El error de subestimar las vulnerabilidades leves o hacerse presa del pánico.

El error de subestimar las vulnerabilidades leves o hacerse presa del pánico.

 

 

Como dice el dicho, “ni tan calvo ni con dos pelucas”, con esto me refiero a que en ocasiones se crean alarmas innecesarias a raíz de algún malware, fallo o vulnerabilidad detectada ya sea en un software o hardware, hace poco comentaba sobre el fallo en Internet Explorer que podía ser explotado por atacantes y que no era razón para alarmarse al extremo aunque si era necesario conocer el problema y tomar los posibles correctivos para evitar problemas.

 

Por otra parte, es un error desestimar completamente ya sea por ignorancia o desconocimiento, las posibles amenazas y su nivel de incidencia sobre determinados sistemas. Constantemente me sorprendo al ver equipos de amigos, conocidos y empresas que a simple vista parecieran estar funcionando perfectamente pero mirándolos más en detalle, se aprecian ciertos indicadores de los que ya he comentado con anterioridad como movimientos erráticos en el puntero del mouse, la luz del disco duro parpadea sin cesar aun sin que el usuario este realizando alguna operación con el equipo, errores al cargar una pagina web y el más obvio de todos, que es ver como la luz indicadora del router o modem de Internet parpadea sin cesar indicando que se esta enviando o recibiendo datos sin que el usuario este enviando o descargando algo y con el tiempo aparecen barras de herramientas en el navegador, desaparecen archivos, cada vez la PC se vuelve más lenta y pare de contar y el colmo es que lo veo pasar a usuarios comunes como a profesionales del área de la tecnología.

 

El que pasen estas cosas en los PC de las casas no me extraña ya que la gran mayoría no se preocupan por estar al tanto de como es la tecnología, solo son simples usuarios y como tales, solo se dedican a utilizar o “mal utilizar” sus equipos, lo grave es que pase en empresas donde se tiene un departamento de informática con profesionales que se les paga para que en teoría eviten en lo posible estas cosas o por lo menos minimicen el impacto y corrijan el problema de manera eficiente.

Es un error subestimar un fallo o vulnerabilidad

 

Hay fallos que generalmente suelen ser pasados por alto a la hora de corregir problemas o hacer una valoración de la seguridad, problemas como cross-site scripting o denegación de servicio suelen pasar desapercibidos y no se les presta gran atención. Sin embargo pueden causar graves perjuicios o permitir la realización de ataques más avanzados sin son combinados o encadenados con otras vulnerabilidades, incluso aunque también estas últimas sean de impacto moderado.

En muchas ocasiones en nuestros trabajos de auditoría nos planteamos cómo calificar la gravedad de un cross-site scripting o una denegación de servicio; desde luego, no permite "entrar" en el servidor o volcar la base de datos (al menos, no directamente), pero el alcance que puede provocar puede ser igual de serio.

En las revisiones realizadas una vez que el cliente ha implantado las medidas recomendadas, o en posteriores auditorías periódicas, comprobamos como problemas como cross-site scripting o denegaciones de servicio no se corrigen, a pesar de que la solución suele ser sencilla.

La experiencia nos dicta que no se presta la suficiente atención en corregir este tipo de problemas, incluso podemos oír que estos problemas no se consideran graves y se da carpetazo al asunto con un "este fallo no permite entrar en el servidor".

Un caso clásico de cross-site scripting 
Recordamos que un ataque Cross-site Scripting (o XSS) se basa en que una página web no filtra correctamente ciertos caracteres especiales y permite ejecutar código JavaScript. Dentro del XSS principalmente hay dos tipos, el persistente y el no persistente (o reflejado).

Con el XSS reflejado se consigue que, mediante una URL especialmente modificada, en la web afectada se obtenga otro resultado. Un claro ejemplo, que tuvo una gran repercusión, es el que se realizó hace tres años sobre la página web de la "Presidencia Española de la Unión Europea", cambiando el vídeo de bienvenida del entonces presidente, por una foto de Mr. Bean.

Si se entraba a la página a través de la URL real, se veía la página en perfecto estado, pero el atacante en este caso publicitó una URL manipulada a través de las redes sociales que cargaba la imagen de Mr. Bean desde otro punto. En muchos medios se publicó la noticia de que un "hacker" había modificado la web. Evidentemente ningún hacker había modificado la web ni mucho menos había entrado en ella; pero el daño, la mala publicidad, la pérdida de imagen, ya estaba hecha.

Ni que decir tiene que el otro tipo de cross-site scripting (XSS persistente) puede resultar aun bastante más peligroso. Este tipo de ataques se producen igualmente al no comprobar los datos de entrada en una web, normalmente formularios, con la diferencia de que quedan "grabados". El atacante puede introducir un código JavaScript que quedará almacenado en la base de datos y cuando un usuario legítimo visite la web, se cargará ese código malicioso (en esta ocasión sí se cargará desde la web legítima).

Un ejemplo de la utilización de una vulnerabilidad de cross-site scripting (del tipo permanente) y de la encadenación de vulnerabilidades para realizar un ataque exitoso, se pudo ver recientemente en la intrusión en el servidor de los foros de la comunidad Ubuntu.

En una página sin control de sesión y sin datos que robar, el riesgo de un error como el que nos ocupa actualmente ("de libro" y más habitual de lo que parece) puede ser considerado como de riesgo medio desde el punto de vista técnico. Si bien hay casos en que deben considerarse otro tipo de "impactos", como el impacto mediático, imagen de la compañía, etc. por tanto, también debe valorarse el daño potencial a la imagen de este tipo de vulnerabilidades.

Estos ataques pueden usarse para inyectar iframes que conduzcan a infecciones o phishing elaborados. El visitante verá el dominio legítimo en la URL e incluso, evidentemente y en su caso, el certificado válido, pero la capacidad de inyectar código permite que la página "amiga" se comporte de manera maliciosa.

También existen casos en que las vulnerabilidades de XSS deben ser consideradas de riesgo alto por criterios técnicos. Debemos pensar que los vectores de ataques de las vulnerabilidades XSS son variados y dependen del contexto, ya que podrían permitir la realización de ataques de phishings, distribución de malware desde fuentes teóricamente confiables, suplantación de sesiones, robos de cookies, etc.

Denegaciones de servicio 
El caso de las denegaciones de servicio (o "DoS" por sus siglas en inglés) no es muy diferente, en muchos casos estos problemas suelen ser aun más ignorados que los cross-site scripting. No se valora el potencial peligro que puede suponer una denegación de servicio, ya que tampoco llegan a suponer un compromiso de la seguridad de las máquinas. No modifica páginas web ni obtiene listados de claves o de números de tarjetas de crédito. Se trata, sencillamente, de entorpecer el acceso de los usuarios a los servicios de la máquina, pero sin comprometer estos directamente.

En ese sentido, estos ataques acostumbran a ser poco sofisticados y se basan en fallos de diseño inherentes a Internet o a la aplicación. Por otro lado los ataques de denegación de servicio son una constante en Internet desde sus comienzos (sin ir más lejos, el célebre gusano de Morris desencadenó un ataque DoS por un error de programación).

El problema no debe ser pasado por alto, la caída de un servidor puede provocar graves pérdidas a una compañía. En muchos casos un ataque de denegación de servicio puede durar algunas horas, pero en algunos casos puede prolongarse durante días. Pero para una mediana empresa, la caída del servicio durante unas horas puede suponer unas pérdidas de miles de euros en ingresos, publicidad, operaciones no realizadas, pérdida de imagen, posicionamiento web, etc.

