Cuidado con el troyano Mapin.

Cuidado con el troyano Mapin.

Hace unos días se publicó el anuncio del troyano Mapin. Este troyano según la firma Antivirus ESET ha estado presente en Google Play a finales de 2013 y finales de 2014, superando varios miles de descargas.

Para incitar al usuario a instalar la aplicación, ésta se hacía pasar por juegos muy buscados en el market de Google:

* Hill Climb Racing
* Plants vs Zombies
* Highway Zombie
* Super Maria adventure (sí, Maria!)
* Zombies Highway Killer
* Dr Driving - Street Driving
* Super Hero Adventure

Tras estudiar algunas de estas muestras en nuestro laboratorio vamos a explicar su comportamiento:



Estructura de funcionamiento del instalador

El software está formado por tres componentes, el primero de ellos es el que se descargaba desde la tienda oficial de Android, también conocido como "Dropper" o "Instalador" (a la izquierda en la imagen superior).

Después de hacer un pequeño análisis estático de este archivo encontramos que la carpeta "assets" del APK contiene dos archivos cuyas cabeceras corresponden a archivos APK (o ZIP, que son exactamente iguales).

Después de ver esto, procedimos a estudiar la información que nos aportaba Koodous, empezando por los permisos de cada una de las aplicaciones. Primero vemos que el instalador solicita acceso tanto de lectura como escritura al almacenamiento externo (tarjeta SD), ver el estado de la red, Internet, tareas en ejecución y mensajes C2D.

URL Instalador en Koodous:
https://koodous.com/apks/5d351cf578a477a921707045e990f8c889bb129c07a22a8a228f43c59c0cb45d




Posteriormente con el análisis dinámico manual veremos que usa estos permisos para almacenar las APKs directamente en la tarjeta SD y el estado de red para lanzar la instalación del troyano.

También veremos que los permisos del troyano tienen su razón, por ejemplo el uso de "C2D_MESSAGE"
https://koodous.com/apks/cc95dc5b84d70de1b0a192f05e4c46813bfec3d6572750dbbad423a6946dc059:



También observamos que las URLs que contiene el APK en su interior resultan sospechosas, más adelante lo confirmaremos y explicaremos para qué las utiliza:



Procedemos con un análisis dinámico de la muestra para ver "grosso modo" cuál es su "modus operandi" y lo primero que nos llama la atención es, que tras la ejecución del "Dropper" en el dispositivo, este nos solicita instalar otra aplicación con el mismo nombre:

Imagen segunda instalación juego: 

Con esto intenta contentar al usuario de que la instalación del juego ha funcionado correctamente, aunque si se accede al mismo nos sale una pantalla como esta:



Recopilando, hasta el momento el usuario ha instalado el "Dropper" desde la tienda oficial de aplicaciones, y al ejecutarlo se ha vuelto a mostrar una pantalla de instalación (Imagen segunda instalación juego), que para un usuario común puede no resultar muy extraño. Tras esta instalación, en las aplicaciones del dispositivo aparece un único icono de "Plantas vs Zombies" y recordemos hay dos instaladas (el dropper y el juego ficticio).

En la siguiente etapa, el dropper va a intentar instalar el troyano. Para que sea más creíble para el usuario y piense que va a instalar una aplicación legítima, no lo hace inmediatamente, sino que espera a cuando haya un cambio de conectividad de red (recordar el permiso de cambio de red del que comentábamos al principio). Desactivar el modo avión, conectar el WiFi o 3G/4G activa este "broadcast" y entonces el sistema nos invita a instalar una actualización de "Google Play update" (que obviamente es falsa). Pueden comprobar el análisis en el siguiente enlace de Koodous:
https://koodous.com/apks/cc95dc5b84d70de1b0a192f05e4c46813bfec3d6572750dbbad423a6946dc059





Tras la instalación, el usuario no percibe información visible, pero el troyano se está ejecutando como servicio en “background”. Lo primero que hace es conectar con el servidor del atacante (recordemos las URLs que son visibles en Koodous) para enviar la información del dispositivo y el usuario:

V/AndroidHive GCM( 8733): Posting
'email=usermail@gmail.com®Id=APA91bFFOaavddFd33tZQDwmi2e6t-KmLbFI14cucUkLqDPHMRddcDDqFOy-5dHFrofySMJLl9IYl2wc1WQAWcoT1Re9BDq1BLb9a42BiIve-8IU2vsyR5yVopXpx6SWu1cFsrK3&name=null'
to http://topgame24h.com/gcm/register.php

En esta petición envía el ID del dispositivo, el email del usuario y el nombre al servidor del atacante (URL actualmente desactivada), mediante una petición POST. Posteriormente se conecta con los servidores de Google para registrarse en el servicio GCM. El id del desarrollador (en este caso el fabricante del malware) es "138675150963":

V/GCMRegistrar( 8733): Registering app com.system.main of senders 138675150963



Imagen del código GCM del desarrollador

Desensamblando el código dex (compilado de Android) a Java podemos ver las funciones que el atacante usa para controlar los dispositivos. Esto lo hace enviando comandos a través de los servidores GCM de Google:



Como casi todas las muestras antivirus, una vez se analiza, es interesante sacar una firma. Una firma de virus, resumiendo, es una serie de expresiones regulares que deben cumplirse para categorizarlo dentro de esa familia. Existe una herramienta libre llamada Yara (cuya comunidad está creciendo a pasos agigantados) y que se puede usar en Koodous abiertamente.

En primer lugar vamos a crear la regla para el dropper. La manera más sencilla es extraer cadenas de texto características del mismo, y analizando hemos visto 3 de ellas que pueden ser perfectas:
":Write APK file (from txt in assets) to SDCard sucessfully!"
"4Write APK (from Txt in assets) file to SDCard Fail!"
"device_admin"

Así que podemos crear la siguiente regla en Koodous, que en el momento de escribir esta entrada detecta nueve aplicaciones fraudulentas.
https://koodous.com/rulesets/859

En cuanto al troyano (Google Play update), basándonos en unas cuantas muestras, se han extraído las siguientes cadenas que pueden ser muy características:
"138675150963" //GCM id
"res/xml/device_admin.xml"
"Device registered: regId ="

La primera de ellas es el código GCM del desarrollador, la segunda un archivo que no suelen tener el resto de APKs y el tercero es parte de una cadena que el atacante usa para depurar. La regla completa está en Koodoushttps://koodous.com/rulesets/851 con ocho detecciones en el momento de escribir esta entrada.



Más información:

El Troyano Mapin consigue infectar sistemas Android a pesar de las medidas de seguridad de Google
http://blogs.protegerse.com/laboratorio/2015/09/22/el-troyano-mapin-consigue-infectar-sistemas-android-a-pesar-de-las-medidas-de-seguridad-de-google/

Dropper analizado
https://koodous.com/apks/5d351cf578a477a921707045e990f8c889bb129c07a22a8a228f43c59c0cb45d

Juego instalado
https://koodous.com/apks/de87f162b61b3ff81663769345ed590282cd44c02a90714af5fcf32d61f4e86e

Troyano analizado
https://koodous.com/apks/cc95dc5b84d70de1b0a192f05e4c46813bfec3d6572750dbbad423a6946dc059

NVIDIA publica boletín de seguridad para corregir vulnerabilidad en sus drivers.

NVIDIA publica boletín de seguridad para corregir vulnerabilidad en sus drivers.

NVIDIA ha publicado un boletín de seguridad que soluciona una vulnerabilidad en sus controladores gráficos que podría permitir una elevación de privilegios.

La vulnerabilidad se debe a un error de falta de comprobación que podría causar una corrupción de la memoria del kernel. Un usuario local sin privilegios podría utilizar una llamada IOCTL (llamada de sistema que permite a una aplicación controlar o comunicarse con un driver de dispositivo) para escribir un valor entero de 32 bits almacenado en el controlador del núcleo a una posición de memoria especificada por el usuario, incluida la memoria del núcleo, y obtener privilegios adicionales y tomar control del sistema afectado.

El descubrimiento de este fallo de seguridad, al que se le ha asignado el identificador CVE-2015-5950, ha sido realizado por Dario Weisser, quien además ha enviado a NVIDIA una prueba de concepto que aprovecha dicha vulnerabilidad para causar una denegación de servicio. Dice disponer de otra prueba de concepto que logra la elevación de privilegios pero no ha sido mostrada a la empresa.

Se encuentran afectados los controladores para sistemas Unix y Microsoft Windows, y potencialmente todos los dispositivos GPU de NVIDIA, exceptuando la familia Tegra.

NVIDIA ha publicado varias actualizaciones de los controladores que solucionan este error. Se encuentran disponibles para su descarga desde la página oficial de NVIDIA y son las siguientes:

Para Unix:
Release 304.128
Release 340.93
Release 352.41

Para Microsoft Windows:
Release 353.82
Release 341.81


Más información:

CVE-2015-5950 Memory corruption due to an unsanitized pointer in the NVIDIA display driver
http://nvidia.custhelp.com/app/answers/detail/a_id/3763/~/cve-2015-5950-memory-corruption-due-to-an-unsanitized-pointer-in-the-nvidia

Informe de FireEye advierte sobre una puerta trasera descubierta en algunos routers Cisco.

Informe de FireEye advierte sobre una puerta trasera descubierta en algunos routers Cisco.

El pasado 15 de septiembre se publicó un informe de la compañía FireEye en el que mostraban los detalles de un caso de infección de routers Cisco que merece la pena analizar.

¿Qué es un router?
Una cajita negra (jajajaja) con el tamaño suficiente para estorbar en cualquier lugar donde la pongas, (detrás de un mueble, encima del armario…), llena de cables para que tropieces y que permite que tu red interna se conecte a otras redes internas, entre otros esquemas, para intercambiar información ¿Ingenioso, verdad? Desde pequeñas oficinas (SOHOs) hasta routers frontera de una organización considerable tienen un elemento en común: los instalas, configuras, compruebas que hay conexión y te olvidas de ellos. "Fire and forget" como se diría en la jerga militar.

Esa pequeña cajita tiene una importante contraprestación: que alguien, en la oceánica inmensidad de la red, saque partido de ese olvido.

Tal vez la cifra parezca ridícula. FireEye detectó 14 routers Cisco con una versión modificada de su firmware original que permite el acceso a la red interna a través de una puerta trasera. 14 routers no son muchos routers, prácticamente nada, una mota de polvo en una tormenta de arena. A lo largo de los días la cifra subió a 79 más, pero como se apunta desde Arstechnica es posible que algunos positivos sean honeypots desplegados por otros investigadores. No es una opción descartable.

