han surgido distintas aplicaciones que tratan de aprovecharse de las inquietudes de la gente, prometiendo ser capaces de obtener las conversaciones de nuestros contactos, cosa que como ya avisa el twit, es totalmenteILEGAL, y como ahora veremos, una ESTAFA y totalmenteFALSO.

Una de estas aplicaciones es WhatsApp Spy, en la que para atraer al público, sus creadores proclaman: “Accede y lee conversaciones privadas de WhatsApp introduciendo el número de teléfono”.

Lanzan el anzuelo y sólo les queda esperar que los ingenuos usuarios, ansiosos por espiar a sus conocidos, piquen y manden un SMS obligatorio, necesario para descargar el programa, con el que automáticamente te suscribes a un servicio de mensajes premium a precio de oro. Después tan solo sería necesario introducir el prefijo y número de teléfono de “nuestra víctima” y como por arte de magia nos aparecería un archivo con todas las conversaciones, sencillo, rápido y MENTIRA. 

Cuando nos decidimos a descargarla nos aparecen una serie de enlaces que nos llevan a otra web en la que, previo paso por caja enviando un SMS, la podremos descargar, algo que nunca llega a ocurrir. Lo que sí sucede, es que con ese SMS nos hemos autosuscrito a otro servicio Premium, y cada mensaje que recibáis os engordará un poquito más vuestra factura a fin de mes. Un fraude.

En cambio, hace unos meses si existían aplicaciones como WhatsAppSniffer, que funcionaba de una manera un tanto diferente. Al instalarla en tu smartphone rooteado, lo que hacía era interceptar los mensajes que se producían bajo la misma red wifi a la que estabas conectado y te los mostraba. Eso sí, ésta debía cumplir unas condiciones de baja seguridad, como cifrado WEP, WPA o directamente abierta al público. Esta app llegó a estar disponible durante un tiempo en Google Play, aunque más tarde fue retirada y tras las actualizaciones de WhatsApp en materia de seguridad y cifrado de mensajes, finalmente dejó de funcionar.

Como veis, no existe ninguna aplicacióncapaz de espiar a nuestros contactos, y mucho menos de la manera que dicen esas aplicaciones, la mayor evidencia de ello la tenéis en la explicación que se da en el vídeo anterior, cuando habla de que han descubierto un código a través del cual acceden a la base de datos de WhatsApp para recuperar las conversaciones y bla bla bla; eso es imposible, ya que nuestros chats no se almacenan en los servidores de WhatsApp, si no que se guardan en un archivo local en nuestro propio móvil y por eso al cambiar de terminal, tendremos que importar ese archivo que previamente habíamos guardado, de otra manera, no nos aparecerían las conversaciones.

Fuente: El Androide Libre