The Information Systems and Computer Applications examination covers material that is usually taught in an introductory college-level business information systems course.

Archive for April, 2011

Nueva build de Mac OS X Lion, éstas son todas las novedades

 

mac os x interfaz preferencias snow leopard lion aspecto diseño

Apple sigue avanzando con el desarrollo de Mac OS X Lion, el sucesor del actual Snow Leopard. Hoy nos hemos topado con una nueva versión previa para todos los desarolladores tras casi un mes desde la última actualización con un seguido de novedades que aún no habíamos visto. Parece que con esta nueva buildse han corregido algunos aspectos del sistema que habían recibido quejas por parte de los betatesters, con lo que tenemos algunos cambios en la interfaz.

Empezamos con lo más llamativo: Apple ha decidido desechar el selector deslizable de las pestañas en algunas ventanas, perdiendo esa sensación más ‘táctil’ y propia de iOS para pasar a los botones a los que todos estamos acostumbrados. Es un retroceso en la decisión inicial de Lion, pero no debe haber gustado entre la comunidad de desarrolladores. En la imagen superior tenéis las diferencias en un panel de herramientas del sistema, en el que se puede apreciar el cambio de aspecto en las pestañas.

mac os x lion apple ical interfaz diseño

iCal también ha sufrido algunas ligeras modificaciones. Su aspecto general es ahora más claro, y algunos elementos de la ventana han pasado de ser negros a un gris muy claro, quizás demasiado y todo, para que no moleste a la vista.

apple mac os x lion safari panel descargas interfaz diseño

Safari dejará de tener una ventana independiente de descargas a tener un discreto panel que se activará desde un botón de la barra de herramientas. Mucho menos engorroso que tener que gestionar una ventana aparte, algo que también ha decidido hacer Firefox para su sexta versión.

apple reading list safari interfaz

Otra novedad de Safari que se ha descubierto algo más tarde es la funcionalidad Reading List, que guardará en una lista las páginas web que queramos leer más tarde del modo en el que ya hacen servicios como Read It Later o Instapaper. Se espera que esta lista pueda sincronizarse entre iOS y Mac OS X, para poder tener una lista gestionada sin problemas en la que tendríamos páginas web encontradas por ejemplo desde un iPhone para ver más tarde en nuestro Mac.

Por último, se han encontrado ciertos rastros en los archivos del sistema de una funcionalidad llamada ‘Encuentra mi Mac’. Tiene toda la pinta de ser lo equivalente a la función ‘Encuentra mi iPhone’ que Apple tiene a disposición de todos sus usuarios, pero aplicada al ordenador. Además, también cabe la posibilidad de que podremos enviar mensajes a nuestro ordenador de forma remota en caso de pérdida o robo.

Es de esperar que Apple presente una versión prácticamente final de Mac OS X Lion en la WWDC 2011 de principios de junio, evento mundial de desarrolladores de la compañía en el que si hacemos caso a los rumores también veremos por primera vez a iOS 5 y un servicio en la nube que englobe la mayoría de los datos de ambos sistemas operativos. Mac OS X Lion es una apuesta muy fuerte y representa el inicio de lo táctil en un sistema de sobremesa, lo cual tiene su riesgo. Estaremos atentos a más actualizaciones de la versión previa que puedan llegar antes de la WWDC.

ACTUALIZACIÓN: En 9to5mac han detectado que Mac OS X Lion gestiona las pantallas externas de forma diferente: ahora un Mac portátil con un monitor adicional no entra en reposo cuando cerramos su tapa, sigue activo y simplemente pasa a trabajar únicamente con la pantalla externa. Tenéis un vídeo demostrándolo justo abajo:

Vía | Applesfera
Más información | Mac OS X Lion en la web oficial de Apple
Vídeo | YouTube


5 Razones para usar Windows Intune

 

clip_image002

Desde el blog de SpringBoard series y de la mano del antiguo MVP de Connected Systems de Microsoft,Stephen L Rose, obtenemos 5 interesantes razones para utilizar Windows Intune. La aplicación en la nube de Microsoft, Windows Intune permite la gestión y securización de los nuestros ordenadores mediante una simple aplicación web. Tenemos la posibilidad de gestionar las estaciones de trabajo de nuestros empleados independientemente de donde estos se encuentren.

A continuación pasamos a detallar 5 razones por las que los profesionales tienen en esta aplicación, un gran aliado para la gestión de sus equipos:

1. La aplicación Windows Intune tiene una suscripción muy sencilla. Mediante nuestra aplicación web, podremos ver las actualizaciones de nuestros equipos, el estado de Forefront, alertas, políticas de seguridad, gestión de amenazas, etcétera. Lo único necesario es: estar registrado para obtener el servicio de Windows Intune, tener una conexión a internet e instalar los clientes de Windows Intune en los ordenadores que deseemos gestionar.