De cualquier modo las cifras no deben apantallar la carga explosiva de los hechos. Que una infección no alcance cotas significativas no se traduce en que tengas inmunidad frente a ella.

Hagamos un inciso antes de poner nuestros ojos en el microscopio para ver de cerca al bicho. Seguramente algunos lectores que administren routers Cisco estén en un momento de tensión innecesaria. No se trata de una vulnerabilidad específica de Cisco, no hay ningún gusano suelto (de otro modo las cotas sería exponencialmente superiores). Se sospecha que los autores se están aprovechando de aquellos routers que poseen credenciales de fábrica o contraseñas comunes para acceder al dispositivo. El porqué de Cisco y no otros es posiblemente debido a que este opus diabólico está diseñado exclusivamente para IOS, el sistema operativo de Cisco. Así que si administras Cisco y cambiaste las contraseñas por unas robustas, tranquilo, de lo contrario, si no las cambiaste o pusiste unas débiles…tal vez deberías hacer algunas comprobaciones.

SYNFul Knock

El "implante" o SYNFul Knock, como lo llaman en el informe de FireEye, consiste en una imagen de Cisco IOS modificada para permitir el acceso al dispositivo a través de una puerta trasera y capacidad modular para que el atacante pueda cargar funcionalidad acorde al tipo de acción que pretenda realizar.

Lo realmente curioso son los esquemas de comunicación que se han montado los atacantes para interaccionar con el dispositivo. Más que un canal encubierto básicamente se trata de "ofuscar" el modo en el que se accede a las puertas traseras mediante la manipulación de paquetes TCP estándar. Hablamos de ofuscar porque una simple captura de tráfico entre atacante-dispositivo hace saltar las alarmas si te fijas en los detalles. Naturalmente, lo osado es dar con los motivos para hacer tal captura de tráfico.

Llamativo que las puertas traseras solo puedan ser activadas a través de puertos estándar pero sin cifrado, léase: HTTP (a secas), telnet y consola. Se descartan los servicios HTTPS y SSH. El HTTP solo es usado por los atacantes para activar ciertos módulos. Crean un paquete TCP especial, lo envían hacia el puerto 80 y el firmware infectado se encarga de activar el módulo malicioso seleccionado. Si lo que desean es acceder directamente a un terminal de comandos IOS, el sistema de puerta trasera observa si las credenciales son válidas y corresponden a las de un atacante, activando entonces las funciones de puerta trasera (una shell). De lo contrario, las pasa al verdadero sistema de autenticación para que el usuario legítimo no observe nada un comportamiento extraño.

Uno de los factores que tuvieron cuidado de diseñar los autores fue el tamaño característico de la imagen binaria de Cisco IOS. ¿Cómo meter nueva funcionalidad sin engordar el tamaño del firmware? ¿Dieta milagro? No. Básicamente borrando funciones que no eran usadas por el dispositivo objetivo y sustituyéndolas por la funcionalidad maliciosa. Incluso se llegan a borrar algunas cadenas de caracteres de información de IOS por cadenas usadas para el servidor malicioso en HTTP. Algo que, absurdamente, identifica un router como infectado debido a que responde como un servidor Apache sobre un sistema GNU/Linux, pero que hace que el puerto 80 no destaque en escaneos arbitrarios al pasar por un servidor. Es decir, si sospechas de tus routers y escaneas el puerto 80 en busca de cabeceras te das cuenta, pero durante un escaneo rutinario puede pasar por debajo del radar.

Apretones de manos con guantes blancos

La comunicación entre el centro de control y sus tropas desplegadas es digna de detalle.

El router afectado mantiene a la escucha los puertos asociados a su administración. El preámbulo se efectúa con un paquete TCP SYN dirigido al puerto 80 con una constante entre el número de secuencia y el número reconocimiento ("acknowledgment"): 0xC123D.

El SYN-ACK del router responderá con un número diferencial secuencial del anterior: 0xC123E. Los siguientes bytes en las opciones TCP del paquete: "02 04 05 b4 01 01 04 02 01 03 03 05", el puntero URGENT a 0x0001, pero no su bandera correspondiente. También reutilizará el número de reconocimiento del paquete SYN como número de secuencia de su SYN-ACK, número que generalmente es pseudoaleatorio en implementaciones comunes de pila TCP.

Tras el ACK, el centro de control enviará un paquete con las banderas PUSH y ACK activadas, a partir del offset 0x62 la cadena "text" y a 0x67 el comando enviado al router, cifrado trivialmente con XOR.

Este jaleo de intercambios heréticos se inspira en la técnica del port-knocking, secuencias de paquetes modificados para abrir un puerto en un cortafuegos, grosso modo.

Fin de la fiesta

Todas estas características crean una firma perfecta para alimentar los IPS/IDS y determinar si ciertos routers se hayan afectados. El propio equipo de FireEye ya nos provee de herramientas para su detección (interesante también para auditorías, ejem, ejem)

De entre el grupo de dispositivos afectados sobresalen los siguientes modelos de Cisco:

Cisco Router 1841, 2811 y 3825.

No existe correlación entre la distribución geográfica o una organización determinada, aunque de momento Estados Unidos, Líbano o Rusia son los países que más positivos detectados acumulan, el número es pequeño para sacar conclusiones. Ver el estudio de los autores del escáner ZMap para más información.

Cisco ya venía sospechando de este tipo de esquema de ataque. No en vano el 11 de agosto pasado publicó una entrada en su blog bastante reveladora sobre instalación de firmwares maliciosos.

El maldito abracadabra

"…El castillo se desgranaba ante nuestros ojos. A pedazos. Piedra a piedra. De nada sirvieron sus robustos muros, su abismal foso ni las orgullosas torres que rozaban el mismo cielo. Una sola palabra bastó para que el eco de las montañas devolviera el grito desnudo de un viejo gruñón en una fuerza imperturbable, demoledora. Lo que siglos enteros llevó construir a los hombres iba a ser reducido al polvo, apartado a una amarillenta página de una historia que nadie recordará mañana…en cuestión de minutos..."

Resumiendo sin tanta prosa: Cambia las contraseñas por defecto y olvídate del perro cuando elijas una.

Más información:

Malicious Cisco router backdoor found on 79 more devices, 25 in the US
http://arstechnica.com/security/2015/09/malicious-cisco-router-backdoor-found-on-79-more-devices-25-in-the-us/

SYNful Knock - A Cisco router implant - Part II
https://www.fireeye.com/blog/threat-research/2015/09/synful_knock_-_acis0.html

SYNful Knock - A Cisco router implant - Part I
https://www.fireeye.com/blog/threat-research/2015/09/synful_knock_-_acis.html

In Search of SYNful Routers
https://zmap.io/synful/

Evolution in Attacks Against Cisco IOS Software Platforms
http://tools.cisco.com/security/center/viewAlert.x?alertId=40411

¿Pude un malware acabar con mi hardware?.

¿Pude un malware acabar con mi hardware?.

Puede que suene como un juego de palabras, el asunto es que hace poco comentaba sobre como el sistema de protección DRM Denuvo podría dañar o por lo menos acortar la vida de los discos de estado solido y estoy hablando de un software de seguridad, ahora bien a raíz de ese correo y que de repente a un amigo luego de haber detectado un malware en su PC se le dañara uno de sus discos duros de su PC, este me peguntó si el virus puede haber sido la causa.

El que un virus sea capaz de dañar nuestro hardware es uno de los mitos más conocidos en el mundo de la seguridad informática. Al mismo tiempo, es el más inusual. La doble cara de esta naturaleza es la razón por la que este mito ha perdurado.

A quien no le ha pasado que al llevar el automóvil al mecánico por cualquier cosa, desde cambiar unas bujías, hasta reparar el motor, luego de salir el auto del taller notan que el aire no funciona, o el reproductor de CD no suena o cualquier otra falla y le achacan la culpa al mecánico. Puede que si sea culpa del mecánico como puede que no, curiosamente ocurrió la coincidencia de una falla luego de salir del taller, igual pasa en muchos casos con fallas de hardware luego de haber sido detectado un malware, pero el asunto es, ¿puede un malware dañar hardware?.

Un poco de historia

Los desarrolladores de antivirus han ido desmintiendo aquellos mitos a través de los años. Seguramente algunos de estos casos son teóricamente posibles, pero los mecanismos de protección infalibles, no permiten que sucedan este tipo de cosas. Así que, como bien dicen, duerman tranquilos, que nada de esto sucederá, y todo este tipo de cosas.

Los usuarios pretenden estar satisfechos ante estas explicaciones, pero aun así continúan creyendo en los mitos. Puede pasar cualquier cosa, después de todo, los vendedores nos ocultan las cosas.

Sin embargo, la vida es muy curiosa y está llena de sorpresas. Por ejemplo, en 1999 una epidemia de virus Win95.CIH (también conocido como Chernobyl), tomó el control de miles de máquinas. El malware corrompió información almacenada en ambos lugares, tanto en discos duros, como chips BIOS de las tarjetas madre. Algunos de los PCs afectados no encendían, ya que su programa de arranque estaba dañado. Para nivelar los efectos de ataque, tenían que reemplazar los chips BIOS y reescribir los datos.

¿Fue realmente efectivo este daño infringido al PC?

En realidad, no. Después de una serie de manipulaciones, las tarjetas madre podían ser curadas y de vuelta a su estado operativo. Pero el problema no podía ser solucionado con cualquier “kit de emergencia casero”, requería de un equipo especializado.

Hoy en día, todo es aún más confuso

En primer lugar, cualquier pieza independiente de hardware, se encuentra atada a un microprograma reescribible, a veces, incluso a más de uno. Me sorprende que esta tendencia no afectara a los tornillos que mantienen a estos hardware súper inteligentes juntos.

Cada uno de estos microprogramas ha ido evolucionando con los años, convirtiéndose en una pieza de software algo compleja, la cual por diseño, está potencialmente abierta a un ataque. El momento en que el ataque tiene éxito, las consecuencias no siempre tienen remedio inmediato.

Toma como ejemplo la historia del firmware modificado de discos duros. Por cierto, al analizar la campaña de ciberespionaje, los expertos exploraron módulos de spyware inyectados en códigos de microprogramas para una cantidad de modelos diferentes de discos duros. Estas piezas de malware son utilizadas para ganar un control completo de los discos afectados; los cuales no tienen remedio, incluso después de formatearlos.