Por no hablar de perdidas millonarias como las que puede sufrir una gran empresa, por ejemplo una entidad bancaria, o una empresa de comercio electrónico. Una empresa como Amazon factura 160.000 dólares por minuto (de media), unos 118.600 euros, según RetailNet. Se pueden calcular fácilmente las pérdidas directas que pueden suponer por una caída del servicio. Por no decir de las pérdidas a nivel de reputación, imagen, etc. 

 

Cross-site Request Forgery, la vulnerabilidad incomprendida

 

Este tipo de vulnerabilidad permite a un atacante ejecutar funcionalidad de una web determinada a través de la sesión en esa web de otro usuario. Su mecanismo es sencillo, pero entender como funciona y su impacto no lo es y mucho menos para profesionales ajenos al mundo de la seguridad. Para ello necesitamos montar una prueba de concepto realista y detallar cada paso efectuado en el ataque. Si no se entiende este ataque y su impacto, la interpretación del mismo suele ser pobre y se tiende a infravalorar su peligrosidad.

 

En una ocasión uno de nuestros clientes nos pidió una prueba de concepto detallada para entender su impacto ya que con la descripción del ataque no percibía el peligro y descartaba una solución a corto plazo, incluso nos solicitaba cambiar su calificación a una más moderada. Cuando se efectuó dicho test observó como un simple correo con un enlace a una imagen, sin asociación ninguna a la marca, llevaba al usuario a una web de Hispasec sin relación con la suya. ¿Ya está? preguntó el cliente. Entonces le pedimos que accediera a la cuenta de pruebas de su aplicación web y observara los cambios. A partir de ese momento las piezas encajaron y pudo ver el peligro real que suponía.

 

CVSS, un estándar para medir la gravedad

 

Está claro que hay que dar un nivel de gravedad para cada problema. Aunque un cross-site scripting pueda llegar a ser grave, evidentemente sería mucho peor que la aplicación tuviera una vulnerabilidad de inyección SQL con capacidad para ejecutar volcar la base de datos completa. Para solucionar el "problema" de medir la gravedad de una vulnerabilidad se creó el estándar CVSS (Common Vulnerability Scoring System).

 

El CVSS es un sistema de puntuación de vulnerabilidades diseñado para proporcionar un método abierto y estandarizado para la clasificación de vulnerabilidades. CVSS pretende ayudar a las empresas a priorizar y coordinar una respuesta a los problemas de seguridad.

 

Las puntuaciones asignadas por el CVSS se derivan de la medición de tres grupos diferenciados: El grupo "base" representa las propiedades de una vulnerabilidad que son inmutables en el tiempo (como la complejidad, si es local o remota, o si se requiere autenticación, así como el grado en que compromete la confidencialidad, integridad y disponibilidad del sistema), el grupo "temporal" mide propiedades que pueden cambiar con el tiempo (como la existencia de parches o código para su explotación) y el grupo "medioambiental" que mide las propiedades de una vulnerabilidad que pueden depender del propio entorno de la organización en el que se usan los sistemas. De la métricas base se deriva una puntuación de 0 a 10, que puede verse reducido en función de los valores de las métricas "temporal" y "medioambiental".

 

El CVSS se ha convertido en un estándar y es plenamente utilizado por un gran número de organizaciones, que incluso en los propios avisos o boletines de seguridad ya notifican los valores del CVSS.

 

Al final, el CVSS nos da una puntuación entre 0 y 10 que permite categorizar la gravedad de una vulnerabilidad, a mayor valor, más gravedad. De esta forma una correcta aplicación del CVSS puede resultar de gran utilidad en las organizaciones, ya que puede ayudar a determinar la urgencia para instalar un determinado parche, o planificar el orden en que deben ser instaladas las actualizaciones.

 

Aunque también hay que tener cuidado en su aplicación, en ocasiones nos hemos encontrado con organizaciones que dentro de su política de actualización no parchean vulnerabilidades con un CVSS menor de un determinado valor. En definitiva, el CVSS puede ser de utilidad para determinar la prioridad a la hora de actualizar, pero no para establecer que una vulnerabilidad no merece ser parcheada.

 

Todas las vulnerabilidades tienen su importancia

 

Está claro que una vulnerabilidad 0-day, con un exploit público, que afecte a todos los Windows, fácilmente explotable es mucho más peligrosa que un simple cross-site scripting; pero también hay que tener claro que no hay que descuidar las vulnerabilidades de menor importancia, ya que también pueden conllevar graves consecuencias si son explotadas con éxito. Por eso, una vez más, es importante recordar la importancia de auditar y corregir cualquier tipo de fallo encontrado.

 

 

Más información:

http://www.first.org/cvss

http://nvd.nist.gov/cvss.cfm?calculator&adv&version=2

 

 

¿iOS vs Android, cual es mejor?.

¿iOS vs Android, cual es mejor?.

 

 

La eterna pregunta de los usuarios, “¿cual es mejor?”, preguntas como MAC vs PC, Windows vs Mac OS y no podría faltar Android vs iOS.

 

Hoy en día, para “el común de los mortales”, la elección de un smartphone es una cuestión de gustos, de presupuesto o incluso de que el operador con el que tenemos contrato nos ofrezca un terminal u otro. Sin embargo, al igual que en los años 90 los aficionados a los ordenadores Windows y Macintosh tenían sus batallas dialécticas sobre qué sistema operativo era superior, parece que hoy se han creado dos bandos diferenciados de usuarios, que no sólo eligen una de las dos plataformas móviles más populares (iOS o Android), sino que defienden a capa y espada su superioridad y ejercen una especie de “evangelismo” en el que tratan de convencer a los usuarios de que su elección es la correcta. Así, para los defensores de Android, los que siguen a Apple son “iSheeps” (“iOvejas”), “iZombies”, o “fanboys”… Mientras que para los seguidores de Apple los usuarios de Android son “fandroids” y los terminales de usan son “plasticazos” fabricados por “Samsuck”…

Sin embargo, en un análisis menos emocional sobre qué plataforma es más interesante para cada tipo de usuario, sí se puede intentar ver, en distintos aspecto clave, cual de los dos sistemas puede interesarte más.´

Variedad de hardware

En este aspecto, está claro que Android ofrece una gran variedad de terminales con características muy distintas, variedad de tamaños de pantalla y con precios que van desde los terminales más económicos de fabricantes chinos, hasta los teléfonos más lujosos y avanzados de fabricantes como Sony, Samsung, HTC o Motorola. Por su parte, Apple, cuenta con una gama muy limitada de terminales con tres modelos. El modelo superior el iPhone 5S tiene un precio que parte de unos 700 euros, de modo que es el smartphone más caro del mercado. Los modelos más económicos son el iPhone 5C que es básicamente el hardware del iPhone del año pasado con una carcasa plástica y el iPhone 4S, con la pantalla más pequeña y menos potencia, pero que todavía se mantiene vigente como opción más asequible y que conserva muchas virtudes como una construcción en metal y cristal muy atractiva. Aun así, el iPhone 4S tiene un precio libre de 400 euros, lo que no se puede considerar exactamente económico.

