Tag: protección

Google y Apple gastaron el año pasado más dinero en patentes que en I+D

Tengo ya hablado de las barbaridades relacionadas con las patentes, pero esta creo que se lleva la palma. En un interesante artículo del New York Times (lectura recomendada) sobre las patentes en el ámbito del software (vía Slashdot) llego a la cita que plasma cómo se está frenando el progreso con las patentes, teniendo que invertir más en patentes que en I+D para poder proteger su negocio:

Last year, for the first time, spending by Apple and Google on patent lawsuits and unusually big-dollar patent purchases exceeded spending on research and development of new products, according to public filings

Creo que la situación se nos va de las manos, que con las demandas y contrademandas los únicos favorecidos son los abogados y los trolls de patentes. Los americanos tienen que replantearse el sistema de patentes, ya que los está dañando más que beneficiando.

¿Qué son las vulnerabilidades del software?

La gente de INTECO acaba de publicar una miniguía introductoria sobre las vulnerabilidades del software. Puede ser interesante para aquellas personas que están introduciéndose en el mundo de la seguridad informática que no tiene ningún tipo de conocimiento sobre el tema. El archivo en formato PDF ¿Qué_son_las_vulnerabilidades_del_ software?.

Guías metodológicas de respuesta ante incidentes de seguridad

A través de un artículo de Inteco titulado “Recomendaciones ante ataques distribuidos y/o dirigidos” (vaya título, por cierto), llego a una serie de guías del CERT de la Société Générale (está en francés, pero las guías están en inglés) que pueden ser interesantes como punto de partida para mejorar la seguridad informática en varios segmentos:

  • MR-1: infecciones por virus
  • MR-2: Intrusiones en Windows
  • RM-3: Intrusiones en Unix/Linux
  • MR-4: Ataques DDoS (Distributed Denial of Service)
  • RM-5: Comportamientos maliciosos de una red
  • MR-6: Desfiguración de un sitio web (Defacement)
  • MR-7: Infecciones por malware
  • MR-8: Chantaje

Lecciones sobre cultura libre extraídas de la industria de la moda

Muy interesante la presentación de Johanna Blakley en las charlas TED, sobre creatividad y propiedad intelectual.

Viene a comparar las industrias en las cuales se protege fuertemente la propiedad intelectual (películas, música, software,…) con la industria de la moda, donde la copia es algo aceptado por todos los implicados en el negocio, incluso por los diseñadores copiados.

¿Qué ventajas aporta esta permisividad?

  • Democratización del producto. La mayoría de las personas puede acceder a prendas de moda. Sólo una exclusiva minoría podrá comprar las prendas de diseño exclusivo. Son mercados distintos, con clientes distintos, que no tienen por qué solaparse. Lo resume acertadamente Tom Ford en un vídeo de la conferencia “And we found after much research that, actually not much research, quite simple research, that the counterfeit customer was not our customer.”
  • Establecimiento rápido de modas globales. Con unos pocos diseñadores y/o marcas siendo copiadas, las modas se pueden establecer de una forma rápida.
  • Obsolescencia rápida. Al establecer modas de una forma rápida, las prendas de la temporada pasada están “obsoletas”, con lo que “obliga” al comprador a renovar su vestuario. Esto es bueno tanto para el plagiado como para el copiador, al producirse una venta continua.
  • Aceleración en la innovación creativa. Esta continua y rápida evolución obliga a los diseñadores a estar en continua innovación, para poder desarrollar nuevos productos que llevar al mercado.

La única protección existente en este sector es la marca (nombre, logotipo, slogan,…), introducida continuamente por los fabricantes plagiados como factor distintivo entre sus productos y las copias.

Me quedo con una diapositiva y una frase, que lo resumen todo. La industria del “copyright” debería de replantearse su caduco modelo de negocio:

And some of these industries may seem sort of marginal to you, but these are the gross sales for low I.P. industries, industries with very little copyright protection. And there’s the gross sales films and books. It ain’t pretty.

En este enlace está disponible la presentación, en formato PDF.

Esteganografía, el arte de ocultar información

Inteco publica un documento introductorio (PDF, 15 páginas) sobre esteganografía, o lo que es lo mismo, la ocultación de información en un canal encubierto con el propósito de prevenir la detección de un mensaje oculto.

Es un documento de fácil lectura, rápida (son 15 hojas que se leen de una tacada) y muy intructivo, ya que introduce al lector en la esteganografía, sus orígenes e historia, sus fundamentos teóricos, muestra ejemplos de cómo funciona el sistema en imágenes (y como se detecta) y muestra aplicaciones curiosas de la esteganografía, que van desde su uso mediante cabeceras del protocolo TCP/IP hasta control del malware, pasando por las marcas de agua digitales.

