30 abr. 2014

Heartbleed es una de las vulnerabilidades más graves de los últimos tiempos. Esta vulnerabilidad afectaba a todos los servidores relativamente modernos que utilizaran las últimas versiones de OpenSSL y que podía permitir que un pirata informático solicitara información “no autorizada” a un servidor obteniendo así claves privadas, contraseñas y todo tipo de información en general.
Con el descubrimiento de la vulnerabilidad Heartbleed, Google ha estado trabajando en un módulo de seguridad que detectara páginas web vulnerables por este fallo de seguridad y que utilizara certificados falsos. Sin embargo, según parece este nuevo módulo de seguridad para Google Chrome no funciona como se esperaba y los resultados que se obtienen de este dejan bastante que desear.
Según un informe, el navegador de Google, Google Chrome, no detecta el 98% de los certificados digitales potencialmente peligrosos y vulnerables ante Heartbleed. El culpable de que este módulo no funcione correctamente es CRLSet, una lista creada y mantenida por Google en la que se numeran las páginas web maliciosas y vulnerables detectadas y que serán las que se bloqueen por defecto en el navegador web.
Expertos de seguridad afirman que esta lista perjudica el rendimiento general de internet debido a que si se incluyen en ella las páginas web con certificados digitales caducados y afectados por esta vulnerabilidad se producirá una sobrecarga innecesaria en la red. De igual manera, esta lista únicamente lista el 2% de los certificados digitales revocados debido a esta vulnerabilidad, lo que significa que esta nueva medida de protección es totalmente inútil.
chrome_espionaje_foto
Por el momento habrá que esperar a ver qué ocurre con esta nueva medida de seguridad. Es probable que los desarrolladores cambien el punto de enfoque de esta debido a las críticas que está recibiendo. Es posible que en vez de una lista de sitios web simplemente se genere un robot que se encargue por sí solo, y con permiso de los administradores de los sitios, se encargue automáticamente de esta función. Por el momento debemos prestar especial atención para evitar entrar en una web vulnerable a Heartbleed y comprometer así nuestra seguridad.

Fuente: Redeszone

29 abr. 2014

El lag o latencia, es uno de los grandes enemigos a combatir por cualquier usuario de internet, sobre todo en el mundo de los videojuegos donde una elevada latencia puede convertirse en la excusa de nuestra derrota o en la causa directa de ella.

Haciendo uso de una Rasperry, unas Oculus Rift y una webcam, una compañía ha decidido realizar un experimento para mostrar al mundo cómo sería la vida cotidiana de alguien con lag. El resultado, más alla de lo cómico que nos pueda parecer en algunos sentidos es una clara muestra de lo que ocurre realmente y por que es tan importante su prevención. Unos pocos segundos de retraso en la imagen pueden hacer que tareas como lanzar una bola de bolos sea toda una utopía.


Aquí tenéis un vídeo del experimento.






28 abr. 2014

Numero 10 - Citigroup

La mayor empresa de finanzas a escala global con sede en Nueva York sufrió un serio percance a manos de crackers hace relativamente poco, el pasado 2011 más de 200.000 cuentas de clientes de ésta sucursal, así como otros datos personales pasaron a mano de un grupo profesional de crackers (Hackers maliciosos), dejando un vacío en las carteras de la mayoría de ellos, un vacío equivalente a casi 3 millones de carteras, expresando metafóricamente así el número de tarjetas de crédito que consiguieron vaciar usando medios propios de la fecha donde se cometió el crimen, a día de hoy estamos vendidos a nivel de seguridad informática, y la prueba fehaciente de ello, la encontramos en éste ejemplo, el cual en cuanto a pérdidas, digno de colocarse en éste top.



Número 9 - Heartland Payment Systems


Ésta empresa fue inoculada con un potente malware de la rama spyware que permitió a los responsables de su inserción hacerse con el código de tarjeta de hasta más de 100 millones de usuarios y produciendo unas pérdidas objetivas de más de 140 millones de dólares, en cuanto a cifras y circunstancias merece un puesto número 9 en éste top.


Número 8 - El golpe a Hannaford Bros


Éste crackeo ocupa el siguiente escalón en ésta pirámide de pesos pesados de los atracos lógicos por razones fácilmente medibles, las pérdidas objetivas de ésta empresa tras el ataque que costó la exposición de 4,2 millones de cuentas, se calcula, ascendieron hasta más de 250 millones de dólares.