Uno no puede cambiar el firmware utilizando una serie de herramientas standard, el firmware es responsable de actualizarse por sí solo. Como era de esperarse, es realmente complicado cuando alguien intenta sacarlo del lugar donde pertenece. Pero claro, si posees un equipo especializado es posible que puedas aplicar la fuerza y cambiar cualquier microprograma. En la vida real, una unidad afectada se va directa a la basura, es la opción más efectiva y costeable.

¿Se puede considerar como un daño físico?

Bueno, eso es debatible. Pero la cantidad de historias sobre las vulnerabilidades de hardware continúan aumentando.

En segundo lugar, no está muy claro qué tipo de máquina se puede definir como “PC”. Por ejemplo, cualquier automóvil actual es un computador y lo que es aún más importante, un computador conectado sobre ruedas. Está expuesto a ser hackeado o comprometido de manera remota, al igual que en esta reciente demostración publicada del hackeo de un Jeep Cherokee, también se ha mencionado el hackeo de aviones, drones, etc.

Correcto, el hackeo fue hecho por hackers, no por un virus. Fue muy fácil, dado que han pasado años de investigación para poder lograr este hackeo. Sin embargo, no sería una sorpresa si un ataque de este tipo terminara golpeando algún poste de luz por la calle. Supongo que esto podría llamarse daño.

¿Es realidad o ficción que un virus pueda realmente dañar el hardware de un PC?

Es cierto. Sin embargo, la respuesta aquí depende mucho de lo que quieras decir con “daño”, “virus”, “PC”, etc. Hasta los momentos, el objetivo de los creadores de malware no es dañar hardware sino obtener información, control de sistemas o manipulación de hardware tratando de pasar lo más desapercibidos posible y dañar un hardware no lo es tanto por lo que la posibilidad de ver dañado el hardware de tu equipo de manera definitiva por causa de un malware por los momentos es ínfima, ¡pero no imposible!.

Mozilla publica dos boletines de seguridad para Firefox

Mozilla publica dos boletines de seguridad para Firefox

La Fundación Mozilla ha publicado dos boletines de seguridad que corrigen sendas vulnerabilidades en su navegador Firefox.

1.- MFSA2015-94

Ee importancia crítica, resuelve un error de uso de memoria tras liberación en 'CanvasRenderingContext2D' que podría permitir la ejecución de código remoto. Esta vulnerabilidad descubierta por Jean-Max Reymond (miembro de la comunidad Mozilla) y Ucha Gobejishvili (Zero Day Initiative), tiene asignado el identificador CVE-2015-4497.

2.- MFSA2015-95

Con un nivel de importancia alta, corrige un fallo en el instalador de complementos o extensiones que podría permitir la instalación de add-ons desde una fuente diferente a la esperada. Esto permitiría eludir restricciones de seguridad y engañar al usuario para instalar un complemento malicioso. Este error ha sido descubierto por Bas Venis y se le ha asignado el identificador CVE-2015-4498.

La versión 40.0.3 de Firefox, que corrige las vulnerabilidades anteriormente comentadas, se encuentra disponible para su descarga a través de los canales habituales o mediante las actualizaciones automáticas.

Más información:

Mozilla Foundation Security Advisory 2015-94
https://www.mozilla.org/en-US/security/advisories/mfsa2015-94/


Mozilla Foundation Security Advisory 2015-95
https://www.mozilla.org/en-US/security/advisories/mfsa2015-95/

Nueva versión de Google Chrome corrige 29 vulnerabilidades.

Nueva versión de Google Chrome corrige 29 vulnerabilidades.

Google anuncia una nueva versión de su navegador Google Chrome 45. Se publica la versión 45.0.2454.85 para las plataformas Windows, Mac y Linux, que junto con nuevas funcionalidades y mejoras, además viene a corregir 29 nuevas vulnerabilidades.

Como es habitual, Google solo proporciona información sobre los problemas solucionados reportados por investigadores externos o las consideradas de particular interés. En esta ocasión, aunque se han solucionado 29 nuevas vulnerabilidades, solo se facilita información de 10 de ellas (seis de gravedad alta y cuatro clasificados como media).

Se corrigen vulnerabilidades por violación de la política de mismo origen en DOM y ServiceWorker. Falsificación de caracteres en omnibox, un error de permisos en WebRequest y un error de validación de URLs en extensiones. También múltiples problemas por uso de memoria después de liberarla en Skia, Printing y Blink. Por último una fuga de información en Blink. Los CVE asignados van del CVE-2015-1291 al CVE-2015-1300.

También del trabajo de seguridad interno, varias correcciones procedentes de auditoría interna, pruebas automáticas y otras iniciativas (CVE-2015-1301). Así como múltiples vulnerabilidades en V8 en la rama 4.5 (actualmente 4.5.103.29).

Según la política de la compañía las vulnerabilidades anunciadas han supuesto un total de casi 40.500 dólares en recompensas a los descubridores de los problemas.

Esta actualización está disponible a través de Chrome Update automáticamente en los equipos así configurados o a través de "Información sobre Google Chrome" (chrome://chrome/).

Más información:

Stable Channel Update
http://googlechromereleases.blogspot.com.es/2015/09/stable-channel-update.html

Los ocho mandamientos para no meter la pata en WhatsApp

Los ocho mandamientos para no meter la pata en WhatsApp

Los malentendidos se multiplican en ausencia de lenguaje corporal que podamos interpretar. Los expertos aconsejan usar emoticonos o evitar los monosílabos cuando hablamos por redes sociales.

SILVIA C. CARPALLO

12 DE SEPTIEMBRE DE 2015


En 2013, se divulgó un estudio de CyberPsychology and behaviour Journal, que afirmaba que se habían producido hasta 28 millones de rupturas, debido a las interacciones en estas aplicaciones de texto. Si bien el estudio resultó no contar con datos exactos y no ser del todo cierto, la noticia se hizo viral rápidamente. A nadie le extrañaba que tal cantidad de parejas hubiera terminado por un malentendido hablando por WhatsApp. Reconozcámoslo: todos hemos discutido por esto alguna vez.

Hemos pasado de hablar las cosas tranquilamente con un buen vino y con un poco de calma, a dejarnos llevar por el impulso, querer solucionarlo todo desde la distancia, y si es posible, grabar la conversación o mandar un pantallazo a nuestros amigos para asegurar que éramos nosotros los que teníamos razón. El problema es que muchas veces lo que uno escribe, o cree escribir, no coincide con lo que el otro lee, o interpreta que ha leído. Las frases cambian mucho según su contexto, el tono de voz, o la postura que muestre nuestro cuerpo, y toda esa información se pierde a través de la pantalla táctil.

Por eso, si has sufrido una de esas disputas sin sentido, bien sea con tu pareja, tu madre o tus amigos, ten en cuenta los consejos que nos dan nuestros expertos para evitar tener una pelea por un malentendido en nuestras conversaciones de WhatsApp, o aplicaciones similares:

1) Cada persona es un mundo: Cuando intentas imitar a un amigo, seguramente incluirás un acento, una forma de arrastrar las palabras, alguna muletilla o una entonación especial que le caracteriza y le hace único. Todos tenemos nuestra forma de hablar, pero también tenemos nuestra forma particular de escribir. Y es por eso que a veces detectamos que un “jaja” no es lo mismo que un “jeje”. Según Leticia Dargallo del Centro Psicológico Insight. “Las formas, matices y entonaciones que utilizamos cada uno al hablar con alguien cara a cara o incluso al teléfono son muy particulares y todos tenemos las nuestras propias.”. A esta idea, el también psicólogo Miguel Ángel Rizaldos, matiza que al igual que tenemos esos matices en la forma de hablar “la escritura no deja de ser una expresión de cómo se es, al igual que lo hacemos verbalmente lo hacemos escribiendo”.

2) Añade una sonrisa o una lágrima: Cuando alguien te dice que está bien, pero su mirada te dice que está mal, sabes detectarlo. Cuando alguien te manda un mensaje y te pone que “Todo ok”, es muy difícil conseguir más información al respecto. “Muy hábilmente los creadores de esta herramienta han introducido los emoticonos, que nos ayudan a completar lo que estamos escribiendo, le da la entonación y la emoción que deseamos transmitir. ¿Es acaso lo mismo decir que mañana es tu día libre, sin más, que añadir una ‘bailaora’?”, reflexiona Dargallo. Sin embargo, Rizaldos no cree que los iconos consigan aportar toda esa información y es que “son útiles, pero son modos pobres y limitados de expresión de emociones, ya que no sustituyen una mirada o una caricia”.


Los emojis son útiles pero no puesden expresar a la perfección nuestras emociones.
3) No todo es urgente: Inmediatez. Eso es lo que nos han aportado las redes sociales. Antes te llamabas un día a la semana para hacerte un resumen, ahora es vital que todo el mundo opine de lo que estás comiendo en cada momento. Todo es importante, y todo parece urgente. ¿Pero realmente lo es? “Queremos una respuesta al momento, y no entendemos que si la otra persona ha leído nuestro mensaje, tarde en contestar. Sería bueno que intentáramos hacer un ejercicio de paciencia y comprensión, y es que a todos nos ha pasado el haber leído un mensaje justo al salir de casa, cuando estás montándote en el metro, cuando estás con amigos, o simplemente cuando no tienes ganas de estar pendiente del móvil”, reflexiona la psicóloga. Su homólogo masculino tampoco olvida que es bueno, por ejemplo, desactivar la última conexión, para que no puedan ver la nuestra, pero tampoco podamos ver la de los demás, lo que nos puede ayudar a no estar tan obsesionados con el control de la respuesta inmediata. Por cierto, también se puede desactivar el check azul.

4) Si no lo dirías, no lo escribas: Escudarnos en la pantalla nos hace creernos más valientes. Pero quizás nos haga más cobardes. No tener a la persona delante nos hace creer que es más fácil poder expresas ciertos sentimientos, bien sean negativos o positivos. Por eso, otra de las máximas para evitar discutir por culpa de una conversación de WhatsApp es la de “no hagas o digas aquello que no harías, o dirías cara a cara”. Así lo explica el psicólogo, que insiste en que “quizás sea más fácil expresar aquellas cosas que no diríamos cara a cara, pero esto es un arma de doble filo, ya que al igual que podemos trasmitir cosas positivas, podemos hacer lo contrario”.

