Thursday, March 11th, 2010
Inteco publica un documento introductorio (PDF, 15 páginas) sobre esteganografía, o lo que es lo mismo, la ocultación de información en un canal encubierto con el propósito de prevenir la detección de un mensaje oculto.
Es un documento de fácil lectura, rápida (son 15 hojas que se leen de una tacada) y muy intructivo, ya que introduce al lector en la esteganografía, sus orígenes e historia, sus fundamentos teóricos, muestra ejemplos de cómo funciona el sistema en imágenes (y como se detecta) y muestra aplicaciones curiosas de la esteganografía, que van desde su uso mediante cabeceras del protocolo TCP/IP hasta control del malware, pasando por las marcas de agua digitales.
Es interesante saber que no siempre se aplican a imágenes, ya que cualquier medio es válido (audio, video, ejecutables, etc.) y que su uso no siempre está relacionado con fines poco éticos, ya que puede ayudar en campos como la medicina, la protección de menores,…
Por último, resaltar que suele ir combinado con el uso de criptografía, con el fin de alcanzar un nivel de seguridad razonable: la esteganografía oculta que la conversación se está manteniendo, mientras que la criptografía garantiza la confidencialidad de la conversación.
Un documento interesante y de lectura recomendada.
Wednesday, March 10th, 2010
Comentaba por aquí hace un tiempo lo molesto que son los bloqueos de ciertas webs en función de si usas o no algún bloqueador de publicidad. Ars Technica nos trae un buen artículo en el que animan al visitante a no bloquear la publicidad de los sitios que frecuentan y que le aportan valor, siempre y cuando esta publicidad no sea demasiado intrusiva, como es el caso de muchos periódicos, que te obligan a visualizar publicidad (a pantalla completa) durante unos segundos, antes de acceder al contenido. Cuentan además el fracaso de una prueba que realizaron, en la que bloquearon durante 12 horas a los usuarios de este tipo de complementos.
Víctor R. Ruiz complementa el artículo con una publicación en Barrapunto, en la que se crea una interesante discusión sobre el uso o no de estos elementos.
Me queda una duda: ¿cómo operar con aquellos usuarios que consumen la mayor parte de contenidos a través de lectores RSS (Google Reader, Netvibes,…) y que tiene habilitados los bloqueadores para los lectores, de tal forma que la publicidad incluida en los feeds RSS también es bloqueada? Sólo se me ocurre una solución, bajo mi punto de vista molesta, que es introducir en el feed una parte del artículo, obligando a acceder a la web al visitante. Yo, particularmente, prefiero el artículo completo, y accedo a la web si tengo la expectativa de que se cree una discusión interesante que pueda seguir y que me aporte un valor añadido.
Yo sigo igual que hace un tiempo. Aquellos sitios habituales, que me aportan valor, los tengo en la “white-list”. El resto, que visito ocasionalmente, los bloqueo, sobre todo aquellos que presentan una publicidad demasiado intrusiva.
Tuesday, March 9th, 2010
Interesante aportación, como de costumbre, de fernand0 en su blog más técnico, en el que habla sobre una recopilación de aplicaciones web vulnerables destinadas al aprendizaje y a la práctica con las principales vulnerabilidades en entorno web.
Monday, March 8th, 2010
Un par de semanas atrás comentaba en un artículo las razones por las que creía que el sistema de protección “antipirateo” del juego Assassin’s Creed 2 funcionaría. Pronto aparecerían noticias del supuesto compromiso de este sistema, desmentidos, parece ser, por la propia gente de Ubisoft:
La gente de Ubisoft se ha puesto en contacto con nosotros y nos ha comentado que estos rumores son falsos y que las versiones crackeadas que circulan por la red no están completas y el juego no puede acabarse con ellas. Esto me recuerda a lo ocurrido con Batman: AA y lo que pasaba con las versiones de Jack Sparrow. Así que tildamos esta noticia como rumor y, aunque nos alegra que parece ser que no se ha podido piratear el juego, seguimos sin apoyar la política antipirateria de la que ya os hemos hablado anteriormente.
Finalizaba mi artículo con una pregunta vital:
Sólo tengo una duda a todo este sistema: ¿qué pasa si el sistema es atacado mediante DDOS u otro método que tire los servidores, dejando a los jugadores de todo el mundo sin servicio durante el tiempo que dure el ataque? Quiero imaginar que los ingenieros de Ubisoft ya lo habrán tenido en cuenta y que respaldarán su sistema en empresas como Akamai.
Pues mi suposición parece ser que no era del todo correcta, ya que leo que los servidores de autentificación han estado caídos el 7 de marzo. Queda claro que, excepto que respaldes la infraestuctura crítica con una empresa con gran capacidad, del estilo de Akamai, Amazon,…no puedes arriesgar la viabilidad de un servicio cuyo uso impones a tus clienes, en este caso, a los compradores de una copia de tu juego.
Actualización: Parece ser que la caída fue fruto de un ataque.
Sunday, March 7th, 2010
#include “dos.h”
#include “win95.h”
#include “win98.h”
#include “winNT.h”
#include “monopoly.h”
#include “backdoor.h”
#define TIPO_INSTALACION = DIFICIL
#include “sco_unix.h” class windows7 extends Windows XP implements Nothing
{
}
int totalNewFeatures = 3;
int totalWorkingNewFeatures = 0;
float numberOfBugs = 345889E+08;
boolean readyForrelease = FALSE;
void main
{
display_copyright_message();
while (!CRASHED) {
if (first_tiem_install) {
if ((installedRAM <2GB || (processorSpeed <4GHz)) {
MessageBox(“Error: hardware incompatible.”);
GetKeyPress();
BSOD();
}
}
Make10GBswapfile();
SearchAndDestroy(FIREFOX|OPENOFFICEORG|ANYTHING_GOOGLE);
AddRandomDriver();
MessageBox(“Error: Controlador incompatible.”);
GetKeyPress();
BSOD();
}
//printf(”Bienvenido a Windows NT”);
//printf(”Bienvenido a Windows 2000″);
//printf(”Bienvenido a Windows XP”);
//printf(”Bienvenido a Windows VISTA”);
printf(”Bienvenido a Windows 7″);
if (still_not_crashed) {
CheckUserLicense();
DoubleCheckUserLicense();
TripleCheckUserLicense();
RelayUserDetailsToRedmond();
DisplayFancyGraphics();
FlickerLED(hard_drive);
RunWindowsVISTA();
return LotsMoreMoney;
}
}
Friday, March 5th, 2010
Esta semana leía, con bastante perplejidad, la noticia de que Microsoft había desarrollado y publicado la primera aplicación para el sistema operativo móvil Android, desarrollado principalmente por Google.
Microsoft y Google compiten ahora mismo en bastantes frentes, con distinto resultado: portales de búsquedas, correo web, herramientas ofimáticas,… y en sistemas operativos, fundamentalmente en móviles, ya que Google aún no ha liberado la primera versión de su sistema de escritorio. Por lo tanto, es cuando menos curioso que Microsoft desarrolle aplicaciones para el sistema operativo móvil de la competencia.
Tras instalar la aplicación y echarle un vistazo, tanto a la aplicación como a la tecnología, veo que la aplicación es, básicamente, un lector de códigos. Pero no de un código conocido y habitual, sino de un nuevo código, denominado Microsoft Tag, que la compañía de Redmond trata de implantar en el mercado, sustituyendo a los códigos QR (Quick Response Barcode), muy utilizados en Japón y que ya empiezan a ser habituales para referenciar a programas disponibles en el Market de Android, usando un software libre de lectura de códigos QR.
La diferencia entre esta tecnología de Microsoft y los códigos QR está en que utilizan un sistema basado en triángulos de colores y en que no almacenan apenas información en ellos, sino sólo un identificador con el que buscar más datos en los servidores de Microsoft, por lo que el dispositivo que lo utilice necesitará una conexión a Internet y dependerá de los servidores de Microsoft.
Si Microsoft quiere que esta tecnología triunfe tiene claro que deberá desarrollar software para la mayoría de sistemas operativos móviles, que es adonde está enfocada esta tecnología. Por ahora ya ha desarrollado clientes para los principales sistemas operativos del mercado: Android, Blackberry, iPhone, J2ME, Java 2 Micro Edition, PalmOS, Symbian S60, Symbian S60 1st Edit, Symbian S60 2nd Edit, Symbian S60 3rd Edit, Symbian S60 5th Edit, Windows Mobile y Windows Phone.
Ninguna compañía desarrolla software de forma desinteresada, y menos si es para incrementar el valor de la plataforma de uno de sus principales competidores.
Friday, March 5th, 2010
La Web 2.0 permite que los usuarios interactúen con el propio portal o entre sí, por lo que resulta impensable mantener un portal cerrado. Quienes lo usan exigen participar, aportar información, comunicarse con personas afines, etc.
Las Administraciones Públicas que se plantean abrir servicios participativos tienen dudas sobre si realmente se puede confiar en quienes usan sus aplicaciones para cederles parte del control de la información.
Para ayuar a los gestores públicos, el CTIC acaba de publicar una guía (en PDF) en la que describe la metodología de análisis de servicios Web participativos desarrollada para el Gobierno del Principado de Asturias , dando cobertura a los principales riesgos a los que puede tener que enfrentarse una Administración Pública a la hora de establecer o gestionar servicios de este tipo. La publicación se compone de los siguientes bloques:
- Introducción a la web participativa o Web 2.0.
- Metodología de gestión de riesgos.
- Riesgos en la web participativa.
- Medidas para el control de riesgos en la web participativa.
- Evaluación de servicios web colaborativos.
Thursday, March 4th, 2010
El CTIC lidera a nivel mundial la actividad sobre Administración Electrónica (eGovernment) del W3C, a través de un grupo de trabajo de unas 200 personas, de 25 países, que representan a administraciones públicas locales, regionales, nacionales, supranacionales, ONGDs, ciudadanos, universidades yempresas del sector privado. Fruto de este trabajo acaban de presentar la publicación “Mejora del acceso a la Administración mediante un mejor uso de la Web” (en PDF).
Wednesday, March 3rd, 2010
Acabo de ver una sección que desconocía, pero que me parece interesante, por lo que la comparto aquí. En la web del “Instituto Nacional de Tecnologías de la Comunicación” disponen de un portal de formación online gratuita, con cursos cuya duración va desde 1 hasta 2o horas.
Las áreas temáticas se dividen en 3:
- Área de Seguridad TIC/eConfianza
- Centro de Excelencia XBRL
- Laboratorio Nacional de Calidad del Software
Para inscribirse en algún curso simplemente hay que registrarse en la plataforma de INTECO.
Wednesday, March 3rd, 2010
Interesante post, en el que RafalLos, del equipo de seguridad de HP, detalla paso a paso cómo un grupo de clientes pasan de ser totalmente excépticos con los ataques por inyección SQL, una de las principales técnicas de compromiso de aplicaciones web, a ser conscientes del peligro que entraña. Buena técnica comercial.
Vía Slashdot.
Páginas:
1
2
3
4
5
6
7
...10
11
Next