Así, a igualdad de presupuesto, es casi seguro que en la plataforma Android vas a conseguir un hardware más actual y potente. Sin embargo, los terminales de Apple tienden estar vigentes y mantener su valor durante más tiempo, entre otras cosas porque Apple es capaz e optimizar el sistema operativo para que pueda funcionar en generaciones anteriores de sus teléfonos, aunque sea a costa de renunciar a alguna prestación como la navegación giro a giro (GPS) o el asistente de voz Siri.

Usabilidad y facilidad de manejo

En el terreno de la facilidad de uso es seguramente donde Android está por debajo de iOS. Entre otras cosas porque las distintas versiones de Android tienen diferencias en su manejo y porque los fabricantes tienden a incorporar sus variaciones, lo que hace que la experiencia de un terminal a otro pueda variar significativamente.

En cualquier caso, si los terminales de Apple son los más fáciles y agradables de usar, los terminales Android tampoco se pueden considerar complicados, sobre todo para las personas a las que les gusta explorar su dispositivo y sus posibilidades, que encuentran que la facilidad de uso de iOS significa también renunciar a las posibilidades de personalización que tiene el sistema de Google.

 

Actualizaciones

 

Una de las cosas que permite esta uniformidad en los iPhone es que las actualizaciones de iOS están siempre disponibles para todos los usuarios al mismo tiempo (siempre que cuenten con el hardware soportado). Sin embargo, en el mundo Android, las actualizaciones se retrasan en muchas ocasiones porque dependen no sólo de Google sino del fabricante del terminal y de su política de actualizaciones o de las personalizaciones de las operadoras. Esto hace que haya mucha diferencia entre fabricantes ya que algunos son conocidos por el pésimo soporte en este aspecto. Muchos usuarios avanzados, prefieren por ello “rootear” sus teléfonos (es decir eliminar por completo el software instalando una nueva ROM) para tener el sistema Android de Google y no el del fabricante original que incluye su personalización y que a veces es más un estorbo que otra cosa.

Características propias de cada sistema

En este aspecto, puede decirse que ambas plataformas están muy a la par. Los dos sistemas cuentan con funcionalidades muy parecidas como multitarea, gestión de notificaciones, acceso rápido a las funciones más habituales, etc. Android, por su parte cuenta con los llamados Widgets, pequeñas aplicaciones que pueden funcionar en la pantalla de inicio del sistema y permiten tener a la vista cosas como la previsión meteorológica, las últimas noticias, actualizaciones de estado de las redes sociales, etc. Apple, por su parte ha sido más conservadora y no ha querido introducir (al menos todavía) los Widgets, aunque las aplicaciones sí pueden mostrar un pequeño signo numérico que indica que hay novedades, como por ejemplo nuevos mensajes de correo o actualizaciones en tus redes sociales.

Por otro lado, Apple ha introducido en todos sus sistemas tanto móviles como ordenadores, el servicio iCloud, que permite hacer cosas como sincronizar con sus servidores los contactos, fotografías o documentos del usuario, de manera que no tengas que preocuparte por dónde creas un contacto o una nota, o que puedas recuperar los datos más importantes si pierdes el terminal o te lo roban. Este mismo sistema es el que permite hacer funcionar la característica “Buscar mi iPhone”, que te permite encontrar tu teléfono si se ha perdido o ha sido sustraído, siempre que esté encendido y con una conexión de datos activa, claro.

Siri o Google Now, Mapas o Google Maps…
Hay un apartado, el de las características “propias” de cada sistema que también es causa en ocasiones de controversia entre aficionados de ambas plataformas. La primera característica es la de los asistentes de voz: Apple cuenta con Siri, un asistente muy avanzado que es capaz de entender órdenes muy variadas, como abrir el correo y leer los últimos mensajes, hacer una búsqueda en Internet, poner música o crear una cita de calendario. Google cuenta con Google Now que hace lo propio y como puedes ver en diversas comparativas en Internet, cada uno funciona mejor o peor en función de lo que le pidas. Sin embargo, lo cierto es que son pocos los que se decantarán por una plataforma u otra por el asistente de voz (al menos hasta que estén en el mercado dispositivos como las Google glass) y además, hasta ahora, Google ofrece una versión de Google Now para iOS, de manera que no tienes que elegir móvil pensando en esto.

Algo parecido sucede con los Mapas. Apple ofrece su propio programa para mapas y navegación giro a giro que se hizo famoso hace un año por los curiosos errores en su cartografía. Sin embargo, salvo por estos errores, el sistema de mapas de Apple ha demostrado ser rápido y eficaz en el día a día (siempre que encuentre las direcciones que buscas, en lo que carece de la potencia de Google Maps). Por otro lado, Android cuenta con el potente Google Maps, que aunque tiene una voz menos natural para dar las indicaciones y está quizá algo menos pulido en el aspecto de facilidad de uso, tiene toda la potencia de los mapas de Google, lo que siempre le da una ventaja cuando buscas direcciones o puntos de interés.

 

Estudio afirma que las condiciones para albergar vida en la tierra durará 1.750 millones de años más.

Estudio afirma que las condiciones para albergar vida en la tierra durará 1.750 millones de años más.

 

Las condiciones que hacen que el planeta Tierra sea habitable durarán, al menos, otros 1,750 millones de años, según un estudio realizado por científicos de la universidad inglesa de East Anglia. La investigación, que divulga la revista “Astrobiology”, revela el tiempo de habitabilidad de la Tierra en base a la distancia con el sol y a las temperaturas que posibilitan que el planeta tenga agua líquida.

El equipo de científicos observaron las estrellas en busca de inspiración y emplearon algunos planetas recientemente descubiertos fuera de nuestro sistema solar (exoplanetas) como ejemplos para calibrar su potencial para albergar vida.

El responsable del estudio, Andrew Rushby, de la Escuela de Ciencias Medioambientales de la Universidad de East Anglia, explicó que se utilizó “el concepto de zona habitable para hacer estimaciones”, es decir, “la distancia de un planeta respecto a su estrella que hace que las temperaturas sean propicias para tener agua líquida en la superficie”.

“Empleamos los modelos de evolución estelar para calcular el final de la vida habitable de un planeta determinando cuándo dejará de estar en la zona habitable”, dijo Rushby.

El equipo de científicos consideró “que la Tierra dejará de ser habitable en algún momento dentro de entre 1.750 y 3.250 millones de años”.

“Pasado este punto, la Tierra estará en la zona caliente del sol, con temperaturas tan altas que los mares se evaporarán. Se producirá un evento de extinción catastrófica y terminal para todas las vidas”, razonó. El responsable de la investigación agregó que “por supuesto, las condiciones de los seres humanos y otras formas de vida complejas se volverán imposibles mucho antes”, algo que, según apuntó, “está acelerando el cambio climático” generado por el hombre.

“Los humanos tendrían dificultades incluso con un pequeño aumento en la temperatura y, cerca del final, solamente los microbios en algunos nichos medioambientales serían capaces de soportar el calor”, avanzó.

Rushby apuntó que al mirar al pasado “una cantidad similar de tiempo, sabemos que hubo vida celular en la tierra” y puso como ejemplo que “tuvimos insectos hace 400 millones de años, dinosaurios hace 300 millones de años y plantas florecientes hace 130 millones de años”.

“Anatómicamente, los seres humanos solo han existido durante los últimos 200.000 años, por lo que se ve que hace falta muchísimo tiempo para que se desarrolle la vida inteligente”, dijo.

La cantidad de tiempo habitable de un planeta es relevante pues revela datos sobre la posibilidad de evolución de la vida compleja, “que es la que probablemente más requiera de un período de condiciones de habitabilidad”.