5) Evita los monosílabos: Si dedicas tiempo y esfuerzo en escribir una parrafada a alguien, para explicar algo con pelos y señales, como por ejemplo, el súper plan que has pensado para el fin de semana, esperas algún tipo de respuesta que vaya más allá del “ok”. Pero si te responden con un monosílabo, el dilema ya está servido. “En ocasiones, por la falta de tiempo, la inmediatez o simplemente por pereza, respondemos con monosílabos a nuestro interlocutor, y esto puede ser interpretado como una muestra de enfado o de falta de interés por nuestra parte”. Ante esta situación, la psicóloga del Centro Insight propone volver a hacer uso de los emoticonos, que nos ahorren una larga explicación, pero que muestren más interés o más emoción por la conversación que un simple “sí” o “no”. Miguel Rizaldos aporta más ideas, cuestionando que quizás las expresiones que resulten demasiado tajantes “hay que matizarlas al máximo, para que el otro las interprete lo más fidedignamente posible a lo que queremos expresar. Es preferible no ahorrar en palabras para dar más detalles y así no exponerse a las malas interpretaciones”.

6) Si bebes, no wasapees: Otra de las contrapartidas de esta comunicación inmediata, es que a veces nos dejamos llevar por los impulsos. Si alguien no nos coge el teléfono, quizás nunca descubra ese enfado pasajero que teníamos con él, pero si tenemos la opción de dejarle un mensaje en un momento de ira, el daño ya estará hecho. “La policía, por ejemplo, en las RRSS con el tema del alcohol alerta: Si has bebido, no es buen momento para hablar ese tema tan candente con tu pareja, familia o jefe. O mañana te arrepentirás, y no solo por la resaca", apunta Rizaldos.

7) No todo se habla por Whatsapp: La finalidad del WhatsApp era poder comunicarse con los que están lejos, poder dejarse un recado, o escribir un “qué tal” a alguien con quién hace tiempo que no hablamos. Sin embargo, al final, hemos pasado a usarlo como método de comunicación con las personas con las que convivimos, e incluso para aquellas conversaciones que realmente son importantes. “Hay conversaciones que es mejor dejar para cuando nos veamos, dar unas pequeñas pinceladas por escrito está muy bien, pero hablarlo frente a frente, y por qué no, acompañado de una caña es mucho más enriquecedor y ameno”, explica Dargallo.

8) Que no te aleje de los que tienes cerca: Y es que uno de los conflictos por culpa de WhatsApp más típicos no es pelearte con la persona con la que estás hablando, sino con la que tienes enfrente, en una cena romántica, en una reunión de amigos o en una cena familia, y a quién no estás haciendo ni caso. “El problema es que WhatsApp nos acerca a quien tenemos lejos y nos aleja de quien tenemos cerca”. También existe fácil solución para eso.

Microsoft publica 12 boletines de seguridad.

Microsoft publica 12 boletines de seguridad.

Este martes pasado Microsoft ha publicado 12 boletines de seguridad (del MS15-094 al MS15-105) correspondientes a su ciclo habitual de actualizaciones. Según la propia clasificación de Microsoft cinco de los boletines presentan un nivel de gravedad "crítico" mientras que los siete restantes son "importantes". En total se han solucionado 56 vulnerabilidades.

* MS15-094: La habitual actualización acumulativa para Microsoft Internet Explorer que además soluciona 17 nuevas vulnerabilidades. La más grave de ellas podría permitir la ejecución remota de código si un usuario visita con Internet Explorer una página web especialmente creada (CVE-2015-2483 al CVE-2015-2487, CVE-2015-2489 al CVE-2015-2494, CVE-2015-2498 al CVE-2015-2501, CVE-2015-2541 y CVE-2015-2542).

* MS15-095: Boletín "crítico" que incluye la igualmente habitual actualización acumulativa para Microsoft Edge, el navegador incluido en Windows 10. En esta ocasión se solucionan cuatro vulnerabilidades, la más grave de ellas podría permitir la ejecución remota de código si un usuario visita una página web especialmente creada con Microsoft Edge. (CVE-2015-2485, CVE-2015-2486, CVE-2015-2494 y CVE-2015-2542).

* MS15-096: Boletín "importante" que resuelve una vulnerabilidad de denegación de servicio en Directorio Activo (CVE-2015-2535). Afecta a Windows Server 2008 y 2012.

* MS15-097: Boletín considerado "crítico" que resuelve 11 vulnerabilidades en el componente gráfico de Microsoft. La más grave podría permitir la ejecución de código remoto si el usuario abre un documento o una página web específicamente creada que contenga fuentes OpenType incrustadas (CVE-2015-2506 al CVE-2015-2508, CVE-2015-2510 al CVE-2015-2512, CVE-2015-2517, CVE-2015-2518, CVE-2015-2527, CVE-2015-2529 y CVE-2015-2546).

* MS15-098: Boletín considerado "crítico" que resuelve cinco vulnerabilidades de ejecución remota de código en Windows Journal (con CVE-2015-2513, CVE-2015-2514, CVE-2015-2516, CVE-2015-2519 y CVE-2015-2530).

* MS15-099: Destinado a corregir cinco vulnerabilidades "críticas" que podrían permitir la ejecución remota de código si se abre un archivo específicamente creado con Microsoft Office 2007, 2010 y 2013 (CVE-2015-2520 al CVE-2015-2523 y CVE-2015-2545).

* MS15-100: Boletín de carácter "importante" destinado a corregir una vulnerabilidad de ejecución remota de código si Windows Media Center abre un archivo de enlace Media Center (.mcl) que referencie código malicioso (CVE-2015-2509).

* MS15-101: Boletín considerado "importante" que resuelve dos vulnerabilidades, una de elevación de privilegios y otra de denegación de servicio, en Microsoft .NET Framework (CVE-2015-2504 y CVE-2015-2526).

* MS15-102: Destinado a corregir tres vulnerabilidades "importantes" en el administrador de tareas de Windows (CVE-2015-2524, CVE-2015-2525 y CVE-2015-2528). Afecta a Windows Vista, Windows Server 2008, Windows 7, Windows 8 (y 8.1) y Windows Server 2012.

* MS15-103: Boletín de carácter "importante" destinado a corregir una vulnerabilidad que podría permitir la obtención de información sensible y dos vulnerabilidades de falsificación en Microsoft Exchange Server 2013 (CVE-2015-2505, CVE-2015-2543 y CVE-2015-2544).

* MS15-104: Boletín considerado "importante" que soluciona tres vulnerabilidades (la más grave de elevación de privilegios) en Skype for Business Server y Microsoft Lync Server (CVE-2015-2531, CVE-2015-2532 y CVE-2015-2536).

* MS15-105: Destinado a corregir una vulnerabilidad "importante" que podría permitir evitar funcionalidades de seguridad en Windows Hyper-V (CVE-2015-2534).

Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Se recomienda la actualización de los sistemas con la mayor brevedad posible.


Más información:

Microsoft Security Bulletin Summary for September 2015 https://technet.microsoft.com/library/security/ms15-sep

Microsoft Security Bulletin MS15-094 – Critical Cumulative Security Update for Internet Explorer (3089548)https://technet.microsoft.com/library/security/ms15-094

Microsoft Security Bulletin MS15-095 – Critical Cumulative Security Update for Microsoft Edge (3089665)

https://technet.microsoft.com/library/security/ms15-095

Microsoft Security Bulletin MS15-096 – Important Vulnerability in Active Directory Service Could Allow Denial of Service (3072595)https://technet.microsoft.com/library/security/ms15-096

Microsoft Security Bulletin MS15-097 – Critical Vulnerabilities in Microsoft Graphics Component Could Allow Remote Code Execution (3089656)https://technet.microsoft.com/library/security/ms15-097

Microsoft Security Bulletin MS15-098 – Critical Vulnerabilities in Windows Journal Could Allow Remote Code Execution (3089669)https://technet.microsoft.com/library/security/ms15-098

Microsoft Security Bulletin MS15-099 – Critical Vulnerabilities in Microsoft Office Could Allow Remote Code Execution (3089664)https://technet.microsoft.com/library/security/ms15-099

Microsoft Security Bulletin MS15-100 – Important Vulnerability in Windows Media Center Could Allow Remote Code Execution (3087918)https://technet.microsoft.com/library/security/ms15-100

Microsoft Security Bulletin MS15-101 – Important Vulnerabilities in .NET Framework Could Allow Elevation of Privilege (3089662)https://technet.microsoft.com/library/security/ms15-101

Microsoft Security Bulletin MS15-102 – Important Vulnerabilities in Windows Task Management Could Allow Elevation of Privilege (3089657)https://technet.microsoft.com/library/security/ms15-102

Microsoft Security Bulletin MS15-103 – Important Vulnerabilities in Microsoft Exchange Server Could Allow Information Disclosure (3089250)https://technet.microsoft.com/library/security/ms15-103

Microsoft Security Bulletin MS15-104 – Important Vulnerabilities in Skype for Business Server and Lync Server Could Allow Elevation of Privilege (3089952)https://technet.microsoft.com/library/security/ms15-104

Microsoft Security Bulletin MS15-105 – Important Vulnerability in Windows Hyper-V Could Allow Security Feature Bypass (3091287)https://technet.microsoft.com/library/security/ms15-105

 

Desmantelan la Operación Liberpy de robo de información en Latinoamérica.

Desmantelan la Operación Liberpy de robo de información en Latinoamérica.

Se ha desmantelado una botnet dedicada al robo de información, que en el 98% de los casos afectaba a usuarios latinoamericanos.
La Operación Liberpy abarca un período de más de 8 meses de actividades de una botnet en Latinoamérica, sus acciones, campañas de propagación, técnicas de persistencia y los pasos que se han llevado a cabo para desmantelarla.

Todo empezó con el descubrimiento de Liberpy, una familia de "keyloggers" que una vez instalado en un sistema envía un reporte de todo lo que el usuario teclea y de los movimientos del ratón a un servidor controlado por los atacantes. De esta forma el malware conseguía robar credenciales, cuentas bancarias y otra información directamente desde las máquinas de los usuarios.

Tras un análisis más profundo sobre el malware, se pudo descubrir que se trataba de una serie de scripts en Python compilados con Pyinstalller (herramienta para convertir scripts en archivos ejecutables, en parte similar a py2exe). Así se pudo descubrir que Liberpy, además de actuar como keylogger, también tenía características de bot y de gusano.

Hispasec colaboró con la compañía de antivirus ESET para lograr realizar un Sinkhole de la botnet, lo que permitió en primera instancia, dimensionar parte de su tamaño y además, coordinar el cese de las operaciones de estos cibercriminales.

Con una idea más clara del uso de esta familia de malware, los sitios desde los cuales se propagó y hacia dónde enviaba la información teníamos todos los datos necesarios para intentar desmantelar esta botnet, y así desactivar las acciones de estos cibercriminales en la región. De esta forma, junto con ESET coordinamos y planificamos las acciones a seguir para el reporte y baja de las URLs en cuestión.

