lunes, 30 de septiembre de 2013

Enfría tu bebida en 45 segundos con RapidCool.

Enfría tu bebida en 45 segundos con RapidCool.

nevera1

Ya no tendrás que esperar horas a que una bebida se te enfríe. Gracias a RapidCool, un proyecto innovador apoyado por lo fondos de investigación de la UE y en el ha participado la española Dymtec (Instalaciones Frigoríficas Integrales), los comerciantes podrán ofrecer en tan solo 45 segundos un refresco frío.

De esta forma, los vendedores ahorran dinero y también se ayuda al medio ambiente. RapidCool consigue enfriar latas y botellas en solo unos segundos. Así se ahorra más de un 80% en energía si se compara con las neveras abiertas y un 54% en frigoríficos con puerta de cristal. En el primer caso, el ahorro de electricidad se estima en 832 euros, mientras que en el segundo es de 219 euros.

En el siguiente video pueden apreciar como funciona: http://www.youtube.com/watch?v=NSVChmfcv2k&feature=player_embedded

Video

Este invento tiene como objetivo además de enfriar pequeñas cantidades bajo demanda, evitar tener grandes neveras funcionando continuamente para poder ofrecer bebidas frías durante las horas de apertura de los establecimientos. La clave del éxito de la tecnología patentada V-Tex de RapidCool es la forma en que la bebida se agita sin que burbujee al abrirse.

Sustituir a las neveras tradicionales
Aunque se ha diseñado para funcionar como una unidad independiente, la cámara de refrigeración puede integrarse en neveras de autoservicio. De esta forma, se demuestra que podría sustituir la gran mayoría de neveras de bebidas del mundo.

nevera
 
 

La Unión Europea está cerca de hacer obligatorio el uso de microUSB.

La Unión Europea está cerca de hacer obligatorio el uso de microUSB.
 
 


Esto obligaría a Apple a dehacerse de su conector “Lightning” en la zona para sus productos.


Recientemente, una de las Comisiones del Parlamento Europeo alcanzó un consenso unánime a favor de la decisión de obligar a todos los fabricantes de productos tecnológicos, especialmente en el área de las tabletas y teléfonos móviles, a utilizar un único estándar para el conector del cargador de corriente, lo que resultaría en que todos los equipos deban llevar consigo un puerto microUSB.

Según indica la entidad, el objetivo es terminar con el “caos” que existe en torno a los diferentes formatos de cables, así como también se busca reducir la producción de basura tecnológica resultante de cargadores obsoletos y que no sirven para nada.

Esta propuesta y decisión de la comisión ahora debe pasar por un par de procesos democráticos para finalmente convertirse en una ley, lo que afectaría principalmente a Apple y su cargador “Lightning”, siendo una de las pocas compañías que se ha alejado del estándar microUSB para introducir el suyo propio y que de aprobarse la ley en la Unión Europea, tendrá que modificar sus productos en la zona.

 

domingo, 29 de septiembre de 2013

Apple corrige dos saltos de restricciones en iOS 7.

Apple corrige dos saltos de restricciones en iOS 7.
Después de la publicación de iOS 7 el pasado día 18, Apple se ha apresurado a lanzar una nueva versión (la 7.0.2) que corrige dos nuevas vulnerabilidades.

Ambas están relacionadas con el código de desbloqueo de los dispositivos. La primera de ellas, con CVE-2013-5160 permite que cualquier persona con acceso al dispositivo pueda realizar llamadas sin conocer el código de desbloqueo del mismo. Esto ocurre en iPhone 4 y posteriores debido a un error conocido como puntero de deferencia nula. Estando en la pantalla de llamada de emergencia, se teclea el número al que se desea llamar y posteriormente se pulsa repetidas veces el número de llamada. El dispositivo se reiniciará y llamará al número marcado.

La segunda vulnerabilidad con CVE-2013-5161 también afectaría a los iPhone 4 y posteriores, además de los iPod touch y los iPad 2 y posteriores. Se podría tener acceso a la lista de aplicaciones, a las últimas llamadas realizadas, además de poder acceder a la aplicación de la cámara y ver/editar las fotos realizadas con esta.

La nueva actualización ya está disponible en los dispositivos a través del menú Ajustes -> General -> Actualización software.

Más información:

APPLE-SA-2013-09-26-1
http://support.apple.com/kb/HT5957

 

sábado, 28 de septiembre de 2013

¿Veremos un HTC One con 3GB de RAM y procesador de ocho núcleos?.

¿Veremos un HTC One con 3GB de RAM y procesador de ocho núcleos?.

El Samsung Galaxy Note 3 ha marcado el precedente, al ser el primer smartphone que llega con una memoria de 3 GB de RAM. Lo más probable es que de ahora en adelante veamos muchos móviles nuevos con esa memoria RAM, e incluso algunos que ya están en el mercado. HTC podría estar preparando un nuevo HTC One con una memoria RAM de 3 GB y un procesador de ocho núcleos.

Aunque hemos oído hablar de nuevos smartphone de HTC que podrían llegar al mercado en los próximos meses, una versión del HTC One con estas especificaciones es totalmente nueva. La información proviene de Grecia, donde ya estaría presente un prototipo de este terminal que contaría con dicha memoria RAM, una unidad de 3 GB, así como con un procesador de ocho núcleos. En realidad, tendría sentido que la compañía taiwanesa quisiera actualizar su smartphone insignia para competir con el mercado actual, aunque hay algunas cosas que no acaban de encajar.
HTC One+

Y es que, mientras tiene mucha lógica que se lance un smartphone con una memoria RAM de 3 GB, no ocurre lo mismo en el caso del procesador de ocho núcleos. La memoria de 3 GB tendrá una repercusión directa en el funcionamiento del smartphone, pues permite que se ejecuten más aplicaciones de manera simultánea en el terminal manteniendo la fluidez del funcionamiento de este. Sin embargo, instalar un procesador de ocho núcleos no es tan sencillo. Y no nos referimos a que HTC no tenga buenos ingenieros, sino que actualmente solo hay dos posibilidades si hablamos de procesadores de ocho núcleos. Una de ellas es el Exynos Octa Core de Samsung. Sin embargo, que HTC opte por adquirir un procesador de Samsung no parece demasiado lógico. La otra opción es el procesador de MediaTek de ocho núcleos en el que se está trabajando. No obstante, este procesador sería de ocho núcleos con arquitectura Cortex-A7, por lo que su rendimiento final sería inferior que el del procesador que tiene actualmente, el Snapdragon 600. La única opción sería el Exynos de Samsung, así que todavía habrá que esperar a ver si se confirman algunos de estos datos.

viernes, 27 de septiembre de 2013

El fenómeno del fin del mundo.