Número 7 - TJX


El séptimo puesto de éste álbum de manchas en el historial global de la seguridad informática, se halla muy próximo al anterior, de hecho, las pérdidas ocasionadas de manera objetiva, son inferiores en 2 millones de dólares, pero el número de cuentas sustraídas y el nivel de seguridad necesario para llegar a hacerse con ellas es irrisoriamente mayor, hasta 45 millones de cuentas fueron expuestas al uso de los bandidos informáticos, cabe destacar, que aunque las pérdidas oscilan en los mismos 250 millones al igual que en el caso anterior o quizás menos, los hurtos de cuentas supusieron un mayor riesgo a nivel económico a escalas inimaginables, por lo que, de haber podido seguir sustrayendo fondos, habrían vaciado las arcas y borrado casi toda existencia de movimiento económico que alguna vez hubiese habido en la compañía, ésta reflexión es lo que lo coloca en el séptimo lugar.


Número 6 - Los gusanos de Sven Jaschan



Éste señor es el responsable de uno de los malware con más costos de la historia, infectando dispositivos aislados y nodos de todo el mundo, las pérdidas contabilizadas suman más de 500 millones de dólares.

Un dato curioso:
Las traviesas mascotas del señor Sven (los gusanos Netsky y Sasser) supusieron el 70% de las infecciones observados en el primer semestre de 2004.


Número 5 - el boicot a Sony

Durante el año 2011 la información de miles de usuarios quedó expuesta en la plataforma de Sony para PlayStation PSN (PlayStration Network) a las fauces de algunos Crackers, el daño por robo o pérdida de contenido así como la exposición de datos bancarios asciende hasta los casi 2 mil millones de dólares.



Número 4 - Epsilon

Este lugar en el podium lo ocupa lo que se considera el hurto a una sola compañía más grave económicamente hablando de toda la historia, en efecto, nos estamos refiriendo a una de las empresas de marketing multiespecializada por excelencia, Epsilon, en conjunción con sus afiliadas de la firma Dallas fue atacada en 2011 y las pérdidas ascienden a 4 mil millones de dólares.


Número 3 - Michael Calce Demon (MafiaBoy)

Ya que entramos en materia de crackers en el puesto 6, no puede faltar en éste top uno de los grandes de la historia, por desgracia, por lo que será siempre recordado y aun con el tiempo pocos podrán igualar en el campo, es por sabotear sistemas complejísimos de seguridad con consecuencias fatales, apodado con el nick Mafiaboy éste individuo, un estudiante de la escuela de educación secundaria de West Island consiguió vulnerar incluso las impenetrables fronteras lógicas de empresas como Yahoo, CNN ,Fifa.com, Amazon, Dell e incluso Ebay.


Afortunadamente, también colaboró en el desarrollo de un método de seguridad de servidores bastante potente en el transcurso de sus infiltraciones denominado Rivola y por el que también se le recuerda, más la ingente cantidad de daños económicos provocados suman casi el billón y medio de dólares, y sobre sus espaldas éste gran cartel de neón impide que sea reconocido por sus aportaciones, tanto como de sus fechorías.

Como dato curioso dos citas:


Arepentimiento:
“Mis ataques de 2000 fueron ilegales, irresponsables y, en muchos aspectos, simplemente estúpidos. En ese momento, no me di cuenta de las consecuencias de lo que estaba haciendo”.


¿Que és realmente un Hacker? (Tras afirmar que la sociedad tiene una concepción errónea de la palabra):
“Un hacker es cualquiera que busca manipular la tecnología para hacer algo que no sea su propósito original. Eso no es necesariamente una cosa mala”.


Como bien ha afirmado Calce hay una diferencia abismal entre el término Hacker y Cracker, más debido a las consecuencias de sus actos que a sus intenciones se le considera un Cracker en éste top.

Número 2 - La bomba lógica original

Hasta ahora los ataques de los que hemos hablado han tenido consecuencias meramente económicas, pero a partir de aquí entramos el umbral de lo verdaderamente serio, lo que nos demuestra que a fin de cuentas, todo paso hacia adelante en la tecnología es un arma peligrosa de doble filo y que seguro, será usada contra la vida de alguien en un futuro no muy lejano, es el caso de lo que se conoce como la primera Bomba Lógica en la historia de la humanidad, y es tan terrible porque el haber puesto en marcha éste ataque informático, se puso en un puño algo más serio que el dinero, estamos hablando de vidas humanas.