2. Tiene los beneficios de la “Nube” ya que con Windows Intune no se necesita contratar un servidor para gestionar la aplicación. Por tanto, no es necesario preocuparse por adquirir hardware, licencias de software, instalar cada servidor y securizar el entorno de la aplicación. De todo esto se encarga Microsoft gracias a los servicios en la “Nube”. Solo es necesario un navegador web.

3. Windows Intune dispone del servicio EndPoint Protection. Dicha aplicación proporciona protección para resguardar a nuestros equipos contra posibles amenazas. Esto asegura tener nuestro sistema actualizado con las últimas firmas de software malicioso y la ejecución automática del buscador de amenazas. Todas las acciones se pueden realizar fácilmente desde cualquier parte del mundo con un simple navegador web.

4. Tiene la ventaja de tener derechos de actualización a Windows 7. Por tanto si se tiene Windows XP o Windows Vista en nuestro equipo de trabajo, tenemos una buena oportunidad para migrar a Windows 7 Enterprise.

5. Apoyo a los usuarios con Microsoft Easy Assist. Mediante el software gratuito de Asistencia remota se podrán resolver diversos problemas independientemente de donde se encuentre usted o sus usuarios. No será necesario pagar un software de asistencia remota.

Gracias a todas estas ventajas, la gestión de múltiples equipos nos supone un ahorro sustancial tanto en tiempo como en dinero. Si se tiene alguna duda en cuanto a la utilización de Windows Intune, puedes revisar lasPreguntas frecuentes sobre Windows Intune que publicamos la semana pasada.

Recuerda que puedes probar la versión de evaluación durante un periodo de 30 días u obtener más información al respecto desde el sitio de SpringBoard Series. Y no te olvides de suscribirte al canal RSS de Windows Técnico para seguir informado sobre otras noticias tecnológicas como esta.


Amazon se disculpa por caída de su nube y atribuye la culpa a error humano

(cc) stars6 / Leonardo Rizzi

Amazon publicó hoy detalles del desastre ocurrido en su red la semana pasada, que causó la caída del servicio de una serie de empresas que dependen de estos servidores en la nube.

La compañía explicó que todo comenzó a mediodía (12:47, horario del Pacífico) del 21 de abril, en la Elastic Block Storage (EBS) de Amazon, que básicamente es el almacenamiento usado por el servicio EC2, que ofrece almacenamiento escalable en servidores en la nube. Amazon explicó que, por una falla humana, se realizó un cambio incorrecto en la configuración de la red, que hizo que el proceso de escalamiento fallara.

El cambio de configuración era para mejorar la capacidad de la red primaria. Durante el cambio, uno de los pasos estándar es mover el tráfico fuera de los routers redundantes en la red primaria EBS para permitir que la actualización ocurra. El cambio del tráfico fue ejecutado incorrectamente, y en lugar de enrutarlo hacia otro router en la red primaria, fue enviado a la red redundante de menor capacidad de EBS.

EBS funciona usando una tecnología peer-to-peer, que mantiene a los datos sincronizados en varios nodos, usando dos redes – una rápida para operaciones normales, y una lenta, que sirve de respaldo cuando la primaria falla. Cada nodo usa la red para crear múltiples copias de los datos usados a medida que se requiera. Cuando uno de los nodos deja de comunicarse con otro en medio de una operación, el primer nodo asume que el segundo falló, y busca otro que esté libre donde pueda replicarse. Esto normalmente pasa tan rápido que los humanos no están involucrados.

Cuando el enrutamiento del tráfico en la red primaria no funcionó correctamente, un grupo de nodos de EBS perdió contacto con sus réplicas. Cuando se restauró la conexión, tantos nodos se habían caído que cuando comenzaron a replicarse de nuevo, el espacio disponible se había acabado. Eso dejó a varios nodos en un círculo vicioso en donde buscaban una y otra vez espacio en otros nodos para crear espejos, cuando no había más espacio. Los requerimientos para crear nuevos nodos en EBS se apilaron, sobrecargando todo lo demás. A las 2:40, Amazon deshabilitó la capacidad de los clientes de crear nuevos volúmenes de datos. Una vez que los nuevos requerimientos dejaron de apilarse, parecía que la situación se había calmado, pero no fue así.

Los volúmenes de EBS siguieron buscando nodos donde replicarse, causando tensión constante en el sistema. Para las 11:30 am, los técnicos habían encontrado una forma de detener la locura sin afectar la comunicación entre los nodos. Una vez que se aplicó esa solución, un 13% de EBS todavía estaba atascada con requerimientos. Para mediodía, los ingenieros empezaron a buscar espacio para que los volúmenes atascados pudiesen replicarse, algo que no era fácil porque requería que se movieran físicamente servidores y se instalaran al cluster de EBS.