El fenómeno del fin del mundo.
 

Desde hace unos años a la fecha, existe una obsesión en cuanto al fin del mundo muy marcada. ¿Cuantas películas no han visto referidas al fin del mundo por una u otra causa que dicho sea de paso, la mayoría son provenientes del espacio cuando la realidad es que la amenaza más real es el mismo hombre?.

El ser humano al parecer tiene una fijación por el fin del mundo, destrucción y caos, las ultimas películas así lo reflejan, tres películas distintas hacen referencia a un ataque sorpresivo a Estados Unidos, específicamente la destrucción de la Casa Blanca que para bien o para mal simboliza el poder mundial, otras tantas se refieren a un apocalipsis de zombis y así pare de contar. Al parecer estos temas son los que le llaman la atención al común de la gente pero en realidad, ¿cual es nuestra mayor amenaza?.

¿Que piensan las mentes brillantes?
Mentes brillantes del Reino Unido identificaron cuáles son las mayores amenazas terminales que atentan contra la humanidad e investigan diversas posibles maneras de garantizar su supervivencia a largo plazo.
Algunos de los extremos peligros detectados serían demoledores ataques cibernéticos realizados por terroristas, la propagación de enfermedades programadas y computadoras asesinas.

"Las principales amenazas a la supervivencia de la existencia humana provienen ahora de la gente, y no de la naturaleza", afirmó el astrónomo Martin Rees, quien lidera el Centro para el Estudio del Riesgo Existencial (CSER,
 por sus siglas en inglés) de la Universidad de Cambridge, institución británica responsable de la investigación. Dentro de la lista de amenazas, se considera la aniquilación nuclear, un asteroide arrasador, desastres naturales extremos, y pandemias de rápida propagación.

Si bien el proyecto se encuentra en estado embrionario, hay que destacar las ilustres figuras que conforman el equipo de trabajo, entre ellas, el reconocido físico británico Stephen Hawking. "En las futuras décadas, eventos con poca probabilidad pero con consecuencias catastróficas van a verse reflejados con intensidad en la agenda política", aseguró el científico en el Festival Británico de Ciencia en la Universidad de Newcastle.
 
Más información:
 

jueves, 26 de septiembre de 2013

¿HTTPS, que es y como funciona?.

¿HTTPS, que es y como funciona?.
 
HTTPS

Hace poco comentaba sobre el descubrimiento de una vulnerabilidad que afecta al cifrado del código HTTPS. Pues bien, muchos de los sitios que visitamos diariamente están protegidos por HTTPS. Gmail, Twitter, Facebook o Google son sólo unos ejemplos. Nos dicen que es por nuestra seguridad pero, ¿cómo nos protege ese protocolo? ¿Qué ventajas tiene frente a HTTP normal? Y, lo más importante: ¿Cómo funciona?
Vamos a intentar dar respuesta a todas esas preguntas en este artículo, empezando por la más importante: ¿por qué necesitamos HTTPS?

Imagino que todos sabréis qué es HTTP, el protocolo que utilizan los navegadores para comunicarse con los servidores web y que te permite ver páginas web como esta. Funciona bien pero tiene un problema: la seguridad.

Con HTTP, cualquier dato se transmite en texto plano, sin cifrar. Es decir, que cualquiera que se conecte a tu red WiFi, o que tenga acceso a la comunicación entre tu ordenador y el servidor (tu ISP, por ejemplo) puede ver todos los datos que recibes y envías. Por ejemplo, podrían ver las contraseñas que usas para entrar en tu correo, o realizar operaciones adicionales cuando navegas por la web de tu banco.

¿Qué es HTTPS?

Hay que cifrar esos datos para evitar que nadie más pueda verlos. Para eso está el protocolo HTTPS (Hyper Text Transfer Protocol Secure). En sí mismo HTTPS no es más que HTTP normal sobre SSL/TLS.

SSL/TLS (Secure Sockets Layer/Transmission Layer Security) son dos protocolos para enviar paquetes cifrados a través de Internet, siendo el último el más moderno. Sirven igual para HTTP que para cualquier otro protocolo de comunicación, aunque en este artículo veremos únicamente su aplicación en HTTPS.

¿Cómo se establece una conexión segura?

Como bien sabéis, para cifrar datos se necesita una clave. Esa clave tendrá que saberla tanto el navegador como el servidor para poder comunicarse. El primer problema aparece rápidamente: ¿cómo compartimos una clave de forma segura (sin que nadie más pueda saberla)? Está claro que la clave tiene que ser única para cada conexión, por lo que no puede venir preconfigurada en los ordenadores.

Aquí entra en juego una de las maravillas de la criptografía moderna: un sistema de clave pública/clave privada, cifrado asimétrico.

La pre-clave se genera en el navegador, y se comparte con el servidor usando criptografía asimétrica
Las claves pública y privada son un par de números relacionados de una forma especial, de tal forma que un mensaje cifrado con una clave sólo puede ser cifrado con su par correspondiente. Por ejemplo, si quiero enviar un mensaje a un servidor, lo cifro con su clave pública para que sólo se pueda descifrar con su clave privada.
Y precisamente este es el primer paso esencial de una conexión HTTPS. Después de haber acordado detalles técnicos entre navegador y servidor (versión del protocolo, algoritmos de cifrado asimétrico y simétrico que se usarán…), el navegador cifra una preclave generada en el momento con la clave pública del servidor al que nos queremos conectar. Eso se envía al servidor, que descifra la preclave con su clave privada.

Tanto el servidor como el navegador aplicarán un cierto algoritmo a la preclave y obtendrán la misma clave de cifrado. De esta forma hemos superado el primer (y mayor) problema que teníamos: intercambiar la clave. A partir de entonces, simplemente se cifran y descifran los datos con esa clave.

