Spotify presentó su nueva plataforma de apps en HTML5.

Apenas hace unas horas desde la ciudad de New York, tuvo lugar el evento anunciado con semanas de anterioridad, donde  el sueco veintiocho añero Daniel Ek, CEO de Spotify y su séquito de socios anunciaban la nueva faceta del pequeño gigante del streaming de música por internet. Spotify Platform como la publicitaron inicialmente vía Twitter es el concepto Spotify Apps.

“Concesiones con todas las grandes casas discográficas, más de 500 millones de playlists creadas por los usuarios, 2000 canciones subidas diariamente, eso te llevaría 100 años escuchar nuestro catálogo”, explicaban a través de la cuenta oficial de Spotify en Twitter.
 
Desde que ingresaron al mercado estadounidense incrementaron en 10 millones de usuarios en ese país y 7 millones tan sólo con la colaboración de Facebook. Sí te preguntas hasta cuándo estará este servicio legal (gratuito y premium) de escucha (streaming) y descarga de música por internet en América Latina, probablemente ni ellos mismos sepan divisar al menos una fecha tentativa.

La industria del entretenimiento esta algo alebrestada por las cuestiones legales de la propiedad intelectual que promueven iniciativas como la de SOPA. Pero mientras, puedes utilizar métodos alternativos para acceder a este servicio, como utilizar una VPN o pagar a terceros revendedores de cuentas.

Spotify Apps

Con Spotify Apps se abren posibilidades infinitas como el mismo Spotify lo predica, desarrollar aplicaciones de otros proveedores de contenido relacionado a la industria musical, desde las mismas disqueras o pequeñas apps que te muestren la letra de la canción que estas escuchando, otra app que te avisa si alguno de tus artistas favoritos estará cerca de donde vives, la creatividad de las desarrolladores está abierta.

¿Sus herramientas de trabajo? JavaScript API y HTML5.

Aún no se ha dispuesto la fecha exacta para cuándo estará lista la nueva versión de Spotify que integra la modalidad de incorporación de apps, asimismo tampoco se dio detalles acerca del uso y limitaciones que tendrá esta plataforma interna.

Habrá que esperar también la reacción de rivales fuertes como iTunes de Apple, a quien le restaría cierta cantidad de mercado en el desarrollo de apps móviles para el entretenimiento musical de este otro gigante.

FBI recibe presupuesto para reforzar infraestructura en seguridad cibernética.

Todo indica que robustecer el bastión informático de una nación como el de la de Estados Unidos, no es cosa de segundo término, el Presidente Obama ha asignado la cantidad de US$18.6 millones en su presupuesto para el 2012, con el objetivo de crear 42 puestos, entre ellos 14 agentes especiales cibernéticos y reforzar sus capacidades en materia de seguridad.

Sin duda, los sistemas de protección y combate han evolucionado casi en paralelo, toca reivindicar el orden de prioridades y fijar mayor atención a aquellas que solo eran casuales y a veces ni consideradas.

Los activos de una nación como sus fuentes de energía, sus medios y vías de comunicación, están más ligados a sistemas computarizados que antes. Asimismo todo aquel sistema vital de abastecimiento como la distribución de agua potable. Sería un error no dotar del equipo y el personal capacitado para operar y proteger con prioridad instalaciones que son consideradas objetivos claves en operaciones hostiles.

Muchos creemos que Estados Unidos es casi el país invencible, armado de todo poder, pero a decir verdad durante los últimos meses la red “internet” ha dejado entrever como es de frágil una potencia en su punto más concéntrico, los sistemas informáticos. Para ello el Inspector General de la Oficina del Departamento de Justicia dijo, que en las oficinas del FBI se tiene cierta carencia en habilidades  y conocimientos para lidiar con intrusiones cibernéticas.

Aclaró el Inspector, que con esta aportación se hará frente a los ataques cibernéticos que tengan como objetivo comprometer infraestructuras de los Estados Unidos. Preparando agentes en materia de inteligencia  y capacidad tecnológica. Comprender las técnicas y tácticas de quienes se dedican actividades criminales cibernéticas, y responder a las carencias presentes por medio de auditorías.

De tal resolución también se entregará al Congreso un reporte anual referente a la evaluación de amenazas cibernéticas.

Con este panorama se da entender que hay ciertos países adelantados en materia de seguridad informática y lucha contra el ciberterrorismo. Hasta el momento, han sido muy acertadas todas aquellas novelas y películas de ciencia ficción de años atrás, en relación a que las guerras ganadas ya no se definirán luchas campales a fuerza bruta, sino con ejércitos cibernéticos en una lucha bélica por el control y protección de sus sistemas.

+Info Infosecurity
 Imagen NextWave

10 consejos para lidiar con fraudes de tarjetas de crédito.

Con estos 10 prácticos consejos espero contribuir un poco a tus bueno hábitos de precaución y mitigación de inconvenientes con el manejo de tu tarjeta de crédito, también aplicables a la tarjeta de débito. He de aclarar que no existe sistema 100% seguro, pero si podemos limitar el impacto de un incidente que involucre el uso de nuestra información bancaria.