Eso tomó bastante tiempo. Para las 12:30 del 22 de abril, todavía había un 2,2% de EBS que estaba atascado. Con la nueva capacidad instalada, Amazon empezó a trabajar en hacer que los nodos se comunicara normalmente entre sí otra vez. Esto debía hacerse por etapas, y el trabajo se extendió hasta el día siguiente. Para las 18:15 del 23 de abril, las operaciones estaban casi de vuelta a la normalidad (excepto por el 2,2% que todavía estaba atascado). Resultó que esa parte tendría que ser recuperada manualmente. Los datos estaban respaldados en Amazon S3, y para el día siguiente, se había recuperado todo menos un 1,04% de los datos.

Se siguió trabajando, y al final un 0,07% de los datos involucrados no pudieron ser recuperados, dijo Amazon.

La compañía informó que está auditando su proceso para realizar cambios en su red, que es donde comenzaron los problemas, y que aumentará la automatización del sistema para prevenir errores similares en el futuro. Además, todos los clientes recibirán un crédito de 10 días, independientemente de si sus servicios se vieron afectados o no. Amazon lanzó una larga lista de los cambios que realizará, que van desde aumentar la capacidad disponible para operaciones de recuperación, a hacer más fácil para los clientes acceder a más de una zona de disponibilidad y mejoras a su dashboard de estado.

Y por último, “queremos disculparnos. Sabemos cuán críticos son nuestros servicios para los negocios de nuestros clientes y haremos todo lo que esté en nuestras manos para aprender de este evento y usarlo para impulsar mejoras en nuestros servicios. Como en cada asunto operacional significativo, pasaremos muchas horas en los próximos días y semanas mejorando nuestro entendimiento de los detalles de varias partes de este evento, y determinando cómo hacer los cambios para mejorar nuestros servicios y procesos”.

Está claro que este evento tendrá repercusiones en la reputación de Amazon y en la forma de planear el uso de servidores de sus clientes. Al menos sirve para aprender un poco más sobre la nube y sus problemas…

LinkSummary of the Amazon EC2 and Amazon RDS service disruption (Amazon vía All Things D)


Gestión de energía en Windows 7

 Últimamente, una de las principales preocupaciones en el sector informático es la reducción de consumo de energía. Por un lado, por motivaciones medioambientales, lo conocido como “IT Green” y, por otro, por la reducción de costes.

Uno de los aspectos en los que Windows7 ha incorporado grandes mejoras es en la gestión de energía por parte del sistema operativo, pudiendo optimizar ciertas partes del mismo para conseguir un menor consumo energético.

Adicionalmente, se han incorporado nuevas herramientas y opciones para configurar y resolver problemas relacionados con cuestiones energéticas. Dichas herramientas están orientadas tanto al usuario final como a los administradores de sistemas, por lo que ambos grupos salen beneficiados de las comentadas incorporaciones.

Una de las cosas que seguramente todos los usuarios de Windows en equipos portátiles habrán notado es el icono en la barra de tareas relativo a las opciones de consumo de energía.

clip_image001

Imagen 1: Opciones de energía

Desde ahí, y a tan sólo un clic, el usuario puede seleccionar si quiere utilizar el plan de energía equilibrado o el economizador.

· Equilibrado: Ofrece un rendimiento completo y brillo de la pantalla cuando se necesita, pero se ahorra energía cuando el equipo está inactivo.

· Economizador: La opción acertada cuando queremos alargar la duración de la batería a costa de un rendimiento y brillo de pantalla más reducidos.

· Planes adicionales: De manera adicional, el fabricante puede incluir otros planes de rendimiento.

Además, desde el mismo menú emergente podremos acceder directamente al ajuste del brillo de la pantalla, directamente proporcional con el consumo energético, y al resto de opciones de energía.

Entre dichas opciones de energía, tenemos una muy socorrida relativa al comportamiento del portátil cuando, por ejemplo, se cierra la tapa del portátil.

clip_image003

Imagen 2: Opciones de encendido y cierre de tapa

Desde este mismo menú de opciones de energía podremos crear un plan de energía personalizado indicando, de manera más granular, los valores que nosotros consideremos más oportunos para cada apartado.

clip_image005

Imagen 3: Creación de plan de energía

Gracias a estas opciones de energía podremos conseguir alargar la vida de nuestro portátil en esos momentos críticos en los que no tenemos una batería a mano y necesitamos acabar con urgencia el trabajo que estamos haciendo en esos instantes.

Además, el usuario final puede recurrir al menú de “Solución de problemas” del “Panel de Control” para conseguir una mejora en el uso de energía, siendo posible dejar al propio Sistema Operativo que aplique automáticamente las medidas correctoras que estime oportunas.

clip_image006

Imagen 4: Recomendaciones para mejorar el rendimiento

Por otro lado, los administradores de sistemas encontrarán herramientas que les ayudarán a realizar un rápido diagnóstico de las cuestiones energéticas con el fin de poder planificar los posibles cambios necesarios.