Como nadie más sabe esa clave, nuestras comunicaciones serán seguras y nadie podrá verlas (siempre y cuando el algoritmo de cifrado simétrico sea seguro, claro).
Alguno se preguntará por qué intercambiar una clave y no cifrar directamente los datos usando cifrado asimétrico. La principal razón es que el cifrado simétrico es muchísimo más rápido que el asimétrico, e intercambiar la clave no resulta un problema que haya que sortear.

¿Qué datos protege HTTPS?

La pregunta obvia es saber qué datos se protegen cuando usamos una conexión HTTPS. Como está basado enSSL/TLS, que funciona en la capa más baja de comunicación, se cifran todos los datos de HTTP. Esto es, no sólo la página web sino también la URL completa, los parámetros enviados, las cookies… Lo único que se queda al descubierto son los datos del paquete TCP: el servidor y el puerto al que nos conectamos.

HTTPS sólo deja al descubierto el servidor y puerto al que nos conectamos.
Por lo tanto, HTTPS no sólo impide que alguien vea las páginas web que estamos visitando. También impide que puedan conocer las URLs por las que nos movemos, los parámetros que enviamos al servidor (por ejemplo, los usuarios y contraseñas se envían como parámetros POST normalmente) o las cookies que enviamos y recibimos (alguien con acceso a estas cookies podría robar nuestra sesión, como demostraba la herramienta Firesheep).

¿Cómo sé qué no me estoy comunicado con un impostor?

Certificado SSL

Hay un problema adicional en la comunicación por Internet. Pongamos que quiero navegar a Genbeta.com. ¿Cómo sé que me estoy comunicando con el servidor de Genbeta y no con un servidor falso que se está haciendo pasar por Genbeta (lo que se conoce como un ataque man-in-the-middle)?

Por lo tanto, hay que autenticar los servidores. No sirve de nada tener los datos cifrados si no nos aseguramos de que nos estamos conectando al servidor correcto. Para eso están los certificados SSL, que contienen la clave pública y los nombres de dominio en los que se pueden usar.

Las CA (terceros de confianza) nos aseguran que el certificado es válido y que el servidor es quien dice ser.

El certificado SSL por sí sólo no sirve para nada. Cualquier atacante podría falsear uno y no te darías cuenta. Ahí entran en juego las CA, o Certificate Authority, las entidades emisoras de certificados SSL firmados, que sólo dan certificados sobre un dominio a su propietario. No podría, por ejemplo, ir cualquiera y pedir un dominio paragoogle.com. Además, las firmas aseguran que el contenido del certificado no ha variado.

En resumen, una firma de una CA nos asegura que el servidor es quien dice ser. Por supuesto, hay que verificar esa firma para asegurarse de que es real. Para ello, el navegador busca el certificado en su almacén (en realidad es una anillo de confianza, algo más complejo) y verifica la firma. Si no es válida o no encuentra el certificado, te mostrará un aviso de que no puede autenticar la conexión al servidor.

Precisamente esto último ocurría hace un tiempo con Firefox (y otros navegadores, creo), cuando intentabas conectarte a servidores seguros de la administración española. Los certificados de esos servidores estaban firmados por la FNMT, pero Firefox no tenía en su almacén los certificados de la FNMT. Por esto mismo no podía asegurar que el certificado fuese válido y avisaba al usuario.

¿Qué debilidades tiene HTTPS?

El punto más débil de HTTPS son los certificados. Si, por ejemplo, alguien roba el certificado (con la clave privada) de Google, podría crear un servidor falso sin que hubiese forma de distinguirlo de uno legítimo.
Un problema más grande puede ocurrir si se filtra la clave privada de una CA. Un atacante podría crear y firmar certificados válidos para cualquier dominio sin que nadie se lo impidiese, y por lo tanto engañar a los usuarios para que se conectasen a servidores falsos.

Por suerte, todos los navegadores tienen un mecanismo para revocar certificados. Cuando se compromete un certificado, se pone su huella digital del certificado en una lista. El navegador se descarga esa lista y dejará de dar por válido cualquier certificado que aparezca ahí. El único problema está en que los navegadores no siempre aprovechan bien esas listas, pero el mecanismo está ahí.

Recientemente, una investigación comandada por expertos de las Universidades de Illinois, Londres y Eindhoven ha sacado a la luz una debilidad en RC4, un algoritmo de cifrado que suele ser utilizado para asegurar las comunicaciones SSL/TLS que sustentan las páginas web, especialmente para transacciones monetarias y cuando se atraviesan redes no fiables.

De hecho, se calcula que RC4 es empleado en el 50% de todo el tráfico TLS actual.
El problema radica en que RC4 no es lo suficientemente aleatorio, lo que significa que un atacante con la suficiente paciencia y pericia podría recuperar datos “a partir de defectos estadísticos en el flujo de clave generada por el algoritmo RC4, que se manifiestan en los textos cifrados TLS cuando el mismo texto plano es cifrado en repetidas ocasiones en una ubicación fija a través de muchas sesiones TLS“, según explican los autores del hallazgo.
Aunque el peligro real e inmediato al que se enfrentan los usuarios no es tan alto, debido a lo complicado del ataque, ya hay quien advierte que los ciberdelincuentes podrían estar desarrollando nuevos patrones para explotar esta vulnerabilidad.
Por eso, se recomienda dejar de usar RC4 en TLS, sustituyéndolo por otras medidas como AES-GCM.
 

NVIDIA afirma que las consolas no podrán compararse más con las PC.

NVIDIA afirma que las consolas no podrán compararse más con las PC.
 