Es interesante saber que no siempre se aplican a imágenes, ya que cualquier medio es válido (audio, video, ejecutables, etc.) y que su uso no siempre está relacionado con fines poco éticos, ya que puede ayudar en campos como la medicina, la protección de menores,…

Por último, resaltar que suele ir combinado con el uso de criptografía, con el fin de alcanzar un nivel de seguridad razonable: la esteganografía oculta que la conversación se está manteniendo, mientras que la criptografía garantiza la confidencialidad de la conversación.

Un documento interesante y de lectura recomendada.

Los servidores de Ubisoft caídos

Un par de semanas atrás comentaba en un artículo las razones por las que creía que el sistema de protección “antipirateo” del juego Assassin’s Creed 2 funcionaría. Pronto aparecerían noticias del supuesto compromiso de este sistema, desmentidos, parece ser, por la propia gente de Ubisoft:

La gente de Ubisoft se ha puesto en contacto con nosotros y nos ha comentado que estos rumores son falsos y que las versiones crackeadas que circulan por la red no están completas y el juego no puede acabarse con ellas. Esto me recuerda a lo ocurrido con Batman: AA y lo que pasaba con las versiones de Jack Sparrow. Así que tildamos esta noticia como rumor y, aunque nos alegra que parece ser que no se ha podido piratear el juego, seguimos sin apoyar la política antipirateria de la que ya os hemos hablado anteriormente.

Finalizaba mi artículo con una pregunta vital:

Sólo tengo una duda a todo este sistema: ¿qué pasa si el sistema es atacado mediante DDOS u otro método que tire los servidores, dejando a los jugadores de todo el mundo sin servicio durante el tiempo que dure el ataque? Quiero imaginar que los ingenieros de Ubisoft ya lo habrán tenido en cuenta y que respaldarán su sistema en empresas como Akamai.

Pues mi suposición parece ser que no era del todo correcta, ya que leo que los servidores de autentificación han estado caídos el 7 de marzo. Queda claro que, excepto que respaldes la infraestuctura crítica con una empresa con gran capacidad, del estilo de Akamai, Amazon,…no puedes arriesgar la viabilidad de un servicio cuyo uso impones a tus clienes, en este caso, a los compradores de una copia de tu juego.

Actualización: Parece ser que la caída fue fruto de un ataque.

Por qué funcionará el sistema antipirateo del juego Assassin’s Creed 2

Unos días atras saltaba la noticia de que el juego “Assassin’s Creed 2” dispondrá de un nuevo sistema de protección,  que necesitará de una conexión permanente a Internet para poder jugar, ya que al arrancar el juego realizará una conexión a los servidores del fabricante, y, si en un momento determinado se corta la conexión, el juego se bloquea y el jugador pierde todo el progreso del juego. Además, como medida de seguridad extra, el progreso del juego se almacena en los servidores del fabricante, Ubisoft.

El método tiene bastantes desventajas para un usuario legítimo, ya que sufriría las consecuencias de este sistema de protección en caso de disponer de una conexión de baja calidad o si se produce una caída de los servidores del fabricante. Es un método de protección que no va a dejar indiferente a ningún jugador cuando salga al mercado.

Jeff Vogel, desarrollador de juegos, analiza en su blog las razones por las que funcionará este sistema de protección, desde el punto de vista de un cracker que intenta romper la protección.

Los métodos de cracking se basan, de una forma simplificada, en la modificación del archivo binario allí donde éste lleva a cabo la comprobación. Pero estos sistemas son válidos para programas/juegos convencionales, no para aquellos que almacenan datos en un servidor remoto, y que necesitan, por lo tanto, comunicarse con aquél.

Los métodos de ataque que propone para este nuevo tipo de protección son varios:

  • Escribir un servidor que emule a los de Ubisoft y, a la vez, modificar el juego original. Es un trabajo bastante complicado y que puede llevar varios meses. Además, para el futuro jugador, su instalación puede volverse complicada, ya que tendría que instalar el servidor, instalar el software crackeado y configurar todo.
  • Engañar a los servidores de Ubisoft, haciéndoles creer que dispones de una copia válida. Es poco probable que un sistema de generación de claves funcione a medio plazo, con lo que tampoco sería un método válido. Lo mismo ocurriría con claves duplicadas, que acabarían por ser desactivadas.
  • Crackear el juego, de tal forma que no necesite ser guardado en los servidores remotos. Es también un trabajo difícil, que llevaría varios meses completarlo.

Los métodos que “podrían” funcionar tardarían meses en ser implantados, con lo que el juego llevaría vendido un número considerable de copias, asegurando su éxito en ventas, siempre y cuando los clientes no respondan demasiado mal a un sistema de seguridad tan agresivo.

Sólo tengo una duda a todo este sistema: ¿qué pasa si el sistema es atacado mediante DDOS u otro método que tire los servidores, dejando a los jugadores de todo el mundo sin servicio durante el tiempo que dure el ataque? Quiero imaginar que los ingenieros de Ubisoft ya lo habrán tenido en cuenta y que respaldarán su sistema en empresas como Akamai.