Una de las herramientas es “powercfg”, que permite generar informes con la información del consumo de energía de manera detallada.

Entre la información que proporciona tendremos la relativa a las configuraciones deficientes en cuanto a consumo energético se refiere tales como planes energéticos que consumen demasiada energía, configuraciones deficientes de suspensión, procesos que ocupan gran parte del tiempo de procesamiento de la CPU (lo que indica que hace a la CPU requerir mayor potencia y, por tanto, energía), etc.

De todos modos, para aquellos que se encuentren interesados en ampliar esta información, se encuentra disponible en el Portal de Springboard un vídeo titulado “Power Management in Windows 7 Options” donde se trata este mismo tema.

Por último, os dejamos la dirección del Canal RSS de Windows Técnico para que os podáis suscribir y seguirnos día a día.


Escritorios maqueros… profesionales

Aquí estamos otra vez, queridos lectores, como todos los jueves, con el repaso a algunos de vuestros espacios maqueros. Llegamos dispuestos, una vez más, a satisfacer vuestras ansias de Escritorios Maqueros y esta vez traemos los escritorios más profesionales… al menos uno de ellos, que causa auténtico vértigo.

Para empezar, el primer espacio de hoy pertenece a Patxi Villegas quien parece tener un estudio de grabación o edición musical (mejor que nos lo cuente él en los comentarios).

5592559759 f0decebf00 b 800x533 Escritorios maqueros... profesionales

Centrémonos en los productos de la manzana, porque hay muchísimos objetos interesantes repartidos por la habitación. Un iMac luce en primer plano conectado a un Apple Cinema Display (no consigo adivinar el tamaño del iMac, ¿me ayudáis?). A la derecha de la mesa, una auténtico monstruo nos mira de frente en plan desafiante, se trata de un MacBook Pro de 17” con Core i7 y 8GB de RAM. Apuesto a que no hay programa ni aplicación que se le resista.

Continuemos con el siguiente escritorio de hoy, perteneciente a Pablometalcd quien nos muestra una esquina coqueta llena de productos de la manzana.

5601125450 da30413c9a b 800x600 Escritorios maqueros... profesionales

Antes de que lo digáis vosotros lo voy a decir yo: “no, así no es como luce su escritorio habitualmente” su espacio es mucho más modesto, pero en esta foto están todos los productos de Apple que posee (en su galería podéis ver la composición habitual). Él mismo nos los presenta:

Mi escritorio maquero, tal y como se usa habitualmente consta de un iMac 2009 21,5” Core 2 Duo a 3,06MHz, con un iPhone 4 de 32GB, y una Time Capsule de 1TB para copias de seguridad. Veis la simplicidad, que la agradezco mucho diariamente en el escritorio. El teclado es numérico y de cable. Un Magic mouse. He tratado de reducir y unir los cables para que el escritorio sea lo más limpio posible.

Para terminar, el iPad 2, el ipad (ambos de 32GB con 3G), el Apple TV 2, el iPhone 4, el iPhone 3GS, el iPhone original… Lógicamente esto no lo utilizo todo a la vez, no tengo manos ni pies… el iPad 1 está empaquetado porque me parece que ya tiene nuevo dueño…

¿Qué os parecen los escritorios de hoy? Ya sabes, si tú también quieres compartir tu escritorio con nosotros solo tienes que subir una foto de tu escritorio (evita por favor las imágenes demasiado oscuras y agradecemos la naturalidad) al grupo AppleWeblog en Flickr, con el tag “escritorios maqueros”. Añade después algún comentario útil para los que quieran saber de ti, como la forma en que conociste Apple y qué es lo que compone tu escritorio. ¡Te esperamos!


Binarios para desayunar

 

Como ya sabéis desde hace tiempo llevamos organizando los ‘wargames’ de Campus Party e incluso lanzamos nuestro primer Wargame internacional hace relativamente poco.
Llevamos tiempo prometiendo que liberaríamos algunas de las pruebas para aquellos que en su momento no pudieron participar y hoy ha llegado ese día.
Las pruebas que vamos a liberar son de tipo ‘binarios’ y la dificultad va in crescendo, la primera es bastante sencilla, la segunda tiene mas dificultad y la tercera es mas dura .
Problemas de tiempo
Esta prueba formó parte del reto Campus Party 2009 y la lógica es la siguiente: Tenemos un binario compilado que debe liberar un token, el problema es que solo liberará dicho token en una fecha determinada (y posterior a la actual).
Para asegurarnos que el binario se ejecutaba en el host donde debía ejecutarse (y no fuera tan fácil como descargarlo y ejecutar en una maquina cambiando la hora …) debes crear el fichero /tmp/matrixhasