Noticias

Hace ya más de ocho años Bernardo Quintero escribió en este mismo espacio un artículo llamado "La trastienda del full disclosure" donde se reflexionaba sobre el (que ya reconocíamos como cansino) debate sobre la divulgación total en materia de seguridad informática. En aquel momento se hablaba del asunto a raíz de las numerosas vulnerabilidades que Guninski encontraba cada poco en Internet Explorer. Hoy lo recuperamos a causa de Tavis Ormandy puesto que, aunque el debate sigue siendo cansino, en esta ocasión el asunto ha tenido curiosas e inesperadas repercusiones.

El último ataque contra Windows (con enlaces directos) fue descubierto a través de un troyano que ha sido bautizado como Stuxnet. Una de sus características era que los drivers que usaba estaban firmados digitalmente por la famosa empresa china Realtek. Ahora, después de que hayan sido revocados, los atacantes han comenzado a utilizar los de otra empresa legítima: JMicron Technology Corporation.

Por lllou winxirfurfista El otro dia un compañero de esta web (permitame que le llame asi), publicaba un par de artículos sobre la vigilancia a la que nos "podia" tener sometido el estado, así como diversas cifras acerca de la cantidad de espacio de grabación, horas de revisión etc... que llevarian aparejadas: http://www.kriptopolis.org/escalon-carnivoro-espionaje Pues bien, hoy me he desayunado leyendo esto: http://www.elmundo.es/america/2010/07/19/estados_unidos/1279551306.html Para los que prefieran su versión original: http://projects.washingtonpost.com/top-secret-america/articles/ http://live.washingtonpost.com/topsecret-0719.html#about-the-topic Al parecer la mayoria de informes redactados, más de 50 000, no pueden ser leídos por falta de personal y/o tiempo material. Aparte la maraña de agencias de seguridad, la incomunicación entre ellas y el secreto propio de su funcionamiento actúan en su contra a la hora de sacar algo en claro. Con estos datos encima de la mesa, podemos revisar la opiniones emitidas antes. ¿A que conclusiones llegamos?

Leer Más...

El equipo de 30 Minuts, uno de los programas de más prestigio de TV3, ha tenido el detalle de publicar las entrevistas completas que rodaron para aquel reportaje que ofrecieron el pasado abril, titulado “Zona de descàrregues“. Además de la mía, que dura veinte minutos y aparece sobre estas líneas, están también las de Javier de la Cueva y Carlos Sánchez Almeida.

Cifrado monoalfabético general Por darthje Descripción El cifrado monoalfabético general consiste en asignar las letras que van a componer el mensaje cifrado a las letras del alfabeto de forma aleatoria. Esto no es más que hacer una permutación de las letras del alfabeto. En el caso del castellano tenemos 27 letras, así que podemos formar un total de 27! posibles permutaciones de las mismas. Cada posible permutación es un cifrado monoalfabético diferente. La llave (clave) de este cifrado es la permutación que se ha usado para cifrar el texto, y debe permanecer secreto, ya que si se hace público, cualquiera podría descifrar el texto de forma fácil, con sólo invertir la permutación...

Leer Más...

ISC (Internet System Consortium) ha publicado una actualización para BIND que corregir un problema que se introdujo en la versión 9.7.1, relacionado con la validación de resoluciones recursivas.

El martes 30 de noviembre de 2010 se celebrará en la Universidad Politécnica de Madrid DISI 2010, quinta edición del Día Internacional de la Seguridad de la Información organizado por la Cátedra UPM Applus+ de Seguridad y Desarrollo de la Sociedad de la Información CAPSDESI, adscrita a la Escuela Universitaria de Ingeniería Técnica de Telecomunicación EUITT en el campus sur de dicha universidad.

Mi libro, “Todo va a cambiar”, ya está disponible en versión electrónica oficial, concretamente en formato ePub. La demora en su lanzamiento se ha debido a la coincidencia con la puesta en funcionamiento de Libranda, la plataforma B2B desde la que se ofrece al resto de librerías. El enlace que facilito es el de Casa del Libro, donde ya está disponible.

Hasta la actualización de los metadatos de la plataforma que tendrá lugar esta noche, en la página de Casa del Libro aparece como si el libro estuviese publicado con Adobe DRM, como es la norma general para los libros electrónicos publicados en España, pero no es así. Mi libro ha sido publicado en su versión ePub sin ningún tipo de DRM. Mi actitud con respecto al DRM es clara e inequívoca, y ha sido expresada en numerosos artículos. Como comentamos en su momento, el único caso en el que el libro apareció con algún tipo de restricción fue en su versión para iTunes (iPhone/iPod y en breve iPad), unas restricciones que son una característica inevitable de la plataforma de Apple y que nunca correspondieron a ningún tipo de decisión tomada ni por mí como autor, ni por la editorial.