Pero ¿Que es exactamente la bomba lógica original?, simple, es el proceso por el cual en la década de los 80 EEUU hizo estallar un gaseoducto situado en Siberia mediante la evasión de los sistemas de seguridad informática de sus sistemas de presión, hecho que pudo haber costado varios cientos de vidas, incluidas las de los trabajadores. una bomba lógica es en sí un fragmento de código oculto en un software, que puede en determinado momento, de forma programada en el mismo bajo unas condiciones, alterar el funcionamiento del software en si, en el caso de Siberia, la bomba lógica se desató después de que un operativo de la KGB se hiciese de forma ilegal con recursos software para el gaseoducto, en ese software, cual caballo de trolla no venía incorporado el regalo, pero la CIA se ocupó personalmente de inocularlo en el código.

Éste incidente es el símbolo de la bomba lógica ya que és el único hecho histórico de éste calibre que demostró la fatal consecuencia del método tras el fracaso de otras y además fue potencialmente peligroso para la vida de miles de personas, preferimos por tanto no hablar de pérdidas económicas a éstas alturas.


Número 1 - ????


Sería demasiado soberbio por nuestra parte calificar cual ha sido el peor y mas grave consecuente de todos los crakeos de la historia, y eso es sencillamente por qué hasta ahora lo mas grabe de lo que hemos hablado ha sido la posibilidad de muerte de algunas personas, más en la basta red, a día de hoy, no se necesita vulnerar grandes sistemas de seguridad para hacerse con la información personal de algunas personas, ésto, sumado al gran número de asesinos, sicarios, terroristas, acosadores e incluso mafias que coexisten a nivel de internet a escala global, son los componentes de la peor arma jamas creada, éste puesto permanece vacío invitando a la reflexión, y pretendiendo ser ocupado metafóricamente, por todos esos crímenes silenciosos contra los derechos humanos, contra la vida y contra toda moral cometidos bajo métodos esquivas de la Seguridad Informática.


27 abr. 2014

Los de Redmond han confirmado el descubrimiento de una vulnerabilidad crítica del tipo Day Zero en su navegador Internet Explorer. Este error está presente en todas las versiones del mismo, desde Internet Explorer 6 hasta la actual, la versión 11.
Microsoft dio a conocer ayer mismo la existencia de este problema que afecta a su navegador de Internet. La vulnerabilidad se ha etiquetado con el código CVE-2014-1776. Actualmente, grupos de hackers están aprovechando para explotar el problema y realizar ataques contra este navegador. Por el momento, en Redmond están estudiando el problema y no han terminado de determinar la solución a aplicar.
internet-explorer-9Todas las versiones desde Internet Explorer 6 hasta Internet Explorer 11 son vulnerables. El problema de seguridad fue reportado a Microsoft por parte de la firma FireEye. Estos han explicado que puede utilizarse para realizar un ataque ya que permite esquivar las “protecciones” DEP (Data Execution Prevention) y ASLR (Address Space Layout Randomization).
Explican que es necesario utilizar un fichero con extensión .swf de Adobe Flash para poder aprovecharse de la vulnerabilidad detectada. Aunque ni Microsoft ni FireEye lo especifican directamente, los equipos que no tengan instalado el complemento Flash no deben ser vulnerables y estarían fuera de peligro. Esto no aplica a Internet Explorer 10 y 11, ya que llevan integrado el software de Adobe.

Internet Explorer 6 muere junto a Windows XP

Mucho se ha hablado del fin del soporte de Windows XP y de Office 2003 y poco de los efectos colaterales y terceros programas afectados por ello. Internet Explorer 6 ha sido durante muchos años el navegador más utilizado del mundo al ser parte fundamental de Windows XP. Los desarrolladores se sentían obligados a adaptar sus páginas web a este navegador, dejando de lado a programas más modernos. Con XP fuera de juego, podemos despedir a una de las causas que ha ralentizado la evolución natural de Internet.
Fuente:  Adslzone

25 abr. 2014

La vulnerabilidad Heartbleed ha puesto en jaque a las grandes compañías tecnológicas debido a que la mayor parte de las páginas web utilizan OpenSSL como parte de su seguridad. Google, Facebook, Microsoft y otras importantes compañías se han unido con el objetivo de que algo similar no vuelva a ocurrir.

Google, Facebook, Microsoft, Amazon o Cisco son algunas de las importantes compañías tecnológicas que se han unido recientemente con el objetivo de que una vulnerabilidad como Heartbleed, detectada hace unas semanas, no vuelva a suceder. Cada una de estas empresas ha prometido donar 100.000 dólares (unos 72.500 euros) cada año durante los próximos tres años a la iniciativa creada por The Linux Foundation, denominada Core Infrastructure Initiative, que tiene como objetivo financiar proyectos de código abierto que se encuentran en situación crítica y prevenir casos como el de Heartbleed.
the-linux-foundation

13 empresas, 2,6 millones de euros

Según Amanda McPherson, jefa de marketing de la Fundación Linux, la crisis provocada por Heartbleed les hizo preguntarse “cómo sucedió esto y qué papel puede jugar nuestra fundación para poder evitar que vuelva a ocurrir”, por lo que decidieron trabajar con la industria y recaudar dinero para financiar directamente a los desarrolladores para que puedan “hacer lo que mejor saben, desarrollar, mientras que nosotros les ayudamos”. En total, son 13 las empresas que se han sumado a la iniciativa hasta este momento, acumulando 2,6 millones de euros. Seguramente, más empresas se unan dentro de poco, por lo que la cantidad de dinero aumentará considerablemente.

Heartbleed no deja rastro si lo utiliza un hacker

Como bien recordamos, la vulnerabilidad Heartbleed se dio a conocer hace unas semanas después de estar oculta durante más de dos años sin que nadie se diera cuenta, aunque Google ya sabía de su existencia mucho antes de salir a la luz. Los ataques que se pueden realizar utilizando este error no dejan rastro, lo que hace imposible saber si los hackers conocían su existencia o no, si hay datos que han sido robados o qué datos en concreto han estado expuestos. Google, Facebook Yahoo son algunas de las compañías que se vieron afectadas de una forma u otra, a pesar de que intentaron aplicar el parche lanzando por los responsables de OpenSSL lo antes posible. En el caso de Yahoo, el retraso en la aplicación del parche hizo que fuera uno de los servicios más afectados.
Fuente: Adslzone

22 abr. 2014

El grupo pirata ruso WZOR ha filtrado información sobre una nueva actualización de Windows 8.1 y sobre Windows 9, la próxima iteración del sistema operativo de Microsoft. Este grupo es considerado como una fuente fiable gracias a un enorme historial de información confidencial filtrada. Afirman que lo que será Windows 8.1 Update 2 o Windows 8.2 será lanzado en otoño, e integrará el nuevo menú de inicio, y que Windows 9 llegaría en 2015 con una nueva versión de Metro y con una versión gratuita. También afirman que los de Redmond están trabajando en un sistema operativo basado en la nube.

El menú de inicio llega con Windows 8.2

La actualización del actual sistema operativo será similar a la publicada recientemente (Windows 8.1 Update 1) y podría llamarseUpdate 2 o directamente Windows 8.2. WZOR señala que el nombre no está decidido todavía y que está generando mucha discusión dentro de Microsoft. Dentro de las novedades que podría integrar esta nueva versión destaca el esperado nuevo menú de inicio, mostrado en la última conferencia de desarrolladores de Microsoft BUILD hace unas semanas. Además, Windows 9también contaría con botón de inicio, ya que según el grupo ruso, será un componente de la próxima generación de la interfazMetro. El menú de inicio clásico estará disponible en dispositivos sin pantalla táctil y en servidores, y en los sistemas con pantalla táctil tendría un concepto diferente. WZOR también indica que hay rumores de que existirá una versión gratuita de Windows 9, aunque el grupo no puede confirmarlo. Consideran que los informes existentes sobre esta versión gratuita son incoherentes, pero no descartan totalmente esta posibilidad.
Menu-inicio-windows

Windows Cloud

Además de Windows 9, Microsoft está desarrollando lo que sería Windows Cloud, un sistema operativo basado en la nube. Según WZOR, un grupo de trabajo está desarrollando un prototipo en el que el software principal será de descarga gratuita y requerirá una suscripción para funcionalidades adicionales. Una vez instalado Windows Cloud, sería necesaria una conexión a Internet para tener todas las funcionalidades disponibles. En el modo offline, el sistema funcionaría de forma parecida a lo que conocemos comoWindows Starter.