Gráfico en el que ESET muestra el funcionamiento de la botnet Liberpy: 

Vídeo en el que ESET describe la Operación Liberpy
https://www.youtube.com/watch?v=xdbGOlts5lE

ESET ha publicado un completo informe en el que se detallan todos los detalles técnicos del keylogger, acciones realizadas, estadísticas, etc.
http://www.welivesecurity.com/wp-content/uploads/2015/07/Operaci%C3%B3n-Liberpy-Keyloggers-en-Am%C3%A9rica-Latina.pdf


Más información:

Operación Liberpy: keyloggers en Latinoamérica
http://www.welivesecurity.com/la-es/2015/07/14/operacion-liberpy-keyloggers-latinoamerica/

Operación Liberpy:Keyloggers y robo de información en Latinoamérica
http://www.welivesecurity.com/wp-content/uploads/2015/07/Operaci%C3%B3n-Liberpy-Keyloggers-en-Am%C3%A9rica-Latina.pdf

Operation Liberpy’:Keyloggersand information theft in LatinAmerica
http://www.welivesecurity.com/wp-content/uploads/2015/07/Operation-Liberpy-Keyloggers-in-Latin-America.pdf

¿Cual versión de Office me conviene más?.

¿Cual versión de Office me conviene más?.

 

A propósito de la experiencia de un amigo al que le instale Office 2016, quiero compartir estas líneas. Lo primero que quiero recordarles es que no siempre actualizar un programa o sistema operativo a la ultima versión es conveniente, antes de hacerlo es recomendable hacerse varias preguntas como:

- ¿En verdad lo necesito?

- ¿Tengo el hardware adecuado?

El lanzamiento de Microsoft Office 2016 es inminente y la versión preliminar vive en constante actualización al punto que al momento de escribir estas líneas ya va por la versión “16.0.4229.1023” desde la “16.0.4229.1007” que fue la primera que instale y estoy hablando de apenas algo más de un mes. Después de los primeros pasos de Office 2013 con la Nube, Office 2016 va aún más allá para permitirte abrir, editar o guardar archivos en la Nube. También contará con un nuevo motor de búsqueda interna para Word, PowerPoint y Excel que te ayudará a encontrar las funciones más esquivas. Por si fuera poco, contarás con la posibilidad de ver el trabajo en tiempo real de tus compañeros con Office Online.

Lo más probable es que ya estés usando una de las versiones anteriores de Office, como la 2013, 2010, 2007 o 2003. La pregunta que quizás te estés haciendo ahora es: ¿vale la pena que actualices a Office 2016?

Por ahora no puedo darte una respuesta clara, ya que Microsoft tan solo ha lanzado la versión Preview de Office 2016. Mientras esperamos a la versión final, te refresco lo que nos ofrecieron los Office anteriores y cuál es su uso recomendado actual (¿crees que Office 2003 no sirve? ¡te sorprenderás!).

Tabla comparativa: 12 años y 5 versiones

Para ayudarte a poner las cosas en perspectiva, he resumido en una tabla las principales mejoras y novedades de Office desde la versión 2003 hasta la 2016, pasando por la 2007 y la 2010.

Office 2003 Office 2007 Office 2010 Office 2013 Office 2016
Word Panel lateral, control de cambios mejorado, comentarios de voz. Pocos cambios con respecto a Office XP Estilos, nuevas tipografías, corrector contextual, editor de ecuaciones, edición a pantalla completa Control de tipografías, nuevos controles de formularios, mejor recuperación de documentos Edición de PDF, modo de lectura en columnas, zoom para objetos, comentarios animados, formularios mejorados Colaboración en documentos en tiempo real, función Insights para descubrir más sobre palabras, términos…

Excel Listas, formatos XML, funciones estadísticas mejoradas Formatos condicional, mejor rendimiento, editor de funciones, autocompletado de fórmulas, tablas Pivot, filtros Sin límites de celdas, nuevos gráficos (sparklines), tablas pivot mejoradas, funciones con mayor precisión Herramienta de análisis rápido, llenado inteligente, recomendados de gráficas, nuevas funciones Análisis de datos más rápida y mejorada, integración de fuentes de datos SAP, Hadopp…
Powerpoint Navegación por las diapositivas mejorada, reproducción multimedia a pantalla completa Motor gráfico renovado, nuevas plantillas, gráficos 3D, soporte MP3, soporte para pantallas anchas (wide) Incrustado de vídeos, nuevas animaciones y transiciones, simulador de puntero láser. Ya no hay grabadora de macros Vista presentador (diapositivas + notas), comentarios, formas y animaciones mejoradas, soporte MP4 y AAC Una actualización muy continuista, pocas diferencias destacables con respecto a Powerpoint 2013

Outlook Filtro antispam mejorado, autocompletado, vistas mejoradas, soporte Unicode Sigue con interfaz clásica. Indexado de bandejas, barra “To do”. Pocos cambos com respecto a la 2003 Nueva interfaz ribbon, conversaciones en hilos al estilo Gmail, avisos anti-errores, vistas rápidas Interfaz más limpia y simple. Vista previa de mensajes y respuestas rápidas (estilo Gmail), agenda mejorada Interfaz más colorista, archivos adjuntos mejorados, búsqueda refinada, Portrait Mode depurado

Otros Incluye por primera vez OneNote. FrontPage alcanza su última versión. Reconocimiento de voz y escritura en XP Deshacer múltiple, inspector de documentos (metadatos), marcado de cambios, SmartArt Edición de imágenes mejorada, editor de ecuaciones en todas las apps, captura de pantalla, vídeos incrustables Funcionalidades predictivas, versión para tabletas, integración con la Nuve, soporte para Skype y Yammer Acceso rápido a funciones (Tell Me)

Formatos Solo admite formatos clásicos (DOC, XLS, PPT). Sin soporte PDF ni OpenDocument (OpenOffice.org) Formatos clásicos y XML (DOX, XLSX, PPTX). Soporte PDF, OpenDocument y XPS a partir del Service Pack 2 Formatos clásicos y XML, incluido OpenDocument. Soporte nativo para guardar como PDF o XPS Igual que en Office 2010. El formato PDF es editable en Word. Más formados multimedia incrustables. Ningún cambio relevante por ahora con respecto a 

Office 2013 (08/09/2015)
Interfaz Clásica y con colores. Es la última versión que usa la barra de botones tradicional Nueva interfaz ribbon (no en todas las aplicaciones). Vista previa instantânea, barra de acceso rápido, zoom fácil Ribbon mejorado y sin colores, nueva vista “backstage”, todas las aplicaciones usan el ribbon, integración total con Windows 7 Interfaz táctil, nuevos colores planos, integración nativa con Windows 8 y Windows 8 RT, movimiento de objetos mejorado Interfaces optimizadas para táctil con un acabado general más ligero y claro

Móviles Pocket PC, Windows Mobile Windows Mobile Windows Mobile, Symbian Windows Phone, IOS, Android Windows 10 Mobile, iOS, Android
Nube No Word puede publicar en blog. Outlook tiene un lector RSS Office Web Apps, con almacenamiento opcional. Soporte para Youtube en Powerpoint Office Web Apps, SkyDrive como opción de guardado. Integración con Outlook.com Integración desde su lanzamiento. Permite abrir, editar o guardar archivos desde la nube

Requisitos Pentium II 233mhz, 128mb RAM, 400mb en disco duro, resolución 800x600 a 256 colores CPU de 500mhz, 256mb de RAM, 2gb de disco, resolución 1024x768 CPU de 500mhz, 256mb de RAM, 3gb de disco, acelerador gráfico com 64mb de memoria Procesador a 1ghz, 1gb de RAM, 3gb de disco duro, acelerador gráfico compatible com DX10 Por ahora son los mismos requisitos que Office 2013 (08/09/15)
Compatible Windows 2000, XP, Vista, 7 Windows XP SP2, Vista, 7, 8 Windows XP SP3 (solo 32 bits), Vista SP 1, 7, 8 Windows 7, Windows 8, Windows 8 RT Windows 7, 8, 8.1, 10, RT, Mac OS X

Service Pack SP3 (17 Sept 2007) SP3 (25 Oct 2011) SP1 (28 Jun 2011) SP 1 (18 Feb 2014) Aún no ha salido (08/09/15)

Un poco de la historia de Office

En su día, el Office más innovador y más criticado fue Office 2007, que introdujo la interfaz Ribbon (la faja de botones con pestañas) y los nuevos formatos DOCX, XLSX y PPTX, que causaron más de un quebradero de cabeza.

Y si Office 2007 fue el Vista de los Office, podemos decir que Office 2010 ha sido el Windows 7 de la suite ofimática de Microsoft, mejorando enormemente todo lo que se criticó en la versión 2007 (incluida la tan odiada interfaz).

En la siguiente imagen podemos apreciar las búsquedas en Google (de mayo a julio de 2015). Las versiones 2010 y 2013 de Office siguen siendo muy populares:



La integración con la nube hizo sus primeros pinitos con Office 2013, aunque sin ninguna prestación revolucionaria. Esta versión realizó además un esfuerzo tremendo para adaptarse a Windows 8 y a su control táctil. También apostó por Microsoft OneDrive, el disco online que originalmente se llamó SkyDrive.

¿Qué ocurrirá con Office 2016?

¿Cómo será recordado? ¿Será una versión polémica como Office 2007, una solucionadora de errores como 2010 o una integradora como 2013? Nos queda poco para averiguarlo.

¿Cuándo te conviene actualizar?

Office 2016 se acerca, y aunque no puedo decirte si merece la pena actualizarte o no ya que no conozco tus necesidades, puedo echarte una mano explicándote a qué tipo de usuario se dirige los Office anteriores. Si te sientes identificado con una de estas descripciones significa que has encontrado la versión que realmente necesitas. ¡Lo último no es necesariamente lo mejor para todos!

Office 2003: para PC viejos y para quienes odien el ribbon

Si tu equipo ejecuta Windows 2000 o XP (muy pocos usuarios quedan) y te conformas con una experiencia ofimática clásica, Office 2003 es para ti. No está conectado a ninguna Nube, pero es sólido como una roca.

La versión 11 de Office es el representante más evolucionado del Office clásico, con sus barras de botones personalizables y un consumo de recursos mínimo. Funciona muy bien en un viejísimo Pentium II con Windows 2000. Y si necesitas abrir documentos DOCX, XLSX o PPTX, ahí tienes el Paquete de compatibilidad de Microsoft Office.



Microsoft Word 2003 en acción. Como otros programas de la suite, fue el último en usar las barras clásicas

Eso sí, con Office 2003 te estarás perdiendo muchas novedades que han acontecido en los últimos años, como el nuevo motor gráfico de Powerpoint, el fin de las limitaciones en Excel y un corrector de textos muy mejorado.