 
El eterno dilema, ¿cual es mejor, la consola o la PC?. Ya bastante que he comentado sobre el tema y a simple vista, parece ilógico que una consola que no llega a costar $500 pueda competir con una PC Gammer que en su configuración moderada con una sola GPU ronda los $1.500 o con una de gama alta que pude pasar sobrada los $3.000, saquen esta simple cuenta, una GPU de gama alta está entre los 500 y 1.000 dólares, más el precio de los demás componentes que les aseguro que nadie va a invertir en una buena GPU colocándola con un pobre procesador, memoria, disco duro, gabinete y ni hablar de la fuente de poder, en Venezuela por la distorsión que existe con el régimen cambiario, una PC Gammer puede estar rondando los 200.000 BsF o 200.000.000 de Bs de antes y si no lo creen prueben buscando en alguna pagina Web de venta de equipos de computación en Venezuela para que vean los precios, si lo desean pueden acceder al siguiente enlace para que vean los pecios: http://computacion.mercadolibre.com.ve/computadoras/
 
Dicho todo lo anterior y la desproporción entre en precio de una consola de ultima generación y el precio de un PC Gammer que dicho sea de paso, va a depender de cuanto le inviertas ya que puedes colocarle desde una GPU hasta 5 en SLI o Crossfire si te decides por NVIDIA o AMD, en la siguiente imagen se aprecia una configuración NVIDIA GTX Titan SLI 4-way, solo las GPU cuestan $4.000 sin contar el precio del procesador, sistema de enfriamiento, fuente de poder y gabinete adecuados para albergar dicho poder de computo, ¿entonces de que hablamos?.
 
Nvidia GeForce GTX Titan 3-way/4-way SLI preview (with 5,760x1,080 and frametimes)

El vicepresidente de contenido y tecnología de NVIDIA, Tony Tamasi, aseguró recientemente que, a diferencia de generaciones en las que las consolas estaban inicialmente a la par o por encima del poder de las PC, hoy la diferencia entre ambas plataformas es muy fuerte y sólo se incrementará con el tiempo.

En una reciente entrevista, a Tamasi se le preguntó por qué en el E3 de este año las gráficas de Xbox One y PS4 no eran tan buenas como las de los demos de PC de los mismos juegos. El directivo aseguró: "Ya no es posible que las consolas sean más capaces gráficamente que una PC. En el pasado, ciertamente en la era de PlayStation y PS2, no había tan buenas gráficas en PC. Antes del PS2 el 3D era el dominio de Silicon Graphics y otras estaciones de trabajo. Sony, Nintendo o SEGA podrían invertir en traer dichas gráficas a una plataforma dedicada. De hecho el PS2 era más veloz que la mayoría de las computadoras de su tiempo. En la era de Xbox 360 y PS3, las consolas estaban a la par de la PC. Si miras esas consolas, notarás que su tecnología gráfica está a cargo de AMD o NVIDIA, porque en ese tiempo las innovaciones gráficas pasaron a estar a cargo de las compañías de PC. NVIDIA gasta $1500 MDD cada año en investigación y desarrollo en gráficas, y durante el ciclo de vida de una consola gastamos $10,000 MMDD aproximadamente. Sony y Microsoft simplemente no pueden gastar ese dinero tan sólo en las gráficas de una consola. No tienen la capacidad de inversión para igualar a la PC, cosa que nosotros podemos hacer porque vendemos millones de chips año con año"

Tamasi mencionó que un segundo factor limitante que hay que tener en cuenta es el suministro de poder de las computadoras comparado con el de las consolas. El ejecutivo mencionó que las consolas están limitadas a 200 o 300 Watts, ventiladores pequeños y poco ruido. "Siempre serán menos potentes que una PC, donde podemos gastar 250W sólo en el GPU. No hay manera de que un Xbox de 200W pueda vencer a una computadora de 1000W." Tamasi aseguró que durante los tiempos de PlayStation y Xbox 360, la industria gráfica en PC no estaba operando al nivel de hoy, por lo que aún era posible tener una tarjeta gráfica que operara con 75W o 100W.

Por último, Tamasi mencionó que la optimización en consolas es hoy sobrevalorada. En su opinión una consola puede tener un desempeño más fuerte que el de su equivalente en PC, pero no por un factor muy alto, mucho menos que el doble. Para Tamasi, las mejoras en DirectX han permitido salvar esa barrera, que para él ya no es importante. Asimismo, mencionó que las consolas son cada vez más un tipo de computadoras con menos poder y arquitecturas similares, por lo que el desarrollo de videojuegos en dichas plataformas beneficiará a la PC, ya que la diferencia es cada vez menor. Por ello, Tamasi piensa que las exclusivas de consolas tenderán a desaparecer y a estar disponibles en PC.

miércoles, 25 de septiembre de 2013

¿Es GTA 5 un juego adictivo que incita a la violencia real?.

¿Es GTA 5 un juego adictivo que incita a la violencia real?.
 
 
Ya con anterioridad he comentado sobre el polémico tema de si los video juegos violentos generan violencia real o no. Actualmente GTA 5 ha generado bastante controversia al respecto y debo decir que aunque reconozco que sus graficas siempre han sido muy bien elaboradas, jamás me ha llamado la atención jugarlo ya que me parece un juego sin sentido.
 
GTA 5 rompe record de ventas y comentarios
 
Más de 1000 millones de dólares de recaudación en su primer fin de semana hacen de GTA V el juego más vendido en su lanzamiento de la historia, además de sustentar otros récords como el de más caro. Los halagos a la creación de Rockstar no paran de llegar con un título espectacular, cargado de acción, de humor y de misiones en las que protagonizaremos a un grupo de ladrones muy peculiar.

Pero claro… Paralelamente a los halagos hay, como es lógico, quejas. Quejas que proceden de las clases políticas más conservadoras desde donde se denuncia una relación de violencia y videojuegos, argumentando que este tipo de entretenimiento puede llegar a ser corrosivo para algunos ciudadanos, ya que pueden influir en su comportamiento de forma negativa.

Más o menos es el discurso que ha mantenido en una entrevista de radio Nick Clegg, nada menos que el Viceprimer Ministro del Reino Unido, quien no ha sentido reparo alguno al decir que GTA V es un juego corrosivo, de un género que genera violencia entre los jugadores e incluso exclusión social.

violencia gta v

El político inglés asegura que hay personas que, con estos juegos, modifican su comportamiento, se encierran y aíslan del mundo, dejan su vida social a un lado y se mantienen pegados a la pantalla. Y digo yo… ¿No es eso lo que buscan nuestros políticos?

Apple corrige 80 vulnerabilidades en sus dispositivos móviles con iOS7.

Apple corrige 80 vulnerabilidades en sus dispositivos móviles con iOS7.

iOS-7-WWDC-2013-logo-mockup-e1368048909125
 
Como ya es conocido Apple ha publicado esta semana la versión 7 de iOS, el sistema operativo de sus dispositivos móviles (iPhone, iPad e iPod touch). Además del gran número de novedades, cambios, mejoras, etc incluidas en esta nueva versión Apple ha corregido un total de 80 vulnerabilidades de diferente índole.

Las vulnerabilidades corregidas, que alcanzan la cifra de 80, son de diversa índole y afectan a gran número de componentes del sistema operativo que incluyen CoreGraphics, ,CoreMedia, Data Protection, Data Security, dyld, File Systems, ImageIO, IOKit, IOKitUser, IOSerialFamily, IPSec, Kernel, Kext Management, libxml, libxslt, Passcode Lock, Personal Hotspot, Push Notifications, Safari, Sandbox, Social, Springboard, Telephony, Twitter y WebKit. Los problemas podrían permitir acceder al dispositivo y a información sensible sin conocer la contraseña del usuario, ejecutar código arbitrario o realizar otro tipo de ataques sobre el dispositivo.

Con iOS 7 Apple también ha anunciado una actualización de los certificados raíz, se han añadido y eliminado múltiples certificados de la lista de sistemas raíz.

Aunque esta actualización acaba de publicarse apenas hace unos días y muchos usuarios aun no se han actualizado, ya empiezan a aparecer diversas vulnerabilidades que podrían permitir saltar el código de desbloqueo. Apple ya tiene vulnerabilidades para corregir en la próxima versión de iOS.

Más información:

About the security content of iOS 7
http://support.apple.com/kb/HT5934

Bug en iOS 7.0 permite saltarse el código de desbloqueohttp://www.seguridadapple.com/2013/09/bug-en-ios-70-permite-saltarse-el.html

Es aconsejable no descargar iMessage para Android.

Es aconsejable no descargar iMessage para Android.
 

La llegada de iMessage para Android a través de una aplicación no oficial debe ser considerada como lo que es: una amenaza para la seguridad del usuario final, que si la descarga no hace más que poner en riesgo sus datos personales e incluso datos bancarios. No es recomendable descargar esta aplicación.

Una de las principales características de Android, según mencionan algunos expertos, es lo “abierta” y permisiva de la plataforma. El problema está, que aunque esto suponga una ventaja en términos de personalización de dispositivo o poder explotar el potencial de un procesador con Overclock, al mejor estilo de una PC, lo permisivo trae problemas de seguridad. Especialmente si Google Play no tiene buenas medidas de seguridad que eviten el malware, o sencillamente, el robo de datos a través de aplicaciones, como el que se está produciendo actualmente gracias a una aplicación que promete iMessage para Android.

La plataforma de mensajería exclusiva de dispositivos Apple, llamada iMessage, en ningún momento ha apuntado a escapar de esta exclusividad y abrirse a otras plataformas, así como BlackBerry Messenger promete hará durante “los próximos días”. Un desarrollador anónimo asegura que a través de iMessage Chat, su aplicación, tiene acceso a iMessage en dispositivos Android, burlando por completo los protocolos de seguridad de Apple y abriendo la plataforma de mensajería a nuevas fronteras.

¿Buenas noticia, verdad? No. Sencillamente descargar iMessage para Android es lo más tonto que alguien puede hacer.
Esta aplicación engañosa y maliciosa envía datos a través de servidores en China, totalmente misteriosos y realmente no aclara como funciona. Lo que sí requiere es que el usuario facilite sus datos de AppleID, es decir, el correo electrónico y la contraseña que utiliza la cuenta para dispositivos y servicios de Apple.

Esta clase de aplicaciones es más un riesgo que otra cosa para el usuario. Esto se presta a estafa. Una AppleID siempre está ligada a una tarjeta de crédito, datos en la nube, fotografías, localización y más información que Apple almacena desde hace años de forma segura en sus servidores (aunque la mayoría es borrada periódicamente, pero eso es otro tema), por lo que al darle tus datos confidenciales a un desarrollador fantasma en China, no haces más que comprometer tu seguridad, descaradamente.

Es decirle a esta persona: “toma, aquí tienes mi tarjeta de crédito y datos personales, has lo que quieras con ellos mientras me dejes usar iMessage en mi Android para enviar mensajitos a mis amigos que tiene iPhone”.

De hecho, según explican algunos desarrolladores que analizaron a fondo el archivo APK de iMessage Chat, la aplicación engaña a los servidores de autentificación de Apple, haciéndole creer que el dispositivo Android es una Mac Mini. Además, han descubierto que la aplicación cuenta con la habilidad de instalar software en segundo plano. Es decir, puede instalar otra aplicación o programa sin que nos percatemos de ello, y ni siquiera requiere contar con permisos Root para ello. Esto es muy peligroso.

Debemos tener más sentido común y cuidado con esta clase de cosas. Los datos de usuario, algo que puede parecer tan sencillo como un correo electrónico y una contraseña, es una de las medidas de seguridad más utilizadas hoy en día para resguardar nuestra información, nuestros archivos personales, e incluso en muchos casos: nuestro dinero.

No podemos estar ofreciendo la facilidad de violar nuestra seguridad a cualquiera, sin tomar en cuenta las consecuencias que esto tendrá. iMessage Chat para Android es una aplicación maliciosa, una estafa que viola protocolos de seguridad de terceros con quién sabe qué propósito. Esto no es la “buena intención” de un desarrollador, aquí hay gato encerrado.
Lo mejor que puedes hacer es evitar a toda costa descargar esta aplicación, y así resguardar tu seguridad. Además, aplica lo mismo a cualquier otra aplicación de origen desconocido. Por tu seguridad.

Google ha retirado la aplicación iMessage Chat de Google Play Store, aunque nunca debería haber llegado.
 

martes, 24 de septiembre de 2013

La realidad del malware en Latinoamérica.

La realidad del malware en Latinoamérica.
 

Hace poco comentaba sobre el malware, que es, como se propaga y como defendernos. Pues bien, ahora quiero comentar sobre el panorama viral en Latinoamérica.
Kasperky Lab presentó su análisis sobre el panorama viral en América Latina correspondiente al primer semestre 2013. El cual reveló que los cibercriminales utilizan varios métodos de lucro ilegal con el objetivo de robar el dinero de sus víctimas.

Según Dmitry Bestuzhev, Director del Grupo de Investigación y Análisis para América Latina, Latinoamérica es una de las regiones con mayor crecimiento tecnológico y por ende es una de las más codiciadas por los cibercriminales.

“La economía de la región ha sido una de las más estables y este ha sido un segundo factor por el cual los cibercriminales han puesto su atención hacia los países de la región”, agregó.
Las estadísticas de Kaspersky Lab confirman la diversidad de métodos utilizados por los cibercriminales y los errores típicos que cometen los usuarios al proteger sus sistemas.

La amenaza que se encuentra en el primer puesto, Worm.Win32.Debris.a, ha llegado a atacar la mayoría de las computadoras de la región a pesar de haber sido descubierta recientemente (25 de abril del 2013). Según Bestuzhev, se trata de un gusano cuyo método de propagación se comparte a través de las USB como a través de los sitios web. Tal como indica el mapa de infecciones de usuarios a nivel mundial, podemos notar que gran cantidad de víctimas viven en la región, con la mayor concentración en México, seguido por Perú, Ecuador, Colombia y Bolivia.

Panorama viral en Latinoamérica
Dentro de las Top 10 amenazas también se encuentran varios programas llamados AdWare.Win32. Estos programas alteran a los navegadores e instalan complementos que muestran publicidad donde por cada clic o cada visita a la página web de la publicidad realizada por la víctima, el criminal gana dinero.

Bestuzhev advierte que estos programas se categorizan como “potencialmente peligrosos” ya que no roban el dinero de las víctimas de forma directa pero lucran a través de la publicidad no deseada durante la navegación. Los programas Adware se propagan únicamente a través de las páginas  web.

Además, el estudio muestra que la amenaza Net-Worm.Win32.Kido.ih, detectada en el 2009 por primera vez, sigue siendo una de las principales en la región. “Ya que este gusano se propaga por medio de las memorias USB y las vulnerabilidades en Windows a través de las redes de Microsoft, podemos concluir que existen graves problemas en los hábitos de parchado de vulnerabilidades, la instalación de actualizaciones y el manejo responsable de dispositivos USB por parte de los usuarios. Todo esto favorece a que una amenaza tan antigua siga siendo una de las principales”, explicó Bestuzhev.

La protección contra malware que se propaga a través de dispositivos extraíbles, CD, DVD y otros métodos offline, no solo requiere una solución antivirus capaz de limpiar a equipos infectados, sino también un firewall, funcionalidad antirootkit y control de dispositivos extraíbles.

“El estudio también detectó la presencia de la familia de troyanos Trojan.WinLNK.Runner, los cuales se propagan únicamente a través de los dispositivos USB”, comentó Bestuzhev. “Nuevamente, esta es una prueba de que existen graves problemas en el manejo seguro de los dispositivos USB y en la configuración de sistemas operativos, donde el sistema de auto-arranque esté deshabilitado, por parte de los usuarios”.
 

lunes, 23 de septiembre de 2013

¿WhatsApp o BlackBerry Messenger?.

¿WhatsApp o BlackBerry Messenger?.
 
 
 

Ya con anterioridad he comentado sobre la guerra entre los software de mensajería para dispositivos móviles entre los que están Lime, Viber, WhatsApp y ahora BlackBerry Messenger. Debo decir que BlackBerry nunca me llamó la atención ya que en mi humilde opinión, no era ni es un dispositivo tecnológico sino un teléfono que tenia acceso a un servicio privado que dicho sea de paso, ya todo el mundo podía tenerlo mediante el Windows Live Messenger y sin la restricción de tener que comprar una marca de teléfono, solo bastaba con tener acceso a Internet y listo.

Contactarnos de diversas formas a través de nuestro Smartphone nos encanta. Y porque no siempre queremos llamar, la opción de enviar mensajes instantáneos a través de servicios de mensajería es la más económica para muchos.
En la última semana, se habló de la nueva novedad del BlackBerry Messenger, la posibilidad de poder ser adquirido de forma gratuita a través del Play Store desde el sábado y iTunes desde el domingo. Es decir, ahora podrás hablar con aquellas personas que sin tener el dispositivo de RIM, tenían ganas de charlas contigo.

¿Es esto bueno?
Lo cierto es que en los últimos meses, el servicio de WhatsApp ha superado largamente el de BlackBerry, no solo por sus opciones, sino por la posibilidad de utilizarlo en prácticamente cualquier equipo, mientras que el de BlackBerry era limitado solo para los celulares de su empresa.

Cada uno tiene sus opciones, te permiten enviar archivos, realizar conversaciones largas, guardarlas e incluso avisarle a los demás que no te encuentras disponible o que escuchas (en el caso de BlackBerry al menos). Pero cada quien tiene sus preferencias.

¿Cuál de los dos prefieres y por qué?
Recordemos que WhatsApp te permite saber cuando alguien abrió tu mensaje, compartir imágenes y videos, servicio de notas de voz y hablar con cualquier teléfono que tenga tu numero. Mientas que BlackBerry posee un PIN, numero distinto al usado por tu celular, salvaguardando así tus datos, la opción de saber si leyeron tu mensaje, enviar imágenes aunque no en charlas grupales, entre otros beneficios.

¿Cual prefieres tu?...

¿Existen troyanos indetectables en los chips Ivy Bridge de Intel?.

¿Existen troyanos indetectables en los chips Ivy Bridge de Intel?.

 
 
El tema no es nuevo, desde hace tiempo se rumoraba que Microsoft permitía colocar puertas traseras en su sistema operativo Windows de manera tal que permitiera a organismos de seguridad penetrar a los equipos en busca de criminales, por otro lado, hace poco Lenovo fue el centro de atención cuando se hablaba que sus equipos facilitaban el espionaje electrónico, pues bien, ahora le toca el turno a Intel.
 
Un grupo de investigadores en seguridad conjunto de Estados Unidos y Europa acaba de publicar un documento que muestra cómo los circuitos integrados utilizados en ordenadores, equipamiento militar y sistemas críticos pueden estar en peligro y permitir que se introduzcan virus, durante su proceso de fabricación, que provoquen alteraciones imperceptibles a nivel de transistor.
 