“La medición de habitabilidad es útil porque nos permite investigar la posibilidad de que otros planetas alberguen vida y para entender que la etapa de la vida puede estar en otro lugar de la galaxia”, según explicó Rushby.

Los astrónomos han identificado casi mil planetas fuera del sistema solar, algunos de los cuales han sido analizados por estos expertos, que estudiaron la naturaleza evolutiva de la habitabilidad planetaria sobre el tiempo astronómico y geológico.

“Comparamos la Tierra con ocho planetas que se encuentran actualmente en su fase habitable, incluyendo a Marte. Encontramos que los planetas que orbitan estrellas de masa más pequeña tienden a tener zonas de vida más habitables”, añadió.

 

Más información:

http://andrewrushby.com/

 

Descubierto, salto de restricciones e inyección de comandos en el router Netgear WNDR3700v4.

Descubierto, salto de restricciones e inyección de comandos en el router Netgear WNDR3700v4.

 

En una serie de dos artículos, el investigador Zack Cutlip (@zcutlip) ha localizado varias vulnerabilidades en la versión 4 del router inalámbrico WNDR3700 de Netgear. Estas, entre otros impactos, permitirían acceder a la interfaz de administración sin necesidad de autenticación y la inyección de comandos al sistema operativo del dispositivo. Están confirmadas en las versiones 1.0.1.42 y 1.0.1.32 del firmware.

Cutlip desgrana, a través del estudio del manejo de las peticiones, las diferentes vulnerabilidades descubiertas. Cuando se pide un recurso al router, se comprueba que su nombre coincida con el patrón asociado a uno de los manejadores MIME. Esto se hace buscando el patrón como subcadena del recurso. Si se encuentra, se le aplica su manejador de autenticación asociado.

Poniendo como ejemplo el mismo que se utiliza en el articulo, una de las entradas en la tabla de patrones MIME es "BRS_". La función de autenticación para estos recursos es un puntero nulo. Por tanto, cualquier recurso que contenga la cadena "BRS_" no necesita autenticación. Son muchas las páginas que cumplen esta condición en la interfaz. Como ejemplo, la que muestra la contraseña de la conexión WPA del dispositivo.

Otras páginas permiten el salto de las restricciones de autenticación con el mismo método. Para controlar qué páginas requieren autenticación, comprueban que el patrón (que no es más que el nombre de la página), sea subcadena *de la petición*, y no comparan con el nombre de recurso en si. Esto se permite que se sirvan páginas restringidas si la petición contiene el nombre de una de las páginas que no lo están. Por ejemplo, en una petición como http://router/pagina_protegida.htm?foo=unauth.cgi se podría acceder a la página protegida, ya que unauth.cgi, que salta las restricciones, se encuentra como subcadena.

Como colofón, Cutlip termina con un salto de restricciones persistente. En este dispositivo, el valor de la variable hijack_process controla si se debe aplicar la autenticación en todas las páginas de la interfaz. Esta funcionalidad se aplica durante el primer inicio del router. En vez de usar una contraseña por defecto, directamente se deshabilita la autenticación hasta que esté configurado. Cuando se configura, hijack_process toma el valor 3, con el que indica que la autenticación debe aplicarse.

Sin embargo, existe una página pública de la interfaz del dispositivo (BRS_02_genieHelp.html) que da a hijack_process un valor distinto de 3, con lo que una sola petición a esa página permitiría desactivar la autenticación en todo el dispositivo. Como la variable se guarda en RAM no volátil, este estado permanece aunque el dispositivo se reinicie.

Además, también se ha encontrado una vulnerabilidad que permite la inyección de comandos al sistema operativo subyacente del router a través de la página de ping a direcciones IPv6. El comando con la dirección dada por el usuario se le pasa a la función system, que llama a /bin/sh. Por tanto, si pasamos en lugar de la IP una cadena de la forma "; comando;", la ejecución del ping falla, pero podemos inyectar código. Ya se ha publicado una prueba de concepto que abre una conexión telnet y permite el acceso como administrador sin autenticación.

Las vulnerabilidades se han probado en la versión 4 del modelo WNDR3700 de Netgear, con los firmwares 1.0.1.42 y 1.0.1.32, y en el 4700. El autor acredita a Jacob Holocomb (que encontró la esta misma vulnerabilidad en el modelo WNDR4700) y Craig Young, que hizo este descubrimientos el pasado abril pero no lo publicó (https://twitter.com/zcutlip/status/393752865187328000).

Según el portal The Register, Netgear ha prometido un parche que solucione la vulnerabilidad en el plazo de un mes, aunque apunta que solo es explotable si el atacante se encuentra en la misma red que el dispositivo.

Más información:

Complete, Persistent Compromise of Netgear Wireless Routershttp://shadow-file.blogspot.com.es/2013/10/complete-persistent-compromise-of.html

Netgear Root Compromise via Command Injectionhttp://shadow-file.blogspot.com.es/2013/10/netgear-root-compromise-via-command.html

Netgear router admin hole is WIDE OPEN, but DON'T you dare go in, warns infosec bodhttp://www.theregister.co.uk/2013/10/25/netgear_security_snafu/

 

¿Las redes WiFi son el peor enemigo de la telefonía 4G?.

¿Las redes WiFi son el peor enemigo de la telefonía 4G?.

 

 

Los móviles de última generación, sin tarifas planas, no levantan el entusiasmo masivo esperado. “Nadie pregunta por 4G”, explican los comerciales.

 

Con la llegada de los nuevos servicios 4G en España, los pioneros en la nueva generación de velocidad móvil como Vodafone y Amena han llegado a decretar el fin del ADSL: “¿Quién querrá pagar por acceso a Internet en casa de 30 Mbps (megas por segundo), si lo tendrá en el móvil de 100 Mbps?”, argumentaban los ejecutivos de marketing con la misma velocidad que desplegaban los grandes anuncios de 4G en las principales ciudades españolas.

Pero el resultado parece ser el contrario al esperado. Las redes wifi, instaladas en su mayoría sobre plataformas ADSL, aportan a los teléfonos móviles una velocidad suficiente para la mayoría de los usuarios. Según los datos de Cisco, empresa proveedora de infraestructuras de redes, el 60% del tráfico de datos de los teléfonos móviles proviene de las redes wifi instaladas en la casa o en el trabajo.

“Nadie se interesa por saber si un teléfono tiene 4G o no. De hecho creo que sólo dos clientes me han preguntado por eso”, explica un comercial de la tienda Vodafone en Collblanc, Barcelona. La situación se repite enAmazon.es. En el listado de los 10 teléfonos más vendidos en España, y que la página actualiza cada hora, sólo el Samsung Galaxy S4 se adapta a 4G.

La tarifa plana

La razón del triunfo de las redes wifi sobre el 4G se basa en una característica técnica, pero con importantes implicaciones comerciales. “El ADSL y la fibra de casa pueden ofrecer una velocidad constante casi con independencia de la cantidad de usuarios conectados. Pero los operadores móviles tienen un problema: el espacio radioeléctrico es limitado y si muchos usuarios se conectan a la vez, la velocidad baja o la red se cae”, explica el consultor de telecomunicaciones, Fidel Salgueiro, con experiencia ejecutiva en Venezuela, España y Ecuador.