Office 2007: no hay motivo para seguir usándolo

Office 12 fue un revolucionario incomprendido: introdujo el ribbon y los estilos en Word, mejoró el editor de ecuaciones, añadió autocompletado en Excel y permitió guardar en los nuevos formatos OpenDocument.

Pero no hay motivo para seguir usándolo. Las versiones 2010 y 2013 toman todo lo que introdujo la versión 2007 y lo mejoran. La compatibilidad y los requisitos de la versión 2010, además son prácticamente idénticos.



El criticado "ribbon" de la nueva interfaz de Office 2007. Tardamos mucho en acostumbrarnos a él

Cuidado, no estoy diciendo que Office 2007 sea una mala versión: tras aplicar el Service Pack 2, la experiencia de uso de Office 2007 mejora mucho (entre otras cosas, el SP2 añade la posibilidad de guardar documentos como PDF).

En resumen: quédate con él solo si te gusta el tema ribbon coloreado o no puedes aplicar el Service Pack 3 de Windows XP. Para todo lo demás, Office 2010 y 2013.

Office 2010: ideal para eficientes

Disponible tanto para sistemas de 32 bits como para sistemas de 64 bits, Office 2010 es un himno a la eficiencia. Ha eliminado todos los límites en Excel, permite incrustar vídeos en Powerpoint y ha transformado a Outlook para bien.



En Office 2010 el ribbon sigue presente, pero es mucho más limpio y discreto que en la versión 2007

Tanto si sigues usando Windows XP como si has dado el salto a Windows 7 y quieres quedarte con él, Office 2010 debe ser tu primera elección, especialmente si sigues usando Office 2003 (no actualices primero a 2007 en ese caso).

El único motivo de peso para no actualizar a Office 2010 es el salto a Windows 8. Lo que nos lleva a hablar de la decimoquinta versión de Office...

Office 2013: para quienes usen Windows 8

¿Trabajas mucho con archivos PDF y los quieres editar? ¿Usar Windows 8? ¿Tienes cuenta en OneDrive y la usas? ¿Te gusta incrustar vídeos de YouTube en tus presentaciones? ¿Trabajas con tabletas Windows RT?

Si la respuesta a las preguntas anteriores es afirmativa, entonces la versión de Office que más te conviene es la 2013. Y es que, mejoras aparte, está pensada para integrarse con la Nube de Microsoft y con Windows 8 a la perfección.



La interfaz de Office 2013: colores planos y mayúsculas. Para muchos, un cambio innecesario

El problema es que, quizá no estés usando Windows 8, una versión a la que le costó mucho despegar y más ahora que está disponible Windows 10. Y olvídate de usar Office 2013 en XP: es misión imposible.

Pero quizás te guste estar a la última también en Windows 7. En ese caso, Office 2013 ofrece ventajas interesantes. Además de la edición de PDF, tienes el Outlook más parecido a Gmail de todos los tiempos y un montón de mejoras inteligentes.

Office 2016 Preview: para los osados

Existen dos tipos de usuarios en este mundo: los que se atreven a probar cosas nuevas y los que no. La versión Preview de Office 2016 ya está disponible para que eches un vistazo a algunas de sus novedades. ¿Te atreves a adentrarte en terreno desconocido o mirarás desde lejos como otros exploradores lo hacen a ti? Veamos si logro convencerte de lo primero.

Office 2016 logra simplificar las revoluciones que vimos en las versiones anteriores. Por ejemplo, en Outlook podrás ver automáticamente los archivos más recientes en los que hayas trabajado cuando quieras adjuntar algún archivo en el correo que vas a enviar. ¿No sabes dónde se encuentra la función que quieres usar? La nueva búsqueda interna de Office 2016 te la pondrá en bandeja de plata.



¿Quieres hacer algo pero desconoces cuál es la función o dónde se encuentra? Usa la nueva búsqueda interna

Hoy en día el trabajo en colaboración tiene más relevancia que nunca. Office Online garantiza que siempre estés actualizado sobre los últimos cambios que realizan tus compañeros en vuestros documentos compartidos.

Mayor protagonismo de la Nube, acceso fácil a todas las funciones de sus programas, Office Online… ¿Sientes un cosquilleo en el estómago? ¡Es tu curiosidad, que anhela probar todas estas novedades!

Como antes mencione, no puedo decirte si te conviene actualizarte o no a la ultima versión de Office, pero con toda esta información, creo que ya te puedes hacer una idea de cual es el Office que más te conviene.

Ni las neveras se salvan.

Ni las neveras se salvan.

Te levantas por la mañana, abres la puerta de la nevera sacas una caja de leche y al cerrar la puerta consultas la agenda del día en la pantalla LCD de la puerta de la nevera. Mientras tanto ya te han robado tus credenciales de Gmail.

Cada día más y más dispositivos diferentes se conectan a Internet, relojes, coches, cafeteras o neveras. Todo puede conectarse a Internet. Pero como sabemos todo dispositivo conectado puede suponer un riesgo adicional. En este caso, durante la pasada Defcon un equipo ha comprobado la seguridad de la nevera RF28HMELBSR de Samsung, evidenciando importantes problemas de seguridad.

El modelo RF28HMELBSR de Samsung es una de esas neveras de gran tamaño que además incluye una pantalla LCD de 8 pulgadas, conexión WiFi y puede controlarse a través de la aplicación "Samsung Smart Home".

Durante la pasada Defon 23, se celebró el evento IoT Village donde se impartieron diversas conferencias sobre el "Internet de las cosas" y la seguridad de dispositivos conectados, como TVs, termostatos, controladores de domótica, etc. También se propuso como reto vulnerar la seguridad de este gran electrodoméstico conectado.

https://twitter.com/IoTvillage/status/627252816231403520

El grupo PenTestPartners ha publicado los resultados de su investigación sobre la seguridad de esta nevera.

En primer lugar confirma que la nevera implementa SSL, sin embargo falla al validar los certificados SSL, lo que permite realizar ataques de hombre en el medio ("man-in-the-middle") contra la mayoría de las conexiones. Como la nevera incluye una funcionalidad para mostrar el calendario de Google, se podría usar un ataque MITM para obtener las credenciales de GMail del usuario.

Según la información del grupo, una excepción es se intenta conectar al servidor de actualizaciones. La conexión se realiza a la URL https://www.samsungotn.net, la misma que se emplea para TVs y otros dispositivos, sin embargo aunque generaron certificados con el mismo contenido que si fuera el sitio real, en ese caso fue imposible lograr la validación.

Los investigadores también han intentado otros ataques como intentar ataques a través del servicio de calendario, sin embargo las etiquetas HTML y otras marcas no se interpretan por lo que no lograron un ataque exitoso de esta forma.

También comprobaron la posibilidad de falsificar una actualización del firmware para comprometer el electrodoméstico a través de una actualización personalizada maliciosa. Si bien los investigadores confirman que encontraron el formato de URL para descargar el archivo, todavía necesitan encontrar una serie de parámetros adicionales para completar la URL. Según dicen no son datos secretos, solo difíciles de conseguir, como un nombre de código para el modelo del dispositivo, probablemente un número de serie, etc.

El frigorífico tiene al menos dos servicios en escucha. Uno en el puerto 4444 (SSL) y otro en el puerto 8888. El servicio en el puerto 4444 requiere un certificado cliente para la mayoría de las solicitudes, aunque no todos se validan contra el lado del cliente. El grupo sospecha que se utiliza por la aplicación móvil y, por lo tanto, el certificado estará en el código de la aplicación.

Los analistas también han trabajado sobre la aplicación móvil. Según informan creen haber encontrado el certificado dentro del almacén de claves. Sin embargo está adecuadamente protegido por contraseña, aunque creen haber conseguido la contraseña ofuscada,

Las cosas de Internet en el Internet de las cosas
Cada vez hay más dispositivos con conexión a Internet. Esto expone al software del dispositivo a los mismos riesgos que cualquier otro sistema conectado a la Red. El Internet de las cosas es más popular cada día y eso abre nuevas puertas a vulnerabilidades, robos de datos, control del dispositivo, etc.

Estos nuevos dispositivos conectados, como relojes, electrodomésticos, TVs, se encuentran en un ecosistema totalmente nuevo, nunca habían tenido conexión y se enfrentan a problemas totalmente nuevos para ellos, aunque muy conocidos para el software normal.

Los fabricantes de este tipo de sistemas conectados (electrodomésticos, cámaras, TVs, etc.) deben tomar conciencia de la importancia que representa la seguridad del dispositivo y no cometer los mismos fallos que la industria del software lleva años pagando.


Más información:

RF28HMELBSR/AA
http://www.samsung.com/us/appliances/refrigerators/RF28HMELBSR/AA

Hacking DefCon 23’s IoT Village Samsung fridge
http://www.pentestpartners.com/blog/hacking-defcon-23s-iot-village-samsung-fridge/

IOT Village
https://www.iotvillage.org/

Microsoft publica actualización de urgencia para Internet Explorer.

Microsoft publica actualización de urgencia para Internet Explorer.

Microsoft ha publicado el boletín de seguridad MS15-093 fuera de su ciclo habitual de actualizaciones para solucionar una vulnerabilidad "crítica" en todas las versiones de Internet Explorer, desde la 7 a la 11, y que se está explotando de forma activa en la actualidad.

Este boletín resuelve una vulnerabilidad (con CVE-2015-2502) en la forma en que Internet Explorer accede a objetos en memoria. El fallo podría dar lugar a una corrupción de memoria que permitir la ejecución remota de código arbitrario si el usuario visita una página web que contenga el exploit.

En el boletín de Microsoft no se llega a confirmar que la vulnerabilidad se esté explotando de forma activa, aunque la publicación fuera del ciclo habitual ya podría hacernos intuir la gravedad del problema. Sin embargo es una publicación en el blog de Qualys donde se confirma el ataque activo.

El problema afecta a todas las versiones del navegador Internet Explorer desde la 7 a la 11. Los usuarios de Microsoft Edge en Windows 10 no se ven afectados.

Esta actualización puede descargarse a través de Windows Update o consultando el boletín de Microsoft donde se incluyen las direcciones de descarga directa del parche. Antes de instalar esta actualización es necesario instalar el parche acumulativo publicado el pasado martes.