1. En medida de lo posible, mantener a la vista la tarjeta de crédito cuando alguien la solicite y familiarizarse con los tipos de terminales, en dado caso de descubrir que nuestra tarjeta sea pasada por dos terminales distintas, o sea insertada en equipos nada familiares a los que acostumbramos ver comúnmente.

2. Recomendable retirar efectivo si vas a utilizar poco dinero para pagar en algún local, restaurant, o pequeña tienda que desconoces o simplemente no te inspira confianza para entregar tu tarjeta al personal que atiende.

3. Nunca retires efectivo en cajeros automáticos con aspecto deteriorado, o si notas alguna parte sobrepuesta (parte frontal), el lector de tarjetas con señas de mal acomodado o forzado. Ni tampoco hagas retiros en cajeros que se autopromocionen como ATM y estén ubicados afuera establecimientos.

4. Verificar los servicios que brindan tu banco en materia de protección y seguridad a la hora de extravío o robo de tarjetas, uno de ellos es limitar la cantidad de dinero a gastar por día, generar un número de tarjeta virtual con un monto limitado único si la usas en internet,  tener siempre a la mano el número telefónico del banco o memorizarlo.

5. Si te diste cuenta de que compraste en un sitio apócrifo de internet o el sitio donde compras fue comprometido, de inmediato repórtala y dala de baja,  no ignores cualquier movimiento en tu estado de cuenta. Pide acceso y asesoría a tu ejecutivo de cuenta para poder monitorear vía internet tu estado financiero. Hazlo solamente desde lugares donde tú nada más uses la computadora o gente de tu confianza.

6. Cuando recibas llamadas telefónicas de personas que se identifican a nombre de tu banco, hazle saber de manera amable que no se encuentra la persona que busca y cuestiónale exactamente qué información requieren para pasarle el recado, y si gusta dejar algún número para devolver la llamada, o se comunique más tarde, de este modo te da tiempo para regresar una llamada a  tu banco y confirmar. En el caso de e-mails nunca des clic donde te lo indiquen hasta hablar a tu banco y te den indicaciones paso a paso.

7. Asegúrate de limitar -si no lo hace tu banco- la cantidad de dinero que puedes disponer, hago hincapié en esto otra vez, porque si somos víctimas de algún asalto aunque nos obliguen a extraer dinero, el sistema nos negará o les negará retirar más allá del limite especificado.

8. A la hora de pagar servicios o productos vía internet, utiliza un sistema de pagos “seguros” como PayPal, de esta manera PayPal hace la transferencia mediante tu autorización, con lo que no tienes que teclear los datos de tu tarjeta en cada sitio de compras o pagos electrónicos. Aclarando que no todos los sitios aceptan pagos vía PayPal.

9. Si el sitio en internet donde pretendes comprar no acepta el tipo de pago vía PayPal o similar, por ningún motivo es recomendable activar la opción que diga algo como: “recordar datos de tarjeta” o “guardar tarjeta”. No importa el sitio que sea. Sólo ingresa los datos de tu tarjeta para realizar el cargo, pero no autorices su almacenamiento.

10. Utiliza una cuenta de correo electrónico exclusiva para tus compras por internet, la cual no sea conocida por nadie más, y que esta misma tenga registrada una cuenta de recuperación hacia otra cuenta de correo personal que uses comúnmente en caso de que alguien intente comprometerla.

Y recuerda solo realizar cuestiones de banca en línea en sitios privados donde la computadora cuente con antivirus actualizado, así como también sistema operativo con actualizaciones al día.

OJO: También verificar el sitio donde pagamos/compramos cuente con cifrado de conexiones. Que la dirección donde ingresamos nuestros datos de tarjeta, se muestre algo como sigue "https:www.tienda.com/blablablablablablaetcetcetc". La letra "s" indica el uso de protocolos para conexiones seguras. A veces sale un candadito.

Imagen: fortsmithmoms.com

¿Son realmente privadas las comunicaciones?

En los Estados Unidos existe una ley denominada “Electronic Communications Privacy Act” o ley de privacidad de comunicaciones electrónicas en español, promulgada en 1986, ya con 25 años de antigüedad, se ha convertido en el talón de Aquiles para los derechos de privacidad que goza un usuario, por ejemplo de aquel que utiliza servicios tan populares como el correo electrónico.

Con esta ley es posible en algunos casos, no requerir un juez que emita su aprobación para una orden de registro, con el fin de poder revisar el contenido de una cuenta de correo electrónico.

Google, una de las grandes compañías de las cuales muchos utilizamos sus servicios entre ellos el servicio gratuito de correo electrónico; en su departamento legal ubicado en Mountain View, California, reciben alrededor de 1000 peticiones mensuales por parte del gobierno, solicitando datos del usuario.“La mayoría de las peticiones por parte de agencias policiales son legitimas y cooperamos con inmediatez, sin embargo en algunas ocasiones decimos ‘no tan rápido’”. Comentó Richard Salgado el abogado general de Google.

Una orden de registro da mayor respaldo y responsabilidad a la hora de realizar investigaciones policiales en materia de sondeo de material privado como en los buzones de correo electrónico. Pero gracias al Electronic Communications Privacy Act esto se puede derivar en algo no obligatorio. Prestándose a la exposición de información sensitiva ante terceros.