Antiguo empleado de Microsoft arrestado por filtrar información

Por el momento, el grupo ruso no puede proporcionar más información y señalan que cada vez es más difícil obtener informaciónconfidencial sobre Microsoft. Recientemente, un antiguo empleado de los de Redmond fue arrestado después de filtrar información a un periodista y, desde entonces, Microsoft ha intensificado la seguridad para evitar que se filtre información al exterior.

Solución de los errores de instalación de Windows 8.1 Update 1

Algunos usuarios se han encontrado con problemas a la hora de instalar la última actualización lanzada por Microsoft, obteniendo los códigos de error 80070020, 80073712, 0x800f081f, 800f0092 y 80073712 que impiden completar el proceso. Desde Redmond nos explican en este enlace cómo solucionar los problemas para permitir instalar la actualización

Fuente: Adslzone
Hoy en Linceus hemos querido arrojar un poco de luz sobre un aspecto fundamental a la hora de desarrollar y configurar adecuadamente a nuestro hardware los videojuegos, profundizaremos de manera básica en conceptos sobre la configuración gráfica de los mismos y desmenuzaremos los conceptos uno por uno resolviendo así dudas bastante frecuentes sobre qué son y que efectos tienen sobre la jugabilidad, rendimiento y calidad gráfica éstas opciones.



Anti-Aliasing:


Cabe destacar que si lo que buscas es mayor rendimiento ésta es una de las opciones que tras modificar ofrece mejores resultados, ésto es debido a que, para simular los efectos de una mejor resolución, ésta configuración utiliza un algoritmo para desenfocar los bordes basado en el renderizado múltiple de una imagen, siendo, como concepto básico, uno de los procesos que más recursos consumen en un chip gráfico (Targeta Gráfica).

Las Opciones de configuración presentes en ésta herramienta ordenadas ascendentemente según su consumo de recursos son:

FXAA: (Fast Approximate Anti-Aliasing) disminuye la calidad de las texturas de juego a cambio de su funcionamiento por lo que no supone apenas un consumo objetivo de recursos.

MSAA: (Multisampling Anti-Aliasing) Que afecta unicamente a los bordes y básicamente genera mediante un algoritmo el suavizado mediante muestras del sombreado ya existente por lo que consume escasos recursos.

QSAA: (Quincunx Super Anti-Aliasing) Básicamente triplica el efecto del MSAA bajo la pesquisa del consumo equivalente de recursos.

FSAA/SSAA:
(Full Screen Anti-Aliasing/Super Sampling Anti-Aliasing ) Basan su funcionamiento en el renderizado a mayor resolución de la imagen para luego mostrar sólo los bordes a ésta resolución aun afectando a toda la imagen en pantalla lo que consume más recursos.



Shading (Sombreado): 

Aplica sombras dinámicas a los cuerpos renderizados.



Ambient Occlusion (Oclusión ambiental): 


Su funcionamiento es idéntico procedimentalmente al sombreado pero en materia de luces dinámicas, siendo éstas aún más costosas de emular en cuerpos que el sombreado.





API: 


Software de renderizado, siendo lo más común usar una versión de DirectX.





Depth of Field (Profundidad del campo de visión): 


Controla la definición del objeto en base a su proximidad con la cámara de visión, pudiendo desenfocar el fondo, ahorrando recursos renderizando cuerpos e imagen.





Motion Blur(Desenfoque dinámico): 


Controla el rastro que dejan los cuerpos al moverse respecto al campo de visión desenfocándolos temporalmente al caer, mover la cámara, cambiar la velocidad de movimiento y otros.



Physics Quality(Calidad de Físicas): 


Calidad de simulación de movimiento y transformación de cuerpos en base al peso la velocidad, consistencia, material etc...

Existen motores impresionantes capaces de añadir físicas ultrarealistas a los trabajos más actuales como es el caso de physx, una tecnología Propia de algunos elementos hardware de Nvidia o TressFX de la casa AMD.





Post Processing (Procesamiento secundario):


Hace alusión al uso de varios renderizados que se cargan en buffer mejorando algunas opciones gráficas como el Motion Blur y evitando saltos de imagen durante los procesos más rápidos.