Las empresas de telefonía móvil cobran por paquetes de datos y no tienen la capacidad de ofrecer tarifas planas como los operadores de telefonía fija e internet. Yoigo asegura que el consumo de datos promedio de sus clientes es de 500 megas al mes, pero calcula que con 4G, se disparará a 3 gigas. Una tarifa plana colapsaría su red en un pestañeo.

Apaños caseros

Aunque para los usuarios más avanzados y exigentes, la última generación de velocidad móvil comienza a ser un motivo para considerar el cambio de compañía, el grueso del mercado camina en otra dirección.

En el segundo trimestre del año, casi 700.000 usuarios emigraron a las operadoras móviles virtuales, con precios más reducidos. Y el teléfono más vendido en Amazon no es un 4G de más de 400 euros sino un Huawei Ascend Y300 de 95 euros, que puede alcanzar la velocidad 4G conectado a una wifi casera. 
Cobre con futuro 

Lo que no deja de crecer y con mucha fuerza son las conexiones de banda ancha fija, que en España casi alcanzan los 12 millones. Los accesos a alta velocidad (más de 10 megas) aumentaron el 53% en un año. 

Después de todo, los operadores tal vez no esperan que el 4G entre con tanta fuerza como pensaron en un principio. “Todos los smartphones preponderan la red wifi como primera opción de conexión y los mismos operadores estimulan a que los usuarios se conecten por wifi”, remata Salgueiro.

Los viejos cables de cobre siguen teniendo mucho futuro.

 

Aparentemente ya es posible la activación KMS para copias piratas de Windows 8.1.

Aparentemente ya es posible la activación KMS para copias piratas de Windows 8.1.

 

Windows 8.1 ya está siendo utilizado por un montón de personas, así que era sólo una cuestión de tiempo hasta que alguien encontrara una forma de activar copias piratas del sistema operativo.

Parece que la activación de KMS para Windows 8.1 ya es posible utilizando un procedimiento estándar que implica aplicaciones específicamente diseñadas y hosts personalizados.

Microsoft no estará encantado por esta noticia, eso es seguro, pero la compañía probablemente bloqueará todas estas copias pirateadas de Windows 8.1 lo más pronto posible.

Como probablemente ya sabrás, Windows 8.1 está disponible gratuitamente para todos los usuarios de Windows 8 vía la Tienda, pero un paquete de venta al por menor también está siendo ofrecido a los clientes de las versiones anteriores de Windows, por precios que comienzan en 119,99$ (130€).

La versión profesional tiene un precio de 199,99$ (150€) y se puede encontrar en línea o en las tiendas minoristas de Microsoft en todo el mundo.

NVIDIA presenta su tecnología G-SYNC y lanza nuevos drivers GeForce 331.58 WHQL.

NVIDIA presenta su tecnología G-SYNC y lanza nuevos drivers GeForce 331.58 WHQL.

 

Resolviendo el antiguo problema de desajustes, rasgados y lag, NVIDIA presentó la tecnología NVIDIA G-SYNC, que por primera vez permite una sincronización perfecta entre GPU y pantalla. El resultado de su utilización son tasas de cuadros consistentes y fluidas y tiempos de respuesta ultra veloces que no eran posibles con tecnologías de pantallas previas.

Con varios años en preparación, esta tecnología sincroniza la tasa de actualización de la pantalla a la tasa de render de la GPU, para que las imágenes sean mostradas en el momento que son procesadas. Las escenas aparecen de forma inmediata. Los objetos son más finos. La jugabilidad es más fluida.

“Nuestro compromiso para crear una experiencia de juegos pura nos llevó a G-SYNC”, comentó Jeff Fisher, VP de la Unidad de Negocios de GeForce en NVIDIA. “Ésta revolucionaria tecnología elimina los artefactos que se han interpuesto entre los gamers y el juego. Una vez que juegues en un monitor con G-SYNC, nunca querrás regresar”.

Desde sus inicios, las pantallas han tenido tasas de actualización especificas – típicamente 60 veces por segundo (hertz). Pero debido a la naturaleza dinámica de los videojuegos, las tasas de render de las GPU son variables. Conforme la GPU busca sincronizarse con el monitor, ocurre rasgado constante. Activar V-SYNC (o Vertical-SYNC) elimina los desgarramientos pero causea un lag adicional y rezagos cuando la GPU y el monitor tienen tasas de actualización diferentes.

G-SYNC elimina éstos inconvenientes. Sincroniza perfectamente el monitor a la GPU, sin importar las tasas de cuadros, lo que lleva a una experiencia de juegos en PC sin sacrificios. La tecnología incluye un módulo integrado a los monitores de juegos, al igual que hardware y software incorporado en ciertas GPU basadas en Kepler.

Los desarrolladores de juegos rápidamente adoptaron los beneficios de la tecnología G-SYNC, que cual permite que sus juegos sean disfrutados al máximo:

“Las impresionantes ganancias de poder de procesamiento de GPU en la última década le han permitido a los desarrolladores y a los artistas crear escenas 3D y mundos más complejos. Pero incluso en la PC de más alto rendimiento, la ilusión de la realidad se ve disminuida por los rezagos y desgarres. G-SYNC de NVIDIA resuelve de forma elegante este persistente problema. Las imágenes en una pantalla G-SYNC son asombrosamente estables y vívidas. G-SYNC literalmente hace que todo se vea más real”, afirmó Tim Sweeney, fundador de EPIC Games.

“La tecnología NVIDIA G-SYNC es una solución realmente innovadora para el antiguo problema de legado con gráficos computacionales, y permite a uno finalmente ver una imagen libre de rasgados con la latencia más baja posible. El resultado realmente le ayuda a tu mente interpretar y ver la imagen en movimiento que se ve y se siente fantástico. Es algo que realmente tiene que verse para creerse”, sostuvo Johan Andersson, director Técnico de DICE.

“Con G-Sync, por fin puedes tener tu pastel y comértelo—hacer disponible hasta el último gramo de poder de GPU para lograr una experiencia visual superior sin los problemas de rezagos y desgarres”, comentó John Carmack, co-fundador de iD Software.

Planes de lanzamientos de fabricantes de monitores

Muchos de los fabricantes líderes de monitores ya han incluido G-SYNC en sus planes de lanzamiento para el 2014. Entre los primeros en usar ésta tecnología, se encuentran ASUS, BenQ, Philips y ViewSonic.

“ASUS se esfuerza por brindar la mejor experiencia en juegos a través de innovaciones como éstas. Estamos emocionados acerca de la nueva oferta de NVIDIA con G-SYNC en una variedad de monitores para juegos de ASUS. Estamos convencidos que esto impresionará a los gamers con su impresionante mejora en fluidez y calidad visual”, afirmó Vincent Chiou, VP Asociado, Unidad de Negocios de Pantallas, ASUS.

“Estamos muy emocionados con G-SYNC en nuestros monitores de juegos profesionales. Los dos juntos, ofreciendo una ventaja competitiva importante que definitivamente llevará a la experiencia de juegos en PC a otro nivel”, sostuvo Peter Chen, Gerente General, BenQ Technology Product Center.

“No podemos empezar a trabajar con monitores Philips con tecnología G-SYNC específicamente para gamers. Nosotros creemos que cualquiera que realmente esté interesado en sus experiencias de juegos querrá tener uno”, comentó Sean Shih, director de Marketing de productos globales, TPV Technology.