“Se dieron cuenta de que sus negocios dependen de la confianza que  depositan sus clientes”. Declaró el vicepresidente de políticas públicas del Center for Democracy and Technology en los Estados Unidos. “Cuando tratan de vender su tecnología o servicios en la nube, constantemente se enfrentan con comentarios por parte de gente en Europa y algunos otros del tipo ’Oh una ley patriótica de vigilancia estadounidense, nuestros datos no están seguros sin confiamos en una compañía Americana’”.

En ese sentido, también da su punto de vista el abogado de Google, “mi punto de vista y también el de Google es que, para que el gobierno obligue  a un proveedor revelar contenido de las comunicaciones privadas, sea necesario que consigan una orden de allanamiento.” 

Fuente npr
Imagen seoafrn 

Ataque DDoS alcanza los 45 Gbps

El comercio electrónico y sitios web que proveen servicios bajo mucha demanda, desde antaño son los predilectos para ataques de denegación de servicio, que no es otra cosa que provocar la interrupción del mismo por tiempo indefinido, desde un par de horas a días. La denegación de servicio (Denial of Service) o denegación de servicio distribuido (Distributed Denial of Service).

A inicios del mes de noviembre se llevo a cabo un ataque del tipo DDoS hacia un sitio de comercio electrónico ubicado en el continente asiático, por un acuerdo de confidencialidad la compañía encargada del caso no puede revelar la identidad afectada. Prolexic la compañía encargada de mitigar y monitorear este tipo de ataques, argumento que fueron alrededor de 250,000 computadoras infectadas las que se utilizaron para realizar tal ataque.

Un estimado de 15,000 conexiones por segundo hacia el objetivo provocando una ráfaga de 45 Gbps.

La razón del ataque pudo haber sido por algún empleado descontento o intento de sabotaje industrial, según declara Paul Sop director de tecnología en Proxilec.

En lo que lleva del año en curso, este ha sido el pico más alto reportado por ataques de denegación de servicio, sin embargo no es el más grande de la historia, se tiene registrado por ejemplo el año pasado un ataque que alcanzo los 100 Gbps según declaraciones de  Jose Nazario director de investigación en seguridad de Arbor Networks, compañía rival de Prolexic.

Por otra parte Prolexic hace notar el hecho de que este tipo de ataques cada vez demandan mayor poder de cómputo, incrementado la cantidad de sistemas comprometidos, si es que se quiere dejar fuera de combate el servicio que provee alguna empresa.

Para concluir como dato también revelador, las botnets (computadoras zombies infectadas) ya no puede una sola efectuar el ataque ya que son fáciles de darles seguimiento y dar con los responsables, por lo que a la hora de realizar un ataque tipo DDoS se utilizan diferentes botnets  con cantidades de nodos menores a 50,000. Asimismo las principales fuentes de los ataques provienen de computadoras infectadas en Estados Unidos y China como en este último caso.

+Info cio.com
  Imagen eukhost.com

Putty en la mira para posibles ataques.

La administración remota de servidores son el pan de cada día de los encargados  de mantener, integra, disponible, y confidencial la comunicación entre componentes y miembros de una red. Como administrador se recurre ha herramientas de software de uso común que asistan en tareas administrativas. Putty es una de facto entre ellas. Asimismo se ha convertido en un blanco ideal.

Putty es un cliente de conexión remota segura utilizado en Windows, conocido en el argot como SSH (Secure SHell). Para todos aquellos que vienen nativos de Windows o que jamás les agrado una consola de comandos como MS-DOS, una shell es específicamente eso. Ahora conocida en el Windows moderno como cmd.exe.

En cuestiones de otros sistemas operativos tipo Unix, como Linux, BSD, Solaris, etc. Estos cuentan con distintos tipos de shell, tales como bash, ksh, sh, zsh, etc. Algunas compartiendo similitudes.

Pues bien, estos sistemas operativos tipo Unix tienen su cliente SSH nativo, por ello la necesidad de que exista una alternativa para comunicarse de sistema Windows a otro no Windows de manera segura.

Utilizar una shell de manera local o remota no es más que manipular mediante órdenes textuales (no interfaz gráfica o mouse) las tareas que deseamos, están puedes ser desde realizar copias de seguridad de nuestras archivos, eliminar archivos innecesarios, descargar actualizaciones, administrar programas/servicios, crear una cuenta de usuario, configurar otro nuevo disco duro, etc.

Son actividades que se pueden utilizar de manera local en nuestra computadora o vía remota hacia un servidor u otra computadora en nuestra red de casa u oficina.

El cliente Putty es tan práctico que para empezar su tamaño en bytes lo hace portable y sin problemas engorrosos de instalación, solo basta con especificar la dirección IP, un login, un password y listo, estas conectado remotamente por consola a un servidor/host administrable de manera segura. 

Esto de manera segura quiere decir que no es como el antiguo cliente Telnet, que hacia todas sus comunicaciones en texto plano. Si escribías tu nombre de usuario “pepe” y la contraseña “entuputavida”, alguien espiando esa comunicación interceptaría tales datos entre otros más.

Ahora que se han comentados pruebas de concepto (PoC) acerca de secuestro de sesiones Putty (Putty Hijack)  lo que parecía seguro, tendrá que repensarse para poder establecer nuevas medidas de seguridad. Según estas nuevas formas de atacar, podrá secuestrase una conexión activa con un par de atajos. Todo a través de una librería de enlace dinámica (dll ) instalada furtivamente en el sistema víctima.