Como prueba de la solidez de este planteamiento, el documento que hemos conocido ahora describe cómo se podría utilizar este sistema para modificar y debilitar el denominado generador de números aleatorios de los chips Ivy Bridge de Intel, así como vulnerar las protecciones de cifrado de una tarjeta inteligente, sin que se puedan detectar los cambios.
 
El investigador en seguridad y criptógrafo, Bruce Schneier, define el sabotaje descubierto por los investigadores de " indetectable a la inspección ocular y los test de funcionalidad”.
 
El trabajo de estos expertos es relevante, al tratarse del primero que describe cómo se puede introducir un troyano de hardware en un microchip, sin circuitería adicional, transistores ni otros recursos lógicos, afirma Christof Paar, presidente de seguridad integrada del Departamento de Ingeniería Eléctrica y Tecnologías de la Información de la Universidad del Ruhr, en Alemania.
 
El problema del outsourcing
 
Los troyanos de hardware han sido objeto de numerosas investigaciones desde, al menos, el año 2005, cuando el Departamento de Defensa de EE.UU. expresó públicamente su preocupación por la dependencia de sus militares de los chips fabricados en el extranjero, relata Paar.
 
A menudo, el circuito individual que se integra en un microchip se diseña en un sitio, se fabrica en otro y, al fin, se integra en una tercera localización. Este tipo de outsourcing y fabricación a escala global ha introducido elementos de desconfianza e inseguridad, recoge el informe.
 
Con el paso de los años, se ha prestado mayor atención al asunto y se han buscado métodos de detección y eliminación de troyanos de hardware, introducidos deliberadamente durante el proceso de fabricación, en especial en los chips destinados a aplicaciones críticas o militares.
 
Pero sorprende que no se haya sido igual de riguroso en la persecución de los creadores del malware.
 
Otros trabajos de investigación previos han descrito los troyanos de hardware como circuitos pequeños y medianos que se añaden a un chip, durante el proceso que se conoce como nivel del lenguaje de descripción del hardware del proceso de fabricación.
 
Por otro lado, esta última investigación muestra cómo se puede introducir un troyano de hardware  en una etapa posterior del proceso de diseño, cambiando el " doping” de unos cuantos transistores del chip.
 
Se denomina así al proceso que modifica las propiedades eléctricas del silicio, mediante la introducción de pequeñas impurezas, como fósforo, boro y galio en el cristal. Al cambiar el “dopaje” de algunos transistores, otros componentes del circuito integrado ya no funcionan como deberían. Como estos cambios ocurren a escala “atómica”, “las impurezas son difíciles de detectar ", subraya Paar. "Si lo miras ópticamente´, no hay nada diferente", por lo que el troyano es resistente a la mayoría de las técnicas de detección.
 
El uso más "devastador" de este procedimiento consiste en modificar el generador de números aleatorios del chip, señala Schneier en una entrada de blog. "Esta técnica podría, por ejemplo, reducir la cantidad de entropía del generador de números aleatorios de Intel de 128 bits a 32 bits", describe.
 
"Y puede hacerse sin ser advertido por ninguno de los test automáticos, ni deshabilitando siquiera estas pruebas internas ni alertando otras pruebas de aleatoriedad”, insiste.
 
Así, mientras que los usuarios asumen que el generador de números aleatorios está produciendo claves de cifrado potentes de 128 bits, en realidad, está generando claves de 32 bits que pueden romperse con facilidad, prosigue Paar.
 
Hay otros muchos escenarios en que un circuito integrado puede ser modificado para que funcione de forma inesperada y detectar las modificaciones requeriría un nivel adicional de comprobación de circuitos, concluye.
 

 

sábado, 21 de septiembre de 2013

La fundación Mozilla publica nuevas versiones de Firefox, Thunderbird y Seamonkey que corrigen 17 vulnerabilidades.

La fundación Mozilla publica nuevas versiones de Firefox, Thunderbird y Seamonkey que corrigen 17 vulnerabilidades.

Mozilla Foundation Logo
 
Mozilla Foundation ha publicado nuevas versiones de sus productos (24 para Firefox y Thunderbird, 2.12 para Seamonkey). En esta ocasión se corrigen 19 fallos de seguridad agrupados en 17 boletines, 7 de los cuales se consideran de importancia crítica. En esta versión se deja de dar soporte a las Listas de Revocación de Certificados.

Entre los siete boletines calificados como de importancia crítica y los cuatro de importancia alta se cubre un total de 13 vulnerabilidades. Todas estas permiten la ejecución de código arbitrario de manera remota como consecuencia de fallos de diversa naturaleza, y algunas permiten además otros impactos.

El resto de boletines tratan vulnerabilidades de carácter moderado, que permiten el acceso a información sensible del sistema, el salto de restricciones de seguridad o la denegación de servicio. La gran mayoría de estos boletines afecta a los tres sistemas actualizados, aunque algunos no son aplicables a Thunderbird y Seamonkey.

Los boletines MFSA-2013-84 y MFSA-2013-87 en particular afectan únicamente a la versión de Firefox para sistemas Android. El primero trata un sistema para evadir la política del mismo origen en ficheros locales, utilizando para ellos el protocolo file:// junto con enlaces simbólicos para conseguir acceso a ficheros del sistema o realizar ataques cross-site scripting (XSS). El segundo permitiría la ejecución de código malicioso o el acceso a los datos del navegador al cargar una librería compartida, pero para ello es necesario la instalación de programas maliciosos y no se puede provocar a través de contenido web.

A partir de esta versión se elimina de la interfaz gráfica el acceso a la gestión de las listas de revocación de certificados (CRL) en Firefox. Esta funcionalidad seguirá siendo usada por el navegador, pero se delega la gestión de las CRL a las librerías NSS, pudiéndose gestionar a través de la herramienta crlutil. Esto forma parte de un movimiento de Mozilla hacia un mecanismo que recoja la información de los certificados revocados directamente de las CA intermedias. 
https://bug867465.bugzilla.mozilla.org/attachment.cgi?id=757790

Más información:

Mozilla Foundation Security Advisories
http://www.mozilla.org/security/announce/

viernes, 20 de septiembre de 2013

Estudio afirma que los videojuegos violentos hacen menos violentos a las personas.