Particles (Partículas): 


Qué sería de los efectos especiales sin, partículas, polvo flotante, cenizas, energía mágica, todo es posible en el mundo de las partículas incluidas las características antes mencionadas Fhysx y TressFX.





Refresh Rate (Tasa de Refresco): 


Se refiere a la capacidad de reescritura de datos de imagen por segundo en monitores, el visualizado además se limita a ésta tasa de actualización de la imagen.





Shadow Quality (Calidad de sombras): 


No hay demasiado que explicar, aumenta o disminuye la calidad de las sombras de juego.





Tessellation (Teselado): 


Para evitar el modelado excesivo de algunos cuerpos se recure al teselado, una subdivisión poligonal de la textura para simular un 3D inexistente, consumiendo menos recursos que durante el renderizado y aumentando la calidad de imagen y su realismo en profundidad.





Texture Filtering/Anisotropic (Filtro de texturas): 



Nivel de detalle angular de las texturas (hasta 16x AF actualmente)





Texture Quality (Calidad de texturas): 


Regula el detalle en la texturización y sus consumo de recursos es directamente proporcional al nivel.




V-Sync (Sincronización vertical): 


Como su nombre indica es una opción de sincronización, sincronización referida a los FPS del contenido al del monitor evitando defectos gráficos, tan usuales como la división horizontal de la imagen al mover la cámara (como se muestra en la imagen) entre otros cabe destacar que ésta opción no afecta al rendimiento, pues no consume recursos.

19 abr. 2014

Hace escasas horas que la nueva versión de Ubuntu está con nosotros de manera oficial y ya podemos descargar una versión totalmente funcional y que nos acompañará los próximos años.








Cabe destacar que las versiones LTS son las que tienen soporte de larga duración.



Aquí tenéis un enlace de descarga 

18 abr. 2014

En esta sexta entrega sobre Hirens boot hablaremos de un par de nuevas herramientas que conforman la siguiente subsección de éste enorme pack de mantenimiento, se trata de Recovery Tools, especialmente enfocada a la recuperación de datos.



Como bien se puede intuir las utilidades presentes en éste conjunto se enfocan a la recuperación de archivos particiones y sistemas que contienen datos de interés para el usuario.

Comenzamos con TestDisk:

Se trata de un eficiente software gratuito para la recuperación de datos capaz de recuperar particiones, sector de inicio desde una copia de seguridad, el sector de arranque y archivos así como fijar particiones, tablas FAT etc...




Para acabar encontramos PhotoRec:

Hablamos de una Aplicación capaz de llevar a cabo la recuperación de archivos tan susceptibles como formatos de vídeo y otros archivos multimedia, la característica que lo hace merecedor de un hueco en el seno de Hirens Boot es sin duda que es capaz de ignorar el formato, permitiendo la recuperación incluso en los dispositivos que, ya sea por su continuo formateo o su predisposición a albergar tablas defectuosas, suenen dar problemas a la hora de llevar a cabo dichas operaciones de rescate de datos.



Hasta aquí esta escueta pero bien documentada entrada de sobre Hiren's Boot, pronto volveremos con la siguiente subsección de Dos Programs, Testing Tools

17 abr. 2014

Investigadores de FireEye han descubierto un nuevo fallo de seguridad que podría permitir a una aplicación maliciosa con permisos «normales» modificar los iconos (accesos directos) de la pantalla principal de Android para que apunten a sitios web dephishing.

Recursos afectados

Se ha confirmado que la vulnerabilidad afecta a la versión 4.4.2 de Android.

Solución

Google ha reconocido el fallo de seguridad y ha distribuido un parche (solución) a sus socios OEM (Samsung, Motorola, etc.). Sin embargo, no se ha concretado cuánto tiempo tardará en llegar a los usuarios.
Así mismo se recomienda que, teniendo en cuenta las nuevas tendencias utilizadas por los ciberdelincuentes para tratar de engañar a los usuarios para que descarguen aplicaciones maliciosas, es importante considerar los siguientes aspectos a la hora de instalar aplicaciones desde el Market de Android:
  • Observar la procedencia de la aplicación. El nombre de desarrolladores de aplicaciones populares es un buen indicador para comprobar la legitimidad de la aplicación.
  • Comprobar la puntuación (rating), así como los comentarios de los usuarios, es otra fuente de información con la que podremos conocer las experiencias de los usuarios a la hora de instalar y usar la aplicación.
  • Investigar otras fuentes de información independientes al Market de Android es también recomendable si dudamos de la legitimidad de la aplicación.
Por otra parte, se recomienda realizar copias de seguridad periódicas del dispositivo móvil.