Imagen: rephlection.com

Imagen: thehackersnews

Ubuntu desbancado por Linux Mint según DistroWatch

DistroWatch una de los sitios dedicados a darle seguimiento a las distribuciones de Linux más populares, exhibe en sus últimas estadísticas al día de hoy, a Linux Mint como acreedor de la primera posición, y distribución más popular por encima de Ubuntu. La puntuación se maneja por el mayor número de impresiones que presente cada distro en su respectivo sitio.

Sin embargo hay quienes argumentan este tipo de estadísticas como no fiables, ya que la participación del mercado de una distribución u otra puede retroalimentarse de factores con mayor trascendencia, tales como el número de descargas o el número de instalaciones efectuadas.

Entre las 5 distribuciones de Linux más populares, DistroWatch cita a Linux Mint, Ubuntu, Fedora y openSUSE.

Imagen DistroWatch

Se podría alegar que la nueva interfaz de de Ubuntu llamada Unity juega un papel importante en la popularidad de esta distro, ya que mucho se le ha criticado. Unity al igual que el mismo Ubuntu es el esfuerzo o al menos la intención de convertir Linux en un sistema operativo amigable para el usuario. Sin embargo mas de alguno le ha hecho saber a Canonical (los encargados de Ubuntu) que no todo lo que brilla es oro.

En declaraciones de Mark Shuttleworth (CEO de Canonical) el esfuerzo de desarrollar Unity hasta como es conocido hoy día, le llevo a Canonical un tiempo de 2 años.

Aun a pesar de controversias con la interfaz de Ubuntu, se vienen nuevas facetas en esta distribución, un salto a nuevos mercados, nuevas posibilidades de integrar Ubuntu a dispositivos donde aun no ha sido popularizado. Tal mercado es el de los dispositivos móviles y televisores.

Una vez finalizada la liberación oficial de Ubuntu (Pangolin 12.04) se adentrarán al mercado de smartphones, tablets y televisiones, los cuales además tendrán perfiles/personalidades de uso intercambiable. Por ejemplo un teléfono puede cambiar a modo tv, cuando este se conecte a una.

+Info en eweekeurope.co.uk

Google censura más sitios de descargas

Imagen: gearlive.com

El gigante de las búsquedas por no llamarlo el gran hermano (Big Brother) de la web, como lo menciona un colaborador de Pirate Bay en una entrevista al sitio de noticias TorrentFreak, ha tomado la iniciativa de abogar por los intereses de la propiedad intelectual y los derechos de autor, en medida de lo posible con los términos de búsqueda.

Al parecer Google ha filtrado términos de búsqueda para sus servicios de búsqueda instantánea (Instant Search) y autocompletar (Autocomplete). Términos tales como “torrent”, “BitTorrent”, “RapidShare”. “Esta es una de varias medidas que hemos puesto en marcha para evitar la infracción de los derechos de autor en internet”. Fue lo que comentó Mistique Cano el vocero de Google a TorrentFreak.

Gary Fung de IsoHunt admite que “esto es una medida menos represiva que las que intentan la gente de SOPA, de igual manera sigue siendo un tipo de censura por pequeña que sea”.

Ahora  en la nueva lista negra de Google incluirán a sitios utilizados como almacenamiento personal (cyberlockers) tales como “4share”. “filesonic” y “fileserver” (entre otras similares más). En contraparte sitios legalmente establecidos como BitTorrent Inc y RapidShare en desventaja. Google alega según haber llevado estas acciones de una manera prudente con tal de velar por los titulares de derechos de autor.

No existe una clara definición de lo que Google considere como inducción o promoción a la piratería pero afirma que esta lista negra ayudara considerablemente a prevenir la piratería en internet.

Sin inmutarse por las por criticas del público en general y de aquellos negocios establecidos que se ven afectados, Google está decidido a seguir expandiendo estos filtros antipiratería.

Para cerrar un dato interesante que indica la persona de Pirate Bay “esto es otro paso a la censura en su motor de búsqueda, sin sustento legal. También creemos que esto se debe a la par que han liberado su servicio Google Music, un servicio donde venden música que en algunos casos se puede descargar desde The Pirate Bay”.

Vulnerabilidades descubiertas en Ubuntu 10.04

Imagen: crenk.com

La versión 10.04 LTS de la distribución Ubuntu  y sus derivados ha sido reportada vulnerable a tres tipos de bugs. Apenas se dieron a conocer el día de ayer dichas fallas encontradas. La pieza de software vulnerable en dicha versión, se encuentra en el linux-fsl-imx51, a nivel kernel, un modulo encargado de proporcionar librerías para el procesamiento de imágenes cerebrales.

El primer problema de seguridad afecta el uso de recursos compartidos con CIFS, al parecer se encontraron problemas a la hora de manejar la autenticación para el uso de recursos. Cuando un usuario tiene un recurso CIFS compartido que requiere autenticación, otro usuario local puede montar el mismo recurso sin necesidad de saber la contraseña correcta.