Estudio afirma que los videojuegos violentos hacen menos violentos a las personas.
 

Ya con anterioridad he comentado sobre como los video juegos estimulan el cerebro de las personas y les ayuda a desarrollar habilidades motoras y de concentración. Pues bien, un nuevo estudio afirma que niños propensos a la violencia se vuelven menos violentos al jugar videojuegos cargados de violencia.

Si bien estamos acostumbrados a que muchos estudios modernos se centren en los videojuegos violentos como los causantes de la violencia en el mundo actual, también existen estudios que muestran lo contrario, como el reciente estudio realizado por los investigadores Christopher Ferguson (Universidad de Stetson) y Cheryl Olson (Investigador independiente).

Se estudiaron a un total de 377 niños de diversos grupos étnicos con una edad promedio de 13 años, lo que clínicamente sufren de un elevado déficit de atención y síntomas depresivos, tipos de desórdenes que los hacen propensos a la agresión y actos delincuenciales.

Se descubrió que el jugar videojuegos violentos como Mortal Kombat, Halo y Grand Theft Auto, no actúa como un desencadenante hacia actos violentos en ellos, sino a la reducción de su comportamiento agresivo, abusivo e intimidante.

Los de Fudzilla citan irónicamente lo sorprendidos que se encuentran de que a nadie se le haya ocurrido ello antes, pues en tiempos de los antiguos romanos se había deducido que si las personas fueran expuestas a la violencia en el campo, eran menos propensas a ocasionar disturbios, por lo que los ricos patrocinaban estos “juegos” para evitar ser víctimas de robos.

En realidad las personas no somos tan simples como lo quieren aparentar en los estudios, por lo que la misma regla no se aplica a todos.
 
Más información:
 

Nueva vulnerabilidad de Internet Explorer obliga a Microsoft a publica actualización de urgencia.

Nueva vulnerabilidad de Internet Explorer obliga a Microsoft a publica actualización de urgencia.

Hace poco Microsoft anunciaba la disponibilidad de Internet Explorer 11 Preview para Windows 7,  y ahora aparece una nueva vulnerabilidad que afecta a todas las versiones.
 
Fuera de su ciclo habitual de actualizaciones de los segundos martes de cada mes, Microsoft acaba de publicar un boletín de seguridad para informar de una grave vulnerabilidad que se está explotando de forma activa y afecta a su navegador Internet Explorer y que puede permitir la ejecución remota de código arbitrario.

Aunque según Microsoft solo hay informes de que se esté explotando directamente sobre las versiones 8 y 9 del navegador, el problema afecta a todas las versiones de Internet Explorer, desde la 6 a la 11. Las únicas plataformas Windows libres del problema son los sistemas servidor, que incluyen IE en modo restringido por defecto. Si se ha desactivado el modo restringido también puede ser vulnerable.

El problema, con CVE-2013-3893, podría permitir la ejecución remota de código si un usuario accede a una web específicamente creada. La vulnerabilidad reside en el acceso por Internet Explorer a objetos en memoria que han sido eliminados o incorrectamente asignados por el motor de representación HTML (mshtml.dll) de IE. El exploit detectado por Microsoft está implementado totalmente en Javascript (no depende de Java, Flash, etc.) pero sí depende de una DLL de Office que no fue compilada con ASLR habilitado (Address Space Layout Randomization). El propósito de esta dll en el contexto del exploit es evitar ASLR mediante código ejecutable en una dirección en memoria conocida.

Microsoft ha publicado un parche temporal, como "Fix it" "CVE-2013-3893 MSHTML Shim Workaround" si bien esta solución solo sirve para versiones 32-bit del navegador.
http://support.microsoft.com/kb/2887505 
Este parche no pretende ser un sustituto de la actualización de seguridad, que seguramente se publicará posteriormente a través de un boletín en el ciclo habitual de actualizaciones.

Para usuarios avanzados y administradores de sistemas también se recomienda el uso de EMET (Enhanced Mitigation Experience Toolkit o kit de herramientas de experiencia de mitigación mejorada) para mitigar la explotación de la vulnerabilidad mediante la inclusión de capas de protección adicionales. EMET 3.0 y EMET 4.0 tienen soporte oficial de Microsoft. EMET es un programa de Microsoft gratuito, (solo disponible en lenguaje ingles) sencillo de manejar y de gran utilidad. En el aviso de seguridad de Microsoft se explican detalladamente los pasos para su adecuada configuración.
http://technet.microsoft.com/en-us/security/advisory/2887505
 

Más información:

Microsoft Security Advisory (2887505) Vulnerability in Internet Explorer Could Allow Remote Code Execution
http://technet.microsoft.com/en-us/security/advisory/2887505

CVE-2013-3893: Fix it workaround availablehttp://blogs.technet.com/b/srd/archive/2013/09/17/cve-2013-3893-fix-it-workaround-available.aspx

Microsoft Security Advisory: Vulnerability in Internet Explorer could allow remote code executionhttp://support.microsoft.com/kb/2887505

jueves, 19 de septiembre de 2013

Apple publica actualización de seguridad para Safari.

Apple publica actualización de seguridad para Safari.

 
Apple ha publicado una actualización de seguridad para su navegador Safari (versión 5.1.10) que solventa dos vulnerabilidades que podrían ser aprovechadas por un atacante remoto para lograr el compromiso de los sistemas afectados.

Safari es un popular navegador web desarrollado por Apple, incluido en las sucesivas versiones de Mac OS X y del que también existen versiones oficiales para Windows 7, XP y Vista.

Se han corregido dos vulnerabilidades (CVE-2012-3748 y CVE-2013-0997) relacionadas ambas con problemas de corrupción de memoria en el JavaScriptCore a través del método "JSArray::sort()", y que podrían permitir ataques de denegación de servicio o la ejecución de código arbitrario.

Se recomienda actualizar a la versión 5.1.10 de Safari para Mac OS X 10.6.8 disponible a través de las actualizaciones automáticas de Apple, o para su descarga manual desde: 
http://support.apple.com/downloads/#safari

Más información:

About the security content of Safari 5.1.10
http://support.apple.com/kb/HT5921

APPLE-SA-2013-09-12-2 Safari 5.1.10http://lists.apple.com/archives/security-announce/2013/Sep/msg00003.html