“Todos aquí en ViewSonic estmos emocionados con la gran experiencia visual que G-SYNC brinda. Estamos esperando aprovechar al máximo con nuestras galardonadas líneas de pantallas para juegos y para profesionales”, afirmó Jeff Volpe, presidente de ViewSonic.

 

Nuevos drivers GeForce 331.58  WHQL

NVIDIA ha publicado los drivers R331 331.58 bajo el sello de certificado WHQL, y que mejorarán ligeramente el rendimiento en algunos títulos.

Dichos drivers están optimizados para algunos de los juegos más esperados que llegarán en pocos días como son 'Batman: Arkham Origins' o el exigente 'Battlefield 4'. Hasta un 13% más de rendimiento obtendremos en las gráficas de las series 400/500/600 y 700.

Su instalación además viene preparada para soporte 4K, la activación streaming de Nvidia SHIELD y añadiendo varias librerias de DX a juegos como 'Shadow Warrior' o 'GRID 2'.

 

Más información:

http://www.geforce.com/whats-new/articles/introducing-nvidia-g-sync-revolutionary-ultra-smooth-stutter-free-gaming

http://la.nvidia.com/download/driverResults.aspx/68549/la

 

Malware aprovecha la fiebre de GTA V para propagarse.

Malware aprovecha la fiebre de GTA V para propagarse.

 

Ya en repetidas ocasiones he comentado como el malware se aprovecha de la curiosidad e ignorancia de los usuarios para propagarse. La muerte de un artista o personaje famoso, las supuestas fotos desnudas de una hermosa modelo o actriz, fechas emblemáticas del calendario y el lanzamiento de algún software son las más utilizadas.

Un nuevo programa malintencionado se está expandiendo aprovechando la popularidad del título de Rockstar. Éste se presenta bajo la apariencia de la versión para compatibles para engañar a los usuarios. Este nuevo virus bajo en nombre de GTA 5 habría afectado ya a miles de ordenadores.

No es la primera vez que sucede, y, por desgracia, parece que no será la última vez. Muchos programadores de los llamados archivos malintencionados aprovechan la popularidad y expectación por un juego para intentar expandir sus productos, bien con la simple intención de fastidiar al usuarios, bien, en los peores casos, robarle información y datos y utilizarlos en su propio beneficio.

El segundo aspecto que aprovechan para ello es el cierto descuido con el que muchos de estos usuarios descargan los archivos a sus ordenadores, tabletas o smartphones, lo que les convierten en un objetivo fácil.

En el caso concreto de Grand Theft Auto V, ya alertamos el mes pasado de la aparición de un virus informático para dispositivo móviles que bajo la apariencia de iFruit, la aplicación que Rockstar lanzó para iPhone y iPad, infectaba dichos aparatos en busca de información del propietario.

Ahora, otro malware ha saltado al PC utilizando una estrategia muy similar. En este caso, aprovecha la expectación y el ansia de muchos aficionados por la llegada del título a compatibles, algo que la compañía aún no ha anunciado.

Conscientes de que podían ser presas fáciles, los ciberdelincuentes le han dado la apariencia de esa supuesta versión aún no oficial del juego para PC. Los inocentes usuarios, convencidos de que se trata realmente del título, distribuido por alguna infiltración, se descargan inconscientemente archivos malintencionados.

Dicho archivo continúa circulando, y tendría un tamaño de 12 GB y, una vez afectado el ordenador, éste lleva al usuario a una serie de páginas donde, a través de un nuevo engaño, le roba información y datos personales. Un timo que para muchos es fácilmente detectable pero que según la mentada web ha infectado ya a miles de ordenadores a lo largo de todo el mundo.

Para evitarlo, lógicamente, lo más recomendable la prevención, y no descargarse nada que no sea oficial por parte de Rockstar, especialmente cuando, recordemos, ni siquiera la compañía ha anunciado su lanzamiento para esta plataforma. Seguid con nosotros toda la información que rodea a este GTA V.

Apple corrige varias vulnerabilidades con OS X Mavericks 10.9.

Apple corrige varias vulnerabilidades con OS X Mavericks 10.9. 

 

Apple ha publicado la primera actualización gratuita para su sistema operativo OS X bajo el nombre de Mavericks. La nueva versión introduce varias soluciones a fallos de seguridad. Además, se han lanzado varios boletines de seguridad para otros productos entre ellos iOS 7 y Safari 6.1.

La "keynote" de ayer dejo una buena noticia para los usuarios de Apple. La última versión de OS X, de nombre Mavericks, se publicaba durante el mismo día de su presentación y se distribuiría de forma gratuita. Una opción que sigue la evolución lógica de su política de actualizaciones, que han ido bajando de precio durante los últimos años.

Además de las hasta 200 novedades incluidas en la nueva versión, Apple ha solucionado un total de 48 vulnerabilidades en el sistema operativo. La mayoría de los fallos solucionados se encuentra en el kernel del sistema (10), aunque una gran parte de ellos tienen un impacto de perfil bajo, contando con denegaciones de servicio y revelaciones de información. De todas ellas, la vulnerabilidad de mayor importancia se refiere a una ejecución de código arbitrario debida a un fallo en el manejo de argumentos en la API posix_spawn. Otros componentes que han recibido actualizaciones son python (5), tanto en sus versiones 2.6 como 2.7.

Se ha corregido la vulnerabilidad CVE-2011-3389 presente en el componente CFNetwork SSL, que hacía posible un ataque BEAST al incluir TLS 1.0. Se deja de soportar también certificados X.509 firmados usando MD5 (CVE-2011-3427) para aquellos que no se utilicen como certificado raíz de confianza.

Además, Mavericks corrige hasta 21 vulnerabilidades en Safari a través de la versión 7 del navegador, que incorpora de serie. De las que 20 se localizan en el motor Webkit. La mayoría de ellas dan lugar a una denegación de servicio, con posibilidad de la ejecución de código arbitrario, de forma remota a través de un sitio web especialmente diseñado. El resto podrían permitir ataques tipo cross-site scripting, o revelación de información. Para versiones de OS X anteriores, se estos fallos se corrigen en la versión 6.1 del navegador.

Entre el resto de actualizaciones publicadas se encuentra la versión 7.0.3 de su sistema operativo móvil iOS. Esta nueva versión corrige tres vulnerabilidades, todas ellas relacionadas con fallos en la pantalla de bloqueo y de petición de "passcode". Un atacante con acceso físico al dispositivo podría realizar llamadas (CVE-2013-5144), acceder al panel de contactos (CVE-2013-5164) o saltar el bloqueo temporal del teléfono tras superar el número de intentos fallidos (CVE-2013-5162).

También se corrige una vulnerabilidad en el software para presentaciones Keynote que permitía el desbloqueo de la pantalla si el equipo se puso en modo suspensión durante el modo de presentación. Por último, también se ha actualizado el sistema OS X Server a su versión 3.0, en la que se corrigen siete vulnerabilidades. Cinco de ellas están relacionadas con fallos en Ruby on Rails y la gema JSON de Ruby en el componente Profile Manager, pudiendo el más serio de ellos dar lugar a un ataque cross-site scripting. De las otras dos, la más grave es la localizada en FreeRADIUS(CVE-2012-3547) que podría permitir la ejecución de código arbitrario debido a un fallo al procesar el certificado de cliente.

OS X Mavericks v10.9, al igual que el resto de actualizaciones, está disponible a través de Mac App Store, las actualizaciones de software y el centro de descargas de Apple.