Detalles

Android
Los permisos que solicitan las aplicaciones a la hora de ser instaladas en un sistema Android están clasificados en varios grupos:
  • «normal»
  • «dangerous»
  • «system»
  • «signature»
  • «development»
Aquellos que pertenecen al grupo «normal» son aceptados automáticamente por Android en el momento de la instalación de la aplicación sin necesidad de aprobación por parte del usuario.
FireEye ha informado que los siguientes permisos de esta categoría pueden resultar peligrosos para la seguridad de un usuario:
  • com.android.launcher.permission.READ_SETTINGS
  • com.android.launcher.permission.WRITE_SETTINGS
Una aplicación malicosa que incluya estos permisos podría modificar los iconos de la pantalla principal de Android para que apunten a sitios web fraudulentos que suplantan la identidad de empresas y servicios.
Fuente: Inteco

15 abr. 2014

Google ha actualizado sus condiciones de servicio para indicar, explícitamente, que analiza los mensajes de los correos electrónicos con el objetivo de proporcionar a los usuarios resultados de búsqueda personalizados y anuncios adaptados a nuestros gustos. En la última versión de estas condiciones, los de Mountain View añaden un párrafo explicando que el análisis de los mensajes entrantes y salientes se realiza de forma automática mediante un software. Por el momento la versión española de las condiciones no ha sido actualizada. Las condiciones de EEUU se pueden ver en el siguiente enlace: Google Terms of Service.
apertura-gmail

Análisis para ofrecer búsquedas y anuncios personalizados y detección de spam y malware

Según explica Google, “los sistemas automatizados analizan el contenido, incluidos emails, para proporcionarle personalmente características de productos relevantes, tales como resultados de búsqueda personalizados, publicidad a medida y detección despam y malware. Este análisis de produce cuando el contenido es enviado, recibido y cuando se almacena”. Un portavoz de Google ha matizado que la actualización de las condiciones de servicios es para que quede más claro a los usuarios. “Queremos que nuestras políticas sean simples y fáciles de entender para los usuarios. Estos cambios darán a la gente mayor claridad y se basan en el feedback recibido en los últimos meses”.

Demanda colectiva en EEUU

Google se ha estado enfrentando a una demanda colectiva que alega que la función de Gmail para analizar los mensajes contenidos en los correos electrónicos, con el fin de adaptar la publicidad, es ilegal, aunque el mes pasado un juez de EE.UU decidió no aceptar dicha demanda como colectiva. Estos usuarios acusan a la empresa norteamericana de violar leyes federales yestatales de privacidad y escuchas telefónicas. En cambio, Google se defendió argumentando que todos los usuarios han firmadolas condiciones de servicio y por lo tanto aceptan que sus mensajes puedan ser leídos. Con esta actualización de las condiciones de servicio es probable que los de Mountain View busquen evitar que problemas de este tipo puedan surgir en el futuro.
Fuente: Adslzone

14 abr. 2014


Esta entrada esta dedicada a listar los métodos poco eficaces o erróneos de desarrollo de código más comunes hasta día de hoy en el ámbito de desarrollo de software y que todo programador novato en su campo viene experimentando y muchos de ellos están aún presentes en el trabajo de los más veteranos:

La Gota: 



Procedimentalmente se cae en la sobrecarga de objetos adquiriendo los mismos responsabilidades varias mientras la gran mayoría tan solo contienen datos o funciones poco usadas, para corregir éste antipatrón se refactoriza y reparten uniformemente los métodos.






Continua obsolescencia: 

Es frecuente que se piense en el uso de nuestro software desde el alcance de un hadrware actual pero nada más lejos de la realidad, la tecnología es capaz de cambiar incluso antes de que un programador acabe su parte de código correspondiente, La solución consta de miras altas y expectativas previstas ante los cambios de los dispositivos físicos e incluso sistemas operativos que contengan nuestro software y mantener el producto generando nuevas compatibilidades.