El segundo error se descubrió en el uso del protocolo GRE, utilizado para el ruteo y encapsulamiento de paquetes. Trata de forma incorrecta la inicialización de netns (contenedor ligero basado en virtualización). Un atacante remoto puede enviar un paquete mientras el módulo ip_gre se carga, de tal manera que cuelga el sistema, dando lugar a una denegación de servicio.

De la misma manera se provoca una denegación de servicio al inicializar netns con el protocolo IP/IP. Un atacante remoto puede enviar un paquete mientras se carga el modulo ipip y hacer que se cuelgue el sistema.

Asimismo el ruso Vasily Averin descubrió que  NFS Lock Manager (NLM) maneja incorrectamente peticiones de desbloqueo. Un atacante local puede aprovecharse de esta situación y provocar una denegación de servicio.

Para más información acerca de la corrección del problema y actualización necesaria hay que visitar el siguiente enlace oficial por parte de Ubuntu:

USN-1271-1: Linux kernel (FSL-IMX51) vulnerabilities

 

Anti: App para pentesting en Android.

Imagen: zimperium.com

Itzhak "Zuk" Avraham el CTO de zImperium una firma de seguridad dedicada al análisis de vulnerabilidades en redes y dispositivos móviles con sede en Israel, presentó apenas en agosto pasado a Android Network Toolkit (Anti) una aplicación (app) para Android dedicada a detectar sistemas vulnerables, atacarlos y comprometerlos con fines de pruebas de penetración (Pentesting), así conocido en el argot.

Después de su presentación en DEFCON en Las Vegas, Zuk despertó un gran interés por la comunidad de entusiastas en seguridad informática alrededor del mundo.

El concepto de Anti es detectar vulnerabilidades ya sea en una red, o una máquina en particular, de tal manera que pueda ser asegurada o aplicarle algún parche de seguridad. Permitirá escanear la red Wi-Fi a la que se esté conectado, así como también a redes abiertas para realizar búsquedas de potenciales objetivos. Una vez que Anti localiza una dirección IP activa, lo interesante comienza con el uso de Nmap.

Nmap envía paquetes “raw (primitivos/nativos)” IP para determinar que otros sistemas están activos en la red, que tipo de servicios ejecutan, que tipo de sistema operativo utilizan, que tipo de filtrado de paquetes/firewall tienen (sistemas de protección), entre otra docena de características más. Al momento de encontrar un sistema vulnerable, la app proporciona varias opciones: El uso de” Man-in-the-Middle” para la intercepción datos, “Attack” para enviar un exploit  de alguna vulnerabilidad encontrada en el sistema y comprometerlo. Asimismo cuenta con otras opciones o comandos llamados “Spy” y “Connect”. Anti también cuenta con una herramienta “traceroute” la cual sirve para identificar direcciones IP hacia un servidor.

Video: zimperium.com

A continuación unas breves preguntas  y respuestas que realizó la gente de MIUI.us a los creadores detrás de Anti (Elia y Zuk):

1. Desde cuándo tiene existencia zImperium?
Zuk: Desde septiembre de 2010.

2. Cuál es su experiencia en informática para ambos?
Elia: Especialista en ensamblador par Intel, consultor de seguridad, e ingeniero de corazón en ingeniería inversa.
Zuk: Investigador en seguridad, programador de exploits, (Chicas: soltero)

3. Cuánto tiempo lleva Anti en proceso?
La idea se originó hace mucho tiempo, pero se materializó aproximadamente hace 6 meses, fue creciendo más y más conforme agregamos más métodos de escaneo y penetración de redes/objetivos. Como todo hacker/pentester sabe, Anti es solo la punta del Iceberg – las posibilidades  son infinitas.

4. Cómo va la versión beta, está cumpliendo sus expectativas?
Genial! Estamos obteniendo respuestas positivas, ya hemos corregido la mayoría de los errores (bugs) reportados. También estamos realizando pequeños cambios en el diseño de la app, para hacerla aun más amigable.

5. Qué los orilló a considerar el diseño y creación de Anti?
Elia: Mientras enseñaba clases de Seguridad/Hacking muchos de mis estudiantes se cuestionaban si existiría alguna manera de realizar tal tipo de hazañas sin profundizar en detalles técnicos. Nunca imaginaron las posibilidades de Anti. Ni siquiera yo, hasta que conocí a Zuk :)
Zuk: Cuándo Elia me comentó acerca de Ant (inicialmente así llamada la app) compartí mis ideas y aportaciones que enfocaban a Ant en una perspectiva de pruebas de penetración/hackeo ético. Queremos que la app sea fácil de usar, algo así como “Hacking para las masas” una app que debajo de una bonita interfaz  lleve a cabo todos aquellos detalles técnicos de metodologías y trucos de hacking, que comúnmente son usados por hackers hoy día, todo en un botón.

6. Tienen alguna marca preferida de teléfonos?
Elia: Samsung hw ftw!
Zuk: Samsung.

7. Utilizan Roms personalizados? Si es así, cuál es el que utilizan a diario?
Elia: He usado un par de ellos con personalizaciones, pero a falta de tiempo me di por vencido en materia de ese tema. Quizá en el futuro.
Zuk: Use mi propio Rom hasta que desisti de actualizarlo y por el momento utilizo CM7.

8. Dónde visualizan a zImperium en 10 años?
Ambos: El próximo Google.

9. Planean crear algunas otras apps más adelante?
Tenemos algunas apps/programas cocinándose, pero ese asunto permanece clasificado por ahora.