Más información:

About the security content of OS X Mavericks v10.9http://support.apple.com/kb/HT6011

About the security content of Safari 6.1http://support.apple.com/kb/HT6000

About the security content of iOS 7.0.3http://support.apple.com/kb/HT6010

About the security content of Keynote 6.0http://support.apple.com/kb/HT6002

About the security content of OS X Server v3.0http://support.apple.com/kb/HT5999

 

 

 

El gas metano producido por las vacas podría hacer funcionar un auto.

El gas metano producido por las vacas podría hacer funcionar un auto.

 

 

Una vaca emite aproximadamente 300 litros de metano por día, que pueden ser utilizados para poner en funcionamiento una nevera de 100 litros de capacidad a una temperatura de entre dos y seis grados durante todo un día, aseguran investigadores del Instituto Nacional de Tecnología Agropecuaria de Argentina, que han logrado recolectar, purificar y comprimir los gases que emiten los bovinos para utilizarlos como fuente energética alternativa. Hasta un coche podría funcionar con este biocombustible.

Para la captura del gas, los técnicos del INTA utilizaron un sistema de tubos comunicados directamente con el interior del rumen –una cavidad del estómago que contiene metano– para llenar una bolsa de plástico que, a modo de mochila, se ubica en el lomo del animal. Según indicó el coordinador del proyecto, la cantidad de gases recolectados varía según el alimento ingerido y el tamaño del ejemplar. Una vaca adulta, por ejemplo, emite cerca de 1.200 litros por día, de los cuales entre 250 y 300 son metano. Debido a que el animal genera diferentes gases, la iniciativa propone el uso de un compuesto industrial como la monoetanolamina en un 25% para extraer el dióxido de carbono y el ácido sulfhídrico y purificarlos hasta obtener una concentración de alrededor de 95% de metano.

Además de brindar respuesta a la falta o escasez de fuentes energéticas sostenibles, esta iniciativa busca disminuir la cantidad de gases de efecto invernadero que se liberan al ambiente. No en vano, según un informe de la Organización de las Naciones Unidas para la Alimentación y la Agricultura (FAO), las emisiones asociadas a las cadenas productivas de la ganadería representan el 14,5% de todas las emisiones de origen humano y, entre las principales fuentes, se encuentran las producidas durante la digestión de las vacas (39%) y la descomposición del estiércol (10%). A este respecto, Berra ha declarado que se busca “aprovechar la fermentación anaeróbica que tiene lugar en el interior del rumiante para obtener energía renovable e implementar un mecanismo de reducción de esos gases”.

 

En la nueva película de Tarzan, su mundo es amenazado por la presencia de un meteorito.

En la nueva película de Tarzan, su mundo es amenazado por la presencia de un meteorito.

 

 

El niño que se convirtió en hombre. El hombre que se convirtió en leyenda’. Así se vende la nueva versión de Tarzán, quien junto a Jane y sus aliados buscará proteger su mundo de un meteorito.

En esta nueva versión en los padres de Tarzán son unos millonarios aventureros, que mueren en un accidente de avión. El villano, es un hombre que se hizo cargo de la compañía de los padres fallecidos del protagonista, quién busca un meteórico que cayó en la selva, para dominar el mercado energético.

El film ya se encuentra en exhibición en los cines de Alemania y Rusia, la versión en inglés contará con las voces de Kellan Lutz de Crepúsculo y de Spencer Locke de Resident Evil. 

 

A continuación el trailer de la película: http://www.youtube.com/watch?feature=player_embedded&v=VzhDgbURwUU

 

 

 

La historia detrás del logo de Android.

Hace poco comentaba sobre el origen del logo de Apple, ahora quiero hablar sobre la historia del logo que en tan poco tiempo se ha convertido en uno de los más vistos en el mundo y se trata del logo de Android.

Cómo se creó la imagen del androide verde que representa el sistema operativo móvil de Google, y cuáles son los rasgos distintivos de los emblemas más destacados en el mundo del diseño.

Irina Blok, la diseñadora de uno de los logos más emblemáticos en la actualidad

Probablemente Irina Blok haya creado uno de los logotipos más reconocidos del mundo, pero asociarla con el Android verde no es lo que la ha hecho famosa. Blok recuerda sólo un incidente cuando obtuvo la atención del público por diseñarlo. En 2010, ella y su hija de 6 años estaban en el cine esperando que comenzara “Alicia en el País de las Maravillas” cuando un logotipo de Android apareció en la pantalla. Su hija, señala Blok, de repente se paró y gritó: “¡Mi mamá inventó eso!”. Todas las personas que estaban en la fila de adelante se dieron vuelta para mirar. Blok estaba tan avergonzada, dice, que se escondió detrás del paquete de palomitas de maíz.

El logotipo de Android había nacido tres años antes, cuando Blok trabajaba como diseñadora en Google. Cuando Google se preparaba para promocionar la plataforma del software de Android para dispositivos móviles, a Blok y a sus colegas del equipo de diseño se les pidió que crearan un look para el software (algo que los consumidores pudieran identificar fácilmente). El logotipo, le dijeron, tendría que tener un robot, y entonces ella se dedicó a investigar muñecos de ciencia ficción y a ver películas sobre el espacio; cualquier cosa que le pudiera ayudar a crear un personaje. Al final, se inspiró en una fuente inequívocamente humana: los pictogramas del hombre y la mujer universal que con frecuencia aparecen en las puertas de los sanitarios. Blok dibujó un bosquejo de robot con un torso que tenía la forma de una lata y antenas en la cabeza.

KitKat, la última incorporación del logo de Android

Mientras Blok trabajaba en el diseño, ella y sus colegas se pusieron de acuerdo en que el logotipo, al igual que el software, debería ser de fuente abierta. “Decidimos que sería un logotipo colaborativo, que todos en el mundo pudieran personalizar”, cuenta. “Eso fue bastante osado”. La mayoría de las empresas, por supuesto, defienden sus marcas de las imitaciones y se han entablado juicios por millones de dólares relacionados con los derechos de las insignias corporativas. Este logotipo sería de uso libre.

Desde entonces, al logotipo de Android lo han vestido de ninja, le han puesto esquíes y patinetas e incluso lo han transformado en una barra de Kit-Kat de edición limitada. Blok (quien ahora es la directora creativa deEdmodo , una red social para estudiantes y maestros) afirma que crear el logotipo fue como educar a un niño: “Uno da vida a este individuo y luego él tiene su propia vida”.

 

El patio de Google en Mountain View con todos los logos de Android

“El edificio dedicado al desarrollo de Android, la unidad que comenzó con ocho empleados y que ahora cuenta con más de 400 millones de dispositivos en todo el mundo”

Los secretos de un logo perfecto

Ji Lee, un diseñador de comunicaciones de Facebook, ha creado logotipos para organizaciones sin fines de lucro, tiendas y empresas que recién se inician.

¿Qué es lo que hace que un logotipo sea genial?

La simplicidad y la atemporalidad. Esas dos cosas son muy difíciles de lograr. Recientemente, hemos visto un montón de compañías que están intentado actualizar sus logotipos ( Yahoo! acaba de presentar su logotipo, cuya creación ha sido tan discutida). Y AT&T, UPS, Pepsi y American Airlines también están haciendo algunos retoques a los suyos. Pero un logotipo genial no debería necesitar ninguna revisión. Los logotipos de IBM, Nike y FedEx han sobrevivido a la prueba del tiempo. Eso tiene mucho que ver con su simplicidad. No puedo imaginar que el logotipo de Nike cambie, ni en cien años; no queda nada para restar.