En este caso, y dado que aquí sí teníamos control sobre el proceso, el libro es por el momento el único que se ofrece en todos los sellos de la editorial Planeta sin estar sujeto a DRM y, al menos hasta donde yo sé, el único ofrecido en esas condiciones en todas las editoriales participantes en Libranda. Esto ha obligado a plantear algunas excepciones, por cuya gestión estoy sumamente agradecido tanto a mi editor como a mi editorial, pero esperemos que gracias a ello se facilite la posibilidad de publicar igualmente sin DRM en plataformas electrónicas a otros autores o editoriales que así deseen hacerlo.

Por cierto, para el manejo de vuestros libros electrónicos, formatos y dispositivos de lectura, recomiendo poderosamente Calibre, una aplicación de código abierto y multiplataforma que además acaba de publicar su última versión.

Se ha anunciado una vulnerabilidad en el kernel de Microsoft Windows (Vista y Server 2008), que podría permitir a un atacante local provocar una denegación de servicio o elevar sus prvilegios en el sistema.

Apple ha publicado una actualización de iTunes para corregir una vulnerabilidad en iTunes (versiones anteriores a la 9.2.1) que un atacante remoto podría aprovechar para causar una denegación de servicio o ejecutar código arbitrario.

Mientras algunos todavía pretenden que “eso de los community managers” es una especie de “fiebre sin fundamento” y que no es verdad que las empresas estén moviéndose para entender el fenómeno de la bidireccionalidad, Business Week dedica un artículo largo, “Twitter, Twitter, little stars“ a las compañías que más activas están siendo en ese sentido, y otras publicaciones como TechCrunch van dando cuenta de cada vez más casos de éxito en el uso de medios sociales ya no reducidos al capítulo de anécdota, sino mostrando una dirección clara en la forma de interaccionar de las compañías con sus clientes.

Como en tantos otros terrenos, lo que empieza siendo una ventaja competitiva para aquellos que la descubren como pioneros, acaba siendo una tendencia generalizada y sin vuelta atrás: si la marca que buscas no gestiona sus relaciones en la web y se limita a una presencia estática, si no eres capaz de relacionarte con ella a través de canales como Twitter o Facebook, terminarás, para muchas categorías de productos o servicios, optando por otras que sí te ofrezcan ese canal de relación.

El creador de @ComcastCares, Frank Eliason, abandona la compañía con una experiencia valiosísima capaz de conseguirle trabajo en prácticamente cualquier compañía o de dedicarse a desarrollar sistemas similares como consultor para terceros, y aparecen ya incluso compañías como Social Media Headhunter, destinadas a localizar perfiles con experiencia en la materia para aquellas compañías que se van dando cuenta de que no se puede seguir ignorando esta nueva realidad.

Muchas cosas siguen sin estar claras: el perfil del community manager, la extensión de sus funciones, la forma de manejar determinadas situaciones… lo que ya no se puede negar es que los medios sociales ya se han convertido en el medio ambiente que rodea a las empresas, y que éstas necesitan moverse en dicho entorno adecuadamente y contar con profesionales que las orienten en ese sentido.

Se han subido al Canal YouTube de la UPM los siguientes siete vídeos correspondientes al VI Ciclo de Conferencias UPM TASSI 2010 celebrado en la EUITT - EUI del campus sur de la Universidad Politécnica de Madrid, del 23 de febrero al 25 de mayo de 2010:

El pasado 16 de julio publicábamos una noticia sobre una "interesante" vulnerabilidad en Windows que estaba siendo aprovechada por un peligroso troyano. El peor de los escenarios se presenta ahora para Microsoft, puesto que se han hecho públicos todos los detalles para aprovechar el fallo y, por tanto, se espera que aparezcan nuevos troyanos aprovechando una peligrosa vulnerabilidad para la que todavía no hay parche.

Breve resumen de las novedades producidas durante el mes de junio de 2010 en CriptoRed, la Red Temática Iberoamericana de Criptografía y Seguridad de la Información.

Un editorial del New York Times del pasado día 14, titulado “The Google algorithm“, ataca directamente a la empresa de Mountain View y escenifica el enfrentamiento que Robin Sloan y Matt Thompson predecían en el año 2005 en su fantástico y visionario vídeo EPIC 2015.

La tesis del diario es ni más ni menos que Google se ha vuelto demasiado poderoso, que la influencia potencial de su algoritmo sobre la economía de la red es excesiva, que posee intereses en una amplia gama de servicios y la capacidad de potenciarlos mediante la manipulación de su buscador, y que por tanto, es preciso o bien obligarlo a revelar todos los detalles de su algoritmo, o someterlo a control gubernamental. Es la escenificación del llamado principio de la “search neutrality”, la “neutralidad de las búsquedas”.

La contestación de Google, en boca de Marissa Meyer, ha tenido lugar tan solo un día después a través del Financial Times y del Google Public Policy Blog, titulada “Do not neutralise the web’s endless search“, con una tesis perfectamente clara: la búsqueda en la web y el acceso a la información está en sus etapas iniciales, es un problema sumamente complejo, es precisa muchísima investigación y desarrollo, y la competencia es fundamental para que el progreso tenga lugar. Pretender regular cómo se producen las búsquedas es algo únicamente planteable por quienes, en lugar de pensar en un entorno competitivo en el que diferentes buscadores ofrecen distintas opciones a los clientes, prefieren imaginar un esquema en el que ellos deciden qué opción es mejor.

Danny Sullivan ha escrito una fenomenal parodia del artículo del New York Times, “The New York Times Algorithm & Why It Needs Government Regulation“, simplemente dándole la vuelta: el New York Times es enormemente poderoso, no hace públicos sus criterios para elegir qué noticias cubren o destacan o qué interpretación les dan, y dado que eso es susceptible de afectar a toda la economía, deben ser regulados. Según el artículo, Google es un modelo de transparencia en comparación con el New York Times: incluye a todo sitio que quiere ser incluido, alerta sobre las violaciones de sus criterios, ofrece un sinnúmero de herramientas que explican y ofrecen análisis acerca de sus criterios, y además desarrolla ponencias en eventos, ofrece entrevistas y publica  en la red sobre el tema de manera constante. En realidad, mientras los criterios del New York Times para decidir lo que se publica y cómo se publica son oscuros y conocidos solo por un puñado de personas en la redacción, los de Google son mucho más transparentes, reciben una dosis muy superior de escrutinio público, y permiten entender el tema mucho mejor.

Los tres artículos son de lectura muy recomendable, una buena y didáctica manera de entender y desarrollar criterio en el asunto de la search neutrality, algo sobre lo que seguramente oiremos hablar bastante en los próximos tiempos.

Vuelve a ocurrir. Un plugin para el navegador Firefox, alojado en la página oficial de Mozilla, estaba siendo utilizado para robar las contraseñas de los usuarios que lo utilizaran. También se ha hecho público que otro plugin contenía una grave vulnerabilidad que permitía la ejecución de código en el navegador. Es la cuarta vez que Mozilla sufre un incidente de seguridad relacionado con sus extensiones y complementos.

Cifrados afines Por darthje Descripción Se trata de complicar un poco el cifrado de César. En este caso, el criptosistema está determinado por dos enteros, a y b comprendidos entre 0 y 26, ambos extremos incluidos. Además, a y 27 son primos relativos...

Leer Más...

En mi columna de Expansión de hoy, titulada “En la web, ¿para qué?” (ver en pdf) hablo de todas esas empresas que todavía a día de hoy están en la web por estar, con páginas poco operativas o que incluso impiden ver su contenido a muchos usuarios si intentan acceder a ellas desde algo tan habitual como un teléfono móvil. Las secuelas de lo que en su momento significó, por ejemplo, el uso de Flash para convertir una página web en lo que no es, para intentar diferenciarse mediante transiciones flamígeras y las vueltecitas que da el logo como si fuera un vídeo musical, en lugar de plantear un lugar operativo que aproveche la potencia del medio Internet, proporcione información fácilmente y sea capaz de recibirla. La web ha evolucionado mucho, ¿lo ha hecho la presencia web de tu compañía?

A principios de esta década, se solía acusar a los usuarios que quedaban infectados por algún tipo de malware de navegar por páginas "de dudosa reputación". Esto incluía páginas pornográficas, cracks, warez, etc. Pero los tiempos han cambiado, y esta relación malware-pornografía ha pasado a ser un mito más que revisar. El peligro hoy, de hecho, está en cualquier página.

Se ha descubierto un nuevo ataque contra Windows, que aprovecha una vulnerabilidad previamente desconocida. Lo interesante (y peligroso) en este caso, es que esta vulnerabilidad ha sido utilizada como nuevo método "revolucionario" para eludir la desactivación de AutoRun y ejecutarse bajo cualquier circunstancia cuando se inserta en el sistema una memoria USB extraíble, por ejemplo. Además, el troyano ha sido firmado digitalmente por una compañía legítima.