Más información:

Microsoft Security Bulletin MS15-093 – Critical Security Update for Internet Explorer (3088903)
https://technet.microsoft.com/library/security/MS15-093


MS15-093 - OOB fix for Internet Explorer
https://community.qualys.com/blogs/laws-of-vulnerabilities/2015/08/18/ms15-093--oob-fix-for-internet-explorer

La seguridad de Android sigue dando de que hablar.

La seguridad de Android sigue dando de que hablar.

Hace algunos días, la firma de seguridad Zimperium reveló el descubrimiento de un fallo en el sistema de Android, llamado Stagefright, que permitía a un atacante remoto ejecutar código mediante un MMS malicioso. La vulnerabilidad se encuentra en un proceso con permisos "system" que podría permitir a un atacante tomar el control del dispositivo (permitiría escuchar comunicaciones, robar datos, etc.). Esto nos hace pensar qué ocurre con las aplicaciones que descargamos.

Para averiguarlo hemos analizado una de las aplicaciones más famosas, que cuenta con más de 1.000 millones de descargas: Facebook. Es una gran sorpresa descubrir la gran cantidad de librerías nativas usadas por esta aplicación, 67 en total. Para optimizar el tiempo de ejecución, todo el código que se encarga de comprimir imágenes, cifrar las comunicaciones, etc. está desarrollado a bajo nivel. Sin embargo, codificar a bajo nivel aumenta la superficie de ataque. Entre otras dificultades el código nativo requiere una serie de habilidades que no se encuentran en el común de los desarrolladores. Siendo la gestión de la memoria la principal característica y fuente irremediable de problemas de seguridad y estabilidad de los programas.

Librerías nativas de Facebook:



Para encontrar posibles librerías vulnerables, nos hemos centrado en librerías que usan código libre como libpng, libevent, libjpegturbo, SQLite, etc. Con la ayuda de las bases de datos del MITRE y CVEDetails, hemos podido encontrar las vulnerabilidades que afectan a estas librerías desde el año 2012. ¿Por qué el 2012? Porque el compilador con que se compilaron esas librerías data de ese mismo año. Solo tomamos en cuenta las vulnerabilidades que podrían permitir ejecutar código arbitrario.

* libevent (versión obsoleta 1.4.14b-stable): afectada por el CVE-2014-6272 que podría permitir un desbordamiento de búfer basado en heap. Sin embargo, Facebook nunca llama a las funciones perjudicadas por esa vulnerabilidad, así que esta vulnerabilidad no se puede explotar.

* JPEGturbo (versión por lo menos de 2013): se encontró un importante fallo (CVE-2012-2806) en la versión de 2012, pero fue corregido el mismo año, así que esta librería tampoco está afectada.

* SQLite no tiene ninguna vulnerabilidad que permita a un atacante comprometer el sistema (según CVEDetails).

* libPNG (versión obsoleta 1.6.10, del 6 de marzo de 2014): tiene el CVE-2015-0973 que podría permitir a un atacante provocar un desbordamiento de búfer, que según MITRE conllevaría una denegación de servicio o a la ejecución de código arbitrario.

* Facebook también usa otras librerías como libwebp, libsjni, libglog,
etc. pero no se encontró ninguna vulnerabilidad en las versiones
empleadas de todas ellas.

Finalmente, hemos constatado que Facebook usa librerías obsoletas, como libPNG (versión 1.6.10) que podría permitir a un atacante remoto ejecutar código arbitrario. Y con ello leer SMS, contactos, etc. (todos los permisos de Facebook).

Aunque en algunos casos la corrupción de memoria pueda llevar al compromiso del sistema, Android tiene protecciones para hacer la explotación más difícil. Podemos destacar medidas como la randomización de las posiciones de las librerías en la memoria (ASLR), el sandboxing (con una mejora gracias a la integración de SELinux), protección contra la ejecución de la pila, etc.

Esto con una aplicación sobradamente conocida y depurada, y con un fuerte respaldo detrás como la aplicación de Facebook. ¿Qué puede ocurrir con otras aplicaciones?


Más información:


How to Protect from StageFright Vulnerability
https://blog.zimperium.com/how-to-protect-from-stagefright-vulnerability/


Vulnerability Summary for CVE-2015-0973
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0973

CVE-2014-6272
https://access.redhat.com/security/cve/CVE-2014-6272

CVE-2012-2806
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-2806

Libpng » Libpng » 1.6.10 : Vulnerability Statistics
http://www.cvedetails.com/version/178733/Libpng-Libpng-1.6.10.html

iOS no es tan seguro como piensan.

iOS no es tan seguro como piensan.

Se ha anunciado una nueva vulnerabilidad en iOS que afecta a las instalaciones y despliegues corporativos que hagan uso de sistemas MDM (Mobile Device Management) y que podría permitir el acceso a información confidencial de la compañía, como URLs de los servidores, credenciales de acceso con contraseñas en texto plano, etc.

El fallo ha sido descubierto por la compañía Appthority que fiel a la costumbre actual lo ha bautizado como Quicksand (arenas movedizas), ya que una vez más se ha conseguido evadir la seguridad de la sandbox. La violación afecta a todos los clientes MDM, así como a todas las aplicaciones móviles distribuidas a través de un MDM que usen la opción "Managed App Configuration" para establecer y almacenar toda la información y configuraciones privadas. De esta forma, cualquier otra aplicación del dispositivo, podrá acceder a la información confidencial (como las credenciales de acceso) en formato texto plano.

La mayoría de las compañías emplean un sistema MDM/EMM para administrar y controlar el acceso a datos, correo y aplicaciones corporativas en los dispositivos móviles de los empleados. De esta forma lo primero que se hace es crear una cuenta MDM para el empleado e instalar el cliente MDM en su dispositivo móvil. Desde ese momento, todas las aplicaciones corporativas, así como configuraciones y credenciales se envían a través del MDM al dispositivo.

El salto de la sandbox ocurre después de que la configuración se haya enviado al dispositivo, que quedará almacenada en "/Library/Managed Preferences/mobile/"; donde, según el informe de Appthority, cualquier otra aplicación podrá acceder a ella con el siguiente código:



La compañía muestra un ejemplo de una aplicación con identificador "com.acme.DemoApp" tendrá un archivo .plist con todos los datos (incluidas las credenciales) en texto plano.



En teoría solo podrá acceder a los datos la aplicación con el identificador correspondiente. Pero lamentablemente, todos los archivos de configuración pueden ser accesibles por cualquier otra aplicación del dispositivo. Se ha asignado el CVE-2015-5749 a esta vulnerabilidad.

La firma notificó la vulnerabilidad a Apple de forma responsable, de forma que esta vulnerabilidad ha quedado solucionada en la reciente actualización a iOS 8.4.1. Por lo que se recomienda a todas las corporaciones que hagan uso de MDM la instalación de esta versión.

Más información:

‘Quicksand’ – A New Enterprise iOS Vulnerability
https://www.appthority.com/enterprise-mobile-threats/2015/08/19/quicksand-a-new-enterprise-ios-vulnerability/

Por qué no podemos predecir nada con total certeza

Por qué no podemos predecir nada con total certeza

Estas semanas hemos hablado de la ciencia y sus ventajas e inconvenientes, y hoy vamos a hablar de algo parecido, de un problema fundamental al que se enfrenta la fisica. Este problema es un problema externo de base que ha causado los mayores quebraderos de cabeza de la historia y es el problema de que es imposible predecir algo con total precision. A alguno le puede parece lógico porque no tenemos aparatos 100% precisos, pero esto va más allá; la naturaleza no funciona de forma determinista, sino probabilística.

La naturaleza no es como creemos
¿Y que significan esos palabros que acabo de soltar ahora? Pues significa que aunque diseñemos un aparato de medida perfecto con todas las cifras decimales, nunca podremos saber dónde está exactamente una partícula, o dónde estará luego. El desarrollo de la física cuántica a principios del siglo pasado nos enseñó que en la naturaleza no exite un patrón causa-efecto perfectamente definido, sino más bien un patrón “causa-efecto probable”. Si a alguien no le suena esto muy raro, es que no lo está entendiendo.



Supongamos que medimos el espín de una partícula aislada (ya os contamos lo que es el espín, repasadlo) y nos da 1/2; todo bien. Dejamos pasar un tiempo y volvemos a medirlo y ahora el resultado es -1/2. Pero si lo medimos nuevamente nos da -1/2 y la siguiente +1/2… y así aleatoriamente, sin que nada actúe sobre la partícula. Esto resultaba increíble para los físicos de la época incluso para Albert Einstein, quien llegó a decir algo así como que aquello era una estupidez y que lo que realmente pasa es que hay propiedades que no conocemos.
Extraña acción a distancia

En respuesta a esto, Bell ideó un experimento para comprobar si Einstein estaba en lo cierto. El experimento utiliza el entrelazamiento cuántico, una propiedad que permite que en ciertas situaciones se pueda predecir la medida de una particula midiendo otra que está a millones de kilómetros de distancia. Así de fácil y así de complicado. Este entrelazamiento cuántico además parece violar las teorías de Einstein (ahora veis de dónde le venía a este el mosqueo). De hecho aquí ya mencionamos algo sobre este fenómeno.

Para los que quieran saber algo más del experimento les recomiendo el vídeo que acompaña la entrada; para los demás vamos con una simplificación. La idea consiste en que si, como Einstein proponía, existen unas variable ocultas que no conocemos el resultado del experimento arrojaría medidas de un tipo y si la física cuántica estaba en lo cierto y el proceso era aleatorio, daría otro tipo de medidas. Como imagináis, los resultados esta vez no favorecieron a Einstein sino a la mecánica cuántica que permanece hoy como la teoría mejor comprobada de la historia.

Nada se puede predecir con precisión


¿En que nos afecta todo esto a los demás? A efectos prácticos del día a día, en nada. Me explico. La precisión que la naturaleza nos permite es mucho mayor que el tamaño de un átomo y no creo que a nadie le haga falta tener una precisión de un átomo a la hora de decir, por ejemplo, la distancia entre Madrid y Barcelona. Dicho esto, conocer las leyes de la física cuántica y aplicarlas debidamente es lo que ha permitido el desarrollo tecnológico tan gigantesco del último siglo, desde smartphones hasta aparatos médicos.

Atacantes remotos pudieran aprovechar vulnerabilidad en VLC Media Player.

Atacantes remotos pudieran aprovechar vulnerabilidad en VLC Media Player.

Se ha confirmado una vulnerabilidad en el reproductor multimedia VLC Media Player (versiones 2.2.1 y anteriores), que podrían permitir a atacantes remotos lograr comprometer los sistemas que ejecuten este conocido programa.