¿Por qué es fanático del logotipo de FedEx? Entre las letras E y X, hay un espacio negativo que forma una flecha. Es un giño sutil, así que al principio no se nota. La firma de relaciones

públicas de FedEx quiso destacar la flecha para que fuera obvia. Pero el diseñador, Lindon Leader, luchó en contra de eso ya que consideró que sería una exageración. El hecho de hacer que las personas descubran algo por sí mismas es mucho más poderoso que resaltarlo para lograr el cometido.

Usted diseñó un logotipo para el New Museum (Museo Nuevo, en idioma español); es el contorno de la fachada del edificio, y no tiene palabras. ¿Cuál fue la idea de hacer eso? El New Museum, en ese momento, estaba inaugurando su nuevo edificio en un nuevo lugar y Droga5 (la agencia de publicidad para la cual yo trabajaba en esa época) terminó haciendo la campaña. Nos dimos cuenta de que el contorno del edificio podría convertirse en un ícono de toda la institución.

La actualización de Windows 8 a 8.1 puede pasar de una fiesta a un velorio.

La actualización de Windows 8 a 8.1 puede pasar de una fiesta a un velorio.

Hace poco comentaba sobre lo que se debe de saber antes de actualizar a Windows 8.1 y que particularmente esperaría un tiempo a ver que pasa, para los que siguieron mi consejo, muchos me lo han agradecido y para los que no y ahora me preguntan que hacer, solo puedo decirles que si se les murió su PC, mi sentido pésame ya que no solo ignoraron mis consejos, sino que la mayoría utilizaron su PC de trabajo o de hogar sin antes utilizar el sentido común y realizar un respaldo por lo que no solo perdieron su equipo de trabajo, también perdieron sus archivos.

 

Microsoft sufre un nuevo revés en su reputación

 

La noticia ha corrido como la pólvora, haciendo las delicias de toda la competencia de Microsoft: la actualización a la nueva versión 8.1 está teniendo problemas tan serios y abundantes como para dar un paso atrás y quitar el software de la Tienda para los equipos RT.

Por ello hoy quiero analizar todas las cosas negativas que me he ido encontrando durante la instalación de esta actualización del sistema operativo que, finalmente, han convertido el día de fiesta de Microsoft, en otro abochornante día desastroso (y van… demasiados).

Quejas, quejas y más quejas

La primera sorpresa agradable se ha convertido en muy desagradable e incómoda; y esta es la distribución por la propia Tienda de Windows.

Si bien, para la mayoría de usuarios que solo tienen un equipo, la facilidad para acceder al nuevo software como si fuera otra aplicación más resultaba muy cómodo, para aquel – como quien escribe estas líneas – que tiene tres o más equipos, es absurdo tener que realizar la misma descarga de +3Gb en cada una de las máquinas; sin poder bajarme una única imagen ISO y reutilizarla.

Otra frustración que se han encontrado los usuarios más adelantados, es que la actualización no se lanzaba a menos que tuviéramos el sistema operativo actualizado al último parche. Cosa poco entendible porque lo lógico es que el propio instalador descargue y actualice el equipo, como hacía en Windows 7 y 8; no que impida la actualización de forma “preventiva”.

Una vez lanzado el asistente de actualización, a esperar se ha dicho. Pero a esperar, esperar. No ha habido procesos completados en menos de dos horas, habiendo casos de superar las cinco, dependiendo de la potencia de cálculo del dispositivo.

Y esto es simplemente absurdo.

No me puedo imaginar qué cálculos y procesos pueden hacer que unas bestias pardas, como son los ordenadores de hoy en día, se tiren dos o tres horas para actualizar a una versión menor. Y más cuando la instalación de todo el sistema operativo desde cero no supera los 45 minutos.

Pero los problemas han continuado una vez terminada la instalación y con los equipos actualizados a Windows 8.1.

En mi caso, el portátil principal no hay forma de activarlo. Es una versión Enterprise con licencia por volumen, y me da un error de DNS. Solo de pensar el dinero que aporta mi empresa para la licencia de partner y que no podamos activar nuestro sistema operativo, ya me parece una falta de respeto a los clientes. Y me obliga a perder nuestro precioso y caro tiempo en solucionar un problema que no debería existir.

Pero, por lo leído, la cosa no se ha quedado allí. Si no que los números de serie de Windows 8, no son válidos para Windows 8.1 (primera vez en la historia de Windows). Así, si tienes que restaurar el Windows de tu equipo, deberás tener los dos números de serie a mano porque, otra sorpresa, la restauración te deja el equipo con la versión 8, no con la última.

Esto sería solo molesto, tratar los series como si fueran de versiones distintas, si no fuera por los reportes a lo ancho y largo del planeta indicando que con Win 8.1 hay multitud de fallos de hardware y app que han dejado de funcionar.

No son la generalidad, es cierto. Pero una actualización NUNCA debería provocar errores de este tipo. Se supone que el núcleo del sistema operativo no se ha tocado y que son solo mejoras.

El desastre de las RT

Si a un buen fuego le echas gasolina, no solamente obtienes una buena llamarada si no que lo más seguro es que te quemes las pestañas.

Pues algo así acaba de hacer Microsoft con su maltratado Windows RT.

En mi caso, simplemente no me ha aparecido nunca la actualización a 8.1. Pero parece que sí que han sido generales los fallos en la instalación de esta versión. Llevando a la inédita e inaudita decisión de detener la distribución hasta que en Microsoft arreglen los problemas.

La cuestión se complica aún más cuando la primera comunicación desde Redmond fue que el bloqueo de las tabletas se corregía “fácilmente” por medio de una recuperación del sistema desde un USB… proceso que casi nadie utiliza o sabe utilizar. Menos mal que rectificaron y bloquearon el acceso a la Tienda.

Es sorprendente este fallo garrafal porque, además el número de modelos de dispositivos RT es mínimo – la Surface, algunas Asus antiguas y no mucho más – si lo comparamos con el inabarcable parque de máquinas Windows 8.

Por si fuera poco, los “afortunados” que consiguieron actualizarse, se están encontrando con software que ha dejado de funcionar o que funciona mal, cuando en la versión 8 o en la propia Preview corrían perfectamente.

En mi caso, al no poder actualizar y continuar con mi versión 8.1 Preview, la novísima aplicación de Facebook no me la puedo descargar ni probar por no cumplir los requisitos de software.

Conclusión

Las molestias y funcionamientos fuera de todo sentido común siguen ocurriendo; como que me vuelva a pedir que elija navegador… y me quite por defecto el icono de IE de la barra del escritorio y del menú principal; o que la licencia para desarrollar aplicaciones para Windows 8 la haya redactado un abogado borracho aconsejado por el becario, y que dé como resultado que en algunos casos para hacer app tengas que comprar 100 licencias de desarrollo.

Pero aun así, en los dos equipos en donde he conseguido actualizar (incluyendo este en el que escribo estas líneas) se nota que el sistema va más fluido, es más profundo y me permite hacer más cosas.

Es decir, lo sigo recomendando mucho en su versión “completa”, y aconsejo esperar a la estabilización de la versión RT.

Pero sin olvidar que ha sido un auténtico desastre que puede indicar que las personas que dirigen o toman decisiones en la empresa no están mirando hacia donde deben.