10. Cuál es la primer app que se instalan en un teléfono nuevo?
Elia: Android Terminal.
Zuk: Alguna app que lea logcat en el dispositivo (obtener información que me asista para determinar si una fallo en el sistema es explotable o no/ depuración).

Bien esta ha sido una breve reseña de lo que han dejado entrever hasta el momento los creadores de Anti, una herramienta que facilitara los procesos de penetración de seguridad en una red o sistema expuesto diversos tipos de ataques. Sin duda es un arma de doble filo, ya que su versatilidad no requiere muchos conocimientos para utilizarla, asimismo la herramienta trae un aviso legal donde debes de estar consciente del uso que harás con ella y puedes incurrir en un delito según la jurisdicción de tu país por su mal uso.

Actualización: Anti está disponible para uso público en su versión 2.1 para la versión de iOS (en desarrollo). Darse de alta para el BETA. La versión 2.1 estable para Android ya se puede descargar, asimismo hay que registrarse y elegir la edición gratuita o alguna de las de paga.

Inauguran el Harvard Innovation Lab

Imagen: i-lab.harvard.edu/

El viernes pasado la universidad de Harvard en Allston, Massachusetts USA, ha inaugurado un edificio llamado Harvard Innovation Lab (i-Lab) que proporcionará no solo recursos en especie sino también un conglomerado de asesoría empresarial, negocios, legal y tecnológica, para que nuevos emprendedores tengan una mejor orientación del rumbo que desean para sus proyectos. De esta manera fomentando el trabajo colaborativo.

Pretenden unir esfuerzos colaborativos entre estudiantes, facultades, el sector empresarial y miembros de las comunidades Allston y Greater Boston.

Esta iniciativa que viene respaldada por el alcalde Thomas M. Menino, pondrá al alcance una plataforma de innovación, misma que reunirá el apoyo de otras entidades similares y enriquezcan mutuamente el desarrollo entre ambas partes.

Exhortan a participar a un nutrido número de líneas curriculares, las cuales abarcan desde artes, educación, negocios, medicina, leyes, ingeniería y ciencia aplicada.

Las instalaciones en el i-Lab proporcionan servicios de transportación (rastreables a través de un sistema llamado Sutttle Tracker system), asimismo el servicio de metro y autobús tendrán acceso a las instalaciones, de tal manera que alentaran al uso de automóviles de uso compartido (Zipcar) y bicicletas para contribuir al cuidado del medio ambiente.

Para resaltar un poco el hecho de esta importante iniciativa, el joven empresario Mark Zuckerberg creador de la red social Facebook, recluta su nuevo personal en este tipo de universidades como Harvard, ahora con estas nuevas instalaciones seguro le será más eficiente para él y otras entidades el recurrir a la caza de nuevos talentos y porqué no, el nido de futuros emprendedores.

Creo que muchos países deberían tomar este tipo de iniciativas, invertir en educación, apoyo a comunidades que están rezagadas, estudiantes con sed progresar y que por causas ajenas desertan o huyen  emigran a otros lugares donde encuentran mejor oportunidad para desarrollar sus ideas. Ojalá pronto vengan muchas iniciativas de esta índole y todos seamos testigo de nuevas promesas, de nuevas oportunidades y una mejor perspectiva de vida para todos.

Ataques cibernéticos a infraestructuras de servicios públicos.

Imagen: cnet.com

Al parecer este tipo de ataques a instalaciones de carácter industrial que forman parte de la infraestructura básica de una nación, ya no son las escenas de una película de Hollywood, llámese “Wargames, Hackers, etc.”. Donde el protagonista asumía el rol del experto en informática, con el firme objetivo de acceder sistemas de control industriales y tomar ventaja de ello.

No apenas hace de un año de Stuxnet el gusano informático que tuvo como objetivo instalaciones nucleares en Irán, y tratar de sabotear los sistemas que mantenían estable los mecanismos de control, ahora en Estados Unidos se ha presentado uno de los primeros ataques “públicos” hacia instalaciones de abastecimiento de agua en Springfield del estado de Illinois. Incidente que podría haber afectado a 2,200 usuarios de un distrito de esa zona.

Los sistemas SCADA  control de supervisión y adquisición de datos (Supervisory Control and Data Acquisition System) son sistemas que se encargan de administrar y manipular instalaciones de grandes infraestructuras como las instalaciones de suministro de agua, de gas, servicio eléctrico, o cualquier otro de dimensiones similares. Este tipo de servicios que se proveen a toda una nación entera, son los objetivos clave para el enemigo. Crucial es entonces para un país con alto grado de control computarizado, el protegerlos.

Al parecer por las evidencias forenses, los ataques provenían de Rusia, sin embargo eso no asegura su origen real, el ataque se efectuó la semana pasada, averiando una bomba debido a  la manipulación  malintencionada a través del sistema SCADA que lo operaba.

El ingreso al sistema interno de la compañía se produjo a través de la empresa que vende el mismo sistema SCADA, ingresaron a su base de datos y sustrajeron nombres de usuario y contraseñas de sus clientes, con lo cual es probable que se puedan efectuar ataques a otras instalaciones.