VLC Media Player es un completo reproductor multimedia que soporta un gran número de formatos, como pueden ser: MP3, MPEG, DIVX, VCD o DVD entre otros, así como varios protocolos de streaming. Además está disponible para un amplio número de plataformas distintas como Windows, Mac OS X y para varias distribuciones de Linux. VLC también puede ser utilizado como servidor en unicast o multicast, en IPv4 o IPv6, para una red de banda ancha.

El problema (con CVE-2015-5949) se debe a un fallo en la liberación de punteros en el analizador de archivos en formato 3GP, que podría emplearse para lograr ejecutar código arbitrario a través de archivos 3GP manipulados.

Se encuentra disponible una actualización, disponible vía GIT: https://git.videolan.org/?p=vlc/vlc-2.2.git;a=commitdiff;h=ce91452460a75d7424b165c4dc8db98114c3cbd9;hp=9e12195d3e4316278af1fa4bcb6a705ff27456fd

La vulnerabilidad vendrá corregida en la versión 2.2.2 de VLC.
Más información:

#2015-009 VLC arbitrary pointer dereference
http://www.ocert.org/advisories/ocert-2015-009.html

Re: [oCERT-2015-009] VLC arbitrary pointer dereference
http://seclists.org/oss-sec/2015/q3/412

Web oficial
http://www.videolan.org/vlc/

Los DRM se están convirtiendo en un problema, más que en una solución.

Los DRM se están convirtiendo en un problema, más que en una solución.

Antes que nada debo aclarar que estoy 100% de acuerdo con la protección de la propiedad en cualquier ámbito y que la piratería ha hecho que muchas casas de software sobre todo en los videojuegos, hagan esfuerzos para proteger sus títulos. Hasta acá todo bien, el problema radica cuando el remedio es peor que la enfermedad.

El año pasado, comenzó un revuelo con un sistema de DRM (Digital Rights Management, gestión digital de derechos) presente en juegos como FIFA 15, Dragon Age: Inquisition o Lords of the Fallen estaba causando estragos en algunos usuarios, dado que este DRM hacía múltiples escrituras y búsquedas, y estaba afectando negativamente el rendimiento de los discos de estado sólido de los usuarios a corto y medio plazo, incluso dañándolos permanentemente en algunos casos.

En “respuesta” a ese problema, el equipo chino 3DM logró saltarse el fatídico DRM conocido como Denuvo, y ha expresado oficialmente en el foro de SKiDROW que los DRM no deberían existir precisamente para dañar hardware, y menos de usuarios que han comprado legalmente los títulos citados.

Alegan que si tienen la habilidad de saltarse este tipo de protecciones es por el bien común. Sea como sea, han logrado que un DRM, en teoría preparado para proteger los juegos legalmente, no destroce piezas de hardware, algo que no tiene demasiado sentido, y menos para jugadores que sólo quieren pasar sus horas divirtiéndose.

Pues bien, este año, otros títulos han salido con el mismo sistema DRM, entre ellos: Battlefield Hardline, Mad Max y Metal Gear Solid V: The Phatom Pain, hasta ahora, solo he jugado Battlefield Hardline y fuera de los acostumbrados bug post lanzamiento que son corregidos con el tiempo a fuerza de parches, el asunto es que aun teniendo una copia original del juego, si luego de la instalación del juego, realizas varios cambios de hardware importantes como la GPU por ejemplo, llega el momento en que el DRM no te permitirá seguir jugando, bloqueando el juego y advirtiendo que se ha tenido acceso al juego desde demasiados equipos distintos.

Respuesta de EA

Indican que se permiten 5 activaciones por juego, y tienen habilitada una web (http://activate.ea.com/deauthorize/) desde donde podemos “desautorizar” el juego en nuestros equipos para poder instalarlo en otros.No obstante y aunque la respuesta de EA está ahí, Battlefield Hardline no aparece entre los juegos que se pueden desbloquear, así que el problema continua.

¿Boicot o realidad?

Es normal que muchos le estén haciendo la guerra al DRM Denuvo ya que en realidad es difícil saltarse la protección y por consiguiente las copias piratas, tardan más en poderse jugar, pero lo cierto es que los monitores de estrés del disco duro que se corren antes, durante y después de comenzar una partida con un juego con Denuvo, arrojan números demasiado altos ya sea de escritura y lectura, cosa que no es muy recomendada en los discos SSD ya que no están pensados para eso.

Conclusión

La verdad es que no es mal de morir ya que como escribí anteriormente, los discos SSD deben ser usados para el sistema operativo y aparte un disco convencional para almacenar los datos y en este caso, los video juegos por lo que cierto o no lo del problema con los discos SSD, no es en realidad un problema, lo que si es serio es que aun comprando el juego original, no lo puedas jugar por que has cambiado muchos componentes en tu PC.

Lo que debes saber sobre el firmware (FW) de las grabadoras.

Lo que debes saber sobre el firmware (FW) de las grabadoras.

Hace ya algún tiempo comentaba sobre el tema de actualizar el BIOS a una tarjeta madre, como hacerlo, por que hacerlo y sobre todo, el riesgo que implica ya que a pesar de ser un procedimiento relativamente sencillo y fácil de ejecutar por cualquier usuario con medianos conocimientos, existe la posibilidad que la tarjeta madre pase al otro mundo y quede inservible. En esta ocasión y debido a que me escribieran para contarme sobre como fusilaron una unidad grabadora, quise compartir estas líneas con ustedes.

Muchos habrán visto alguna vez en una unidad óptica, una calcomanía contentiva de múltiple información como marca, modelo, advertencia sobre el daño que puede ocurrir en los ojos si tienen contacto con la luz del laser y la versión del firmware (FW) de lo que hablare a continuación.

¿Que es el firmware de la grabadora o reproductor óptico?
El firmware es un pequeño programa que controla las funciones de la grabadora (o del reproductor). Este se encuentra almacenado en un dispositivo que está dentro de la grabadora, el EEPROM (Electrically Erasable Programmable Read-Only Memory), que es un tipo de memoria ROM que puede ser programada y borrada y a la acción de borrar y volver a escribir en esta memoria de almacenamiento se le llama flasheado o como comúnmente se le llama, “Flashear” un firmware.

A continuación, varios puntos a considerar a la hora de decidir si es necesario flashear el firmware de nuestra unidad óptica:

1.- ¿Por qué es necesario actualizar el firmware?

Para que pueda reconocer los nuevos discos (CDs, DVDs o Bluray) que salen al mercado. (el problema se presenta cuando compramos discos que no son contemporáneos con nuestra grabadora y me refiero a grabar no a leer).

Para mejorar el rendimiento y/o corregir algunos bugs detectados por el fabricante.

Nota: Si la unidad funciona perfectamente y no da problemas de grabación ni incompatibilidad con ciertas pastas, mi recomendación es que NO la actualicen.
2.- ¿Cuál es la versión actual del firmware de mi grabadora?

Antes de decidir flshear nuestro firmware, debemos conocer la versión, para ello, podemos usar nuestro software de grabación como NERO, Alcohol, etc y en el apartado de detalles de la grabadora aparecerá la versión de firmware, para los que no usan ningún software de grabación y graban con Windows de manera nativa, tendrán que descargar alguna herramienta de información del sistema o desmontar la unidad y ver la calcomanía que trae.

3.- ¿Como flashear un firmware?

El método para flashear un firmware dependerá de cada fabricante aunque por lo general es relativamente sencillo. Puede ser realizado bajo DOS o Windows, requiriendo previamente la desactivación o no del D.M.A. (Direct Memory Access) y asegurarse de que la grabadora esté vacía.

En ambos casos, se debe de descargar la utilidad de flasheo desde la pagina oficial del fabricante preferiblemente o desde paginas dedicadas a suministrar firmware para todas las marcas y modelos disponibles. El flasheo desde DOS, es mucho más seguro ,pero algo más complicado, en el caso del flasheo bajo Windows, se trata simplemente de ejecutar el archivo correspondiente a la marca y modelo de nuestra unidad y esperar a que termine la operación, reiniciar la PC y listo.

4.- Los riesgos

Si el firmware es borrado y la actualización no se llega a realizar completamente, o actualizamos la grabadora con un firmware inadecuado, entonces la grabadora no funcionará. Lo mismo ocurrirá si la operación es interrumpida.

5.- ¿Se puede recuperar una unidad después de un fallo en la actualización?
Generalmente “Si”, existen programas genéricos o proporcionados por el mismo fabricante que permiten según el chipset EEPROM utilizado (MediaTek, Winbond etc...) restaurar el firmware bajo DOS. Solo funciona bajo DOS ya que si falló la actualización, Windows no reconocerá la unidad y por ende, no habrá comunicación con ella para lograr recuperarla.

6.- Procedimiento de restauración del firmware:

Para ello debemos disponer de un programa adecuado, iniciar bajo DOS y disponer del firmware en forma de binario o hexadecimal.

En la restauración debemos indicar el canal IDE o SATA al cual está conectada la grabadora, Primary Master = 1, Primary Slave = 2 , Secondary Master = 3, Secondary Slave = 4.

Para realizar esta operación, a veces será necesario mover la grabadora o desconectar los otros dispositivos IDE o SATA.

Iniciar la PC con un disco e inicio DOS o abrir una consola de Símbolo de sistema como administrador y ejecutar el programa de flasheo (en este punto hay que rezar, un poco de fe no caería mal). Si todo sale bien, reiniciamos la PC y volveremos a ver la unidad.

7.- ¿Se pueden flashear todas las unidades?

Generalmente “Si”, tanto las unidades ópticas comunes de 5 1/4” internas y externas, como las de las portátiles pueden ser flasheadas, solo en los casos de grabadoras OEM se complica el asunto. Las actualizaciones oficiales no se aplican a estas grabadoras instaladas en PCs de marca (ejemplo: HP, DELL, Fujitsu-Siemens, Medion etc…)

El fabricante vende estas grabadoras a un menor precio a los ensambladores de PCs de marca, y éstas vienen equipadas originalmente con una versión específica de firmware que impide las actualizaciones oficiales del fabricante de la grabadora. Por lo tanto, sólo podrán ser realizadas las actualizaciones ofrecidas por el ensamblador del PC.

Esto no se aplica a las grabadoras vendidas sin caja, ni programa (bulk) y por error llamadas OEM. Estas son oficialmente mantenidas por el fabricante y fáciles de actualizar.

Espero que esta información les ayude de alguna manera si desean actualizar el firmware de su unidad óptica y que no la "maten" en el proceso.  Si desean verificar si existe una nueva versión de fimware para su unidad óptica, pueden consultar en la pagina del fabricante o en el siguiente enlace: 

http://files.rpc1.org/