Flujo de lava: 

Código "basura" que yace inerte como parte presente del código funcional y que puede cambiar e incluso llegar a afectar no ya al rendimiento del código, sino a su funcionalidad y objetivo final.
Lo ideal sería la eliminación inmediata de dichos residuos antes de la culminación de nuestro software e incluso antes de la acumulación masiva de la misma, lamentablemente ésto, por temas de pruebas, gajes de prestar atención a demasiadas variables o simplemente por acumulación inmediata, esto no es posible, así que siempre hay que buscar métodos para encontrar de forma eficaz éstas sobras tras la creación de código y eliminarlas, cabe recordar que siempre es mejor prevenir que curar, por lo que aun creyendo haber realizado un trabajo limpio debemos comprobarlo antes de dar el visto bueno.

Descomposición Funcional: 

Suele darse que al no tener tiempo o ganas de aprender a programar orientado a objetos y que su código así lo requiera el desarrollador intente recrear algunas de las particularidades de éste paradigma, y el trabajo no deja de ser ingenioso pero peca de lo mismo que peca el siguiente antipatrón..

Reinventar la rueda: Recuerda, a no ser que tu intención final sea esa, siempre es mejor utilizar procedimientos que ya están a tu disposición dentro de, por ejemplo, clases implementables, que desarrollar tú mismo dicha estructura de métodos para la resolución de un mínima parte de código.

Poltergeists: 

Existencia de clases casi sin utilidad con roles limitados y cortos ciclos de vida que además son usadoas por varios objetos de distinto propósito.

Ancla: 

Desarrollo de un fragmento de código que no va a ser útil en el proyecto actual.

Martillo dorado: 

Soberbio y obstinado uso por cuestiones de "confort procedimental" de un proceso, bucle o declaración pudiendo incluso ser más útiles otros procedimientos en un momento dado, es siempre bueno aprende rnuevas formas de resolver un conflicto para que la más efectiva esté a tu alcance en cada momento, eso además ayuda a la hora de enfrentarse a grandes desafíos.




Callejón sin salida:

Reutilización de código obsoleto o que ya no cumple o jamás lo ha hecho, con las pesquisas del objetivo final.

Código Spaghetti: 

Saltos co0ntínuos en el código que enrebesas su legibilidad y alteran su posible mantenimiento, uno de los más frecuentes.

Campo de minas:

Uso de tecnología software demasiado actual y sin revisiones que es susceptible a fallar de forma continua, si llevas tiempo programando y has publicado ya alguna utilidad software, sabrás que la mayor parte del trabajo está en el mantenimiento, así pues una nueva versión de un lenguaje es peculiarmente sensible y sus fallos no han sido pulidos, es básicamente un prototipo en manos de personas que descubren sus fallas.

Frankenstein: 

Código escrito a base de fragmentos obtenidos de código existente amolado cual muñeca con partes de otro muñeco diferente y es, no solamente una mala costumbre, sino que al estar compuesto por distintas pautas procedimentales su documentación y legibilidad se hacen consecuentemente difíciles entre ellas.



Éstos son antipatrones sólo pertenecientes a la rama de desarrollo de código pero los hay en todos los pequeños subcampos de una empresa de desarrollo de software, y están presentes en el planteamiento la dirección, el diseño, arquitectura y mantenimiento del mismo.

11 abr. 2014

Hace unos días saltó a la actualidad un grave fallo de seguridad de OpenSSL, conocida como Hearthbleed que ponía en riesgo casi todo lo que hasta ahora considerabamos seguro en internet.





La vulnerabilidad consiste en engañar al sistema para que utilice una versión de OpenSSL de 2 años de antigüedad y conseguir fragmentos de información que ayuden a conseguir las credenciales necesarias.

Ayer mismo, adslzone se hacía eco de que la vulnerabilidad también había afectado incluso a los routers

Hoy vuelve a haber novedades al respecto: mediante un parche se ha corregido la vulnerabilidad, pero es el propio servicio de la página quien debe hacerlo, por lo que hay páginas web y servicios que todavía podrían ser vulnerables a dicho problema.


Para saber si una web está afectada, o no, por hearthbleed, Google Chrome ha puesto a nuestra disposición una extensión que nos indicará si la página que estamos visitando puede resultar peligrosa por no haber aplicado el parche.





Tambien podemos comprobar si una página esta afectada desde lastpass.

Descargar Chromebleed