Joe Weiss de Applied Control Solution, una compañía dedicada a este tipo de amenazas informáticas a infraestructuras industriales, declaro que no es posible que no hayan emitido boletines a otras instalaciones similares y alertar del riesgo. Asimismo el FBI y el Departamento de Seguridad Nacional de los Estados unidos no han declarado esto como alarmante y todo sigue operando en su normalidad.

Es lógico pensar que a nadie le gustaría dar una noticia aceptando que, cómo una de las naciones más influyentes del mundo se vea vulnerada en lo más mínimo, eso traería muchas consecuencias.

Desde el año pasado se pronosticaron este tipo de ataques, sin embargo no hay que dejar pasar por alto este tipo de incidentes aun sino provocaron desperfectos mayores, es mucho mejor prevenir y tener la seguridad de que se puede mantener una infraestructura operable sin el riesgo de verse comprometida remotamente por terceros.

+Info wire.com

Aeronaves supersónicas con capacidad de ataques dirigidos.

Imagen tgdaily.net

Varias veces más rápido que la velocidad del sonido, capaz de llegar a cualquier parte del mundo en menos de una hora. El arma hipersónica avanzada (Advanced Hypersonic Weapon) lanzada desde un cohete en las instalaciones de Hawaii en “Pacific Missile Range Facility”, recorrió más de 3700 km en menos de media hora hacia un objetivo en las Islas Marshall.

La Agencia de Investigación de Proyectos Avanzados (DARPA por sus siglas en inglés) declaro que este tipo de vehículos hipersónicos alcanzan velocidades de más de 6000 km/h. A diferencia de los misiles este vehículo puede ser maniobrado.

Menciona en un comunicado el Departamento de Defensa de los Estados Unidos (DOD) que “el objetivo de las pruebas de este vehículo es recolectar datos acerca de las tecnologías de propulsión hipersónica haciendo énfasis en aerodinámica, navegación, dirección, control y tecnologías de protección térmica”.

El armar forma parte de un programa denominado ataque global inmediato (Conventional Prompt Global Strike) que le da el poder a los Estados Unidos de atacar cualquier objetivo en menos de una hora.

Asimismo el Falcon Hypersonic Vehicle 2 (HTV-2)  también forma del programa.  A pesar de que no paso su prueba en agosto, los detos recabados fueron utilies para el diseño del AHW.

También destaco que “estas armas no sustituirán a las armas nucleares en caso de un plan de guerra para los Estados Unidos”. “En vez de ello proveerá un nicho que asistirá a alcanzar  objetivos de prioridad critica con apoyo de armas más pequeñas, de tal manera que se podrá expandir el rango de ataque”.

En un reporte del servicio de investigación del Congreso, se estima que el Pentágono US$239.9 millones en el programa este año, incluyendo US$69 millones para el AHW.

Vía cnet

PayPal estrena nueva app para Facebook

Nada despreciable el mercado de 800 millones de usuarios en la red social Facebook, y más interesante aun cuando un porcentaje mantiene una cuenta activa del servicio de pagos electrónicos PayPal. Hoy Send Money inició el servicio de envió de dinero a través de una app para Facebook, con la cual se podrá enviar opcionalmente una bonita tarjeta de felicitación.

Es una oportunidad muy práctica para toda ocasión, sin embargo habrá algunos muy conservadores y pensaran que dar un regalo en forma de dinero es algo poco usual y hasta poco especial. Pero para muchos puede significar una forma de regalar sin tener que estar pensando que comprarle, o escoger algo que ni guste o se acepte por compromiso.

Por el momento se encuentra en fase beta, pero funcional, -aplica para México- entre sus 65 países disponibles. Con esto se da pauta a una nueva era de servicios de pagos online, donde las redes sociales estarán participando de manera más activa y no de forma aislada desde una tienda virtual.

¡Las manos atrás! Estas incurriendo en un delito por escuchar música de manera ilegal.

Ayer mientras leía una FAQ (lista de preguntas frecuentes) del servicio de Spotify me sorprendió mucho lo que leí acerca de los términos legales que establece el uso debido del mismo. Desconozco actualmente cuantos servicios como el de Spotify implementan este tipo de políticas de uso. Por si fuera insuficiente con la SGAE en España y la SOMEXFON en México.

Spotify prohibiéndome el uso de mi música (que compré) en compañía de toda aquella gente que no la compro. Efectivamente sólo yo puedo usarla. De otro modo estoy incurriendo en una violación de uso y términos legales.

Es que de verdad es motivo de risa el que esté cometiendo un acto ilícito a la hora de reproducir mi música favorita con los amigos, en mi negocio o e mi escuela. Me acuerdo del adagio que versa “La música es el lenguaje universal” y ahora que retomo esa premisa me doy cuenta que se trata de una nueva divisa la cual se expande en las fibras de las multinacionales.

Todos estamos concientes de que hay que pagar por algún servicio o bien material en beneficio propio, eso lo tenemos muy claro, pero la cuestión de seguir pagando por algo que ya adquirimos “legalmente” es la que pone en jaque a muchos usuarios y establecimientos, los cuales ya de por si están sujetos a cantidad de impuestos.

Este tema de cobro de regalías o propiedad intelectual sobre el uso de la música, más que defender a un puñado de artistas, disqueras y productoras, viene a escarbar en los bolsillos de los usuarios finales que somos quienes pagaremos finalmente el impuesto o los cobros tarifarios. Creo que la industria del entretenimiento musical esta herrando con ese modelo, no creo que los magnates multimillonarios de las disqueras tengan miedo a quedar en la ruina.

Desde arriba con los que mueven el capital en las empresas disqueras y productos se gestan políticas y modelos de negocios que servicios como Spotify y los mismos artistas tienen que dar la cara (algunos aprovechándose) y como usuarios muchas veces los reprendemos.

De F a una A, se alteran calificaciones en la Universidad de Santa Clara.

Estudiantes egresados y algunos todavía cursando, están en la mira del FBI por parte de una solicitud de la Universidad de Santa Clara en Estados Unidos, poco más de 60 estudiantes fueron puestos en evidencia de que sus calificaciones cambiaron en algunos casos de una F a una A. Este hecho alarmo a las autoridades que consideraban su sistema seguro.

Fue ayer que la institución reporto oficialmente al FBI de anomalías con cambios de calificaciones a los alumnos, y no fue por una análisis minucioso o la calidad de sus sistemas de detección de intrusos, sino gracias a una egresada que reviso sus calificaciones y al notar que tenía una mejor nota fue y dio aviso a autoridades de la universidad, por lo cual desde ahí se abrió una línea de investigación.

Después de realizar exhaustivamente una revisión para encontrar más anomalías, efectivamente se encontraron más calificaciones alteradas. El chequeo se hizo de todas aquellas calificaciones hacia diez años atrás, por lo cual según indagaron desde junio de 2006 a julio de estaño hubo cambios de notas.

El FBI ni la Universidad han declarado a un presunto culpable. Personal de la Universidad aclara que para autorizar el cambio y de un calificación requiere de un proceso de firmado y ser auditado por un software, para que esta pueda ser evaluada y aceptada.

Sin embargo el estudiante de ingeniera Mark Loiseau de 25 años, declaro a Mercury News que irrumpieron alrededor de las 10 a.m. cuando se disponía a dormir en su domicilio, agentes del FBI cuestionándolo acerca del tema le mostraron cientos de páginas  su cuenta de celular con Verizon. Le cuestionaron si había ingresado a la computadora de alguien y si se había percatado que 18 de sus calificaciones cambiaron de F a A, a lo que contesto negativamente en ambas y argumento que tenía buenas notas pero nunca tantas como esas.

Después de aquel inconveniente, Liseau verifico sus registros y se percato de que en un curso de ciencias políticas de primer grado tenia mayor calificación de la que recuerda.

Pues bien, esta fue una escena interesante, alguien quizá si consiguió su cometido cambiando sus calificaciones y alcanzar otros objetivos, para ello una coartada perfecta sería alterar calificaciones de más alumnos.

Una vez más observamos no hay sistema totalmente seguro y de vez en cuando tenemos que modificar y mejorar las políticas de seguridad, sobre todo la integridad de los datos.

Sandboxing o el “as” bajo la manga de las aplicaciones vulnerables.

Imagen: soltanworld.com

La necesidad de mantener seguro un sistema requiere cada vez mayor atención, el ingenio de un ataque obtiene su éxito a raíz de la deficiencia más ínfima en el objetivo, misma que a veces pasa por desapercibida para los desarrolladores del sistema o aun para los expertos en materia de software de protección de datos. Para ello existe una solución.

Si en algún momento algún componente de software en el sistema operativo o alguna aplicación dentro del mismo se ven comprometidos por un fallo/problema de seguridad, existe la posibilidad de delimitar sus acciones. Este método de protección o aislamiento se le conoce como Sandboxing.

Pueden existir diversos mecanismos de Sandboxing dependiendo del entorno donde se trabaje o la plataforma. Un claro de ejemplo de Sandboxing puede ser el uso de maquinas virtuales, es decir ejecutar dentro del sistema operativo (Windows\OSX\Linux) otro dentro del mismo, de manera que cada uno utiliza los recursos “independientemente”. Si alguna maquina virtual falla el sistema principal sigue operando sin contratiempos.

Bien si esto lo llevamos a nivel aplicaciones en el sistema operativo, tendría mayor versatilidad. 

Citando un ejemplo: dentro de nuestro sistema utilizamos algún programa como un procesador de textos y resulta que este es vulnerable al ataque de un virus que copia información de nuestro disco duro y la manda a otra computadora a través de internet sin que nosotros tengamos conocimiento. Para lidiar con ese inconveniente antes de que salga algún parche de seguridad o actualización de la aplicación, a través de un mecanismo Sandboxing se podría incrustar instrucciones al programa procesador de textos para que no tenga acceso a internet. 

Con ello se conseguiría establecer un perímetro de seguridad y notificar al sistema de que hay un intento de corrupción interno. Sin embargo hay ataques muy premeditados que explotan vulnerabilidades dentro de los mismos mecanismos de Sanboxing utilizados, por lo que los desarrolladores deben revisar minuciosamente el acceso y permisos que otorga en mecanismo Sandboxing hacia otras aplicaciones o servicios del sistema que puedan ser utilizados como un puente para realizar otro ataque o llegar a un objetivo más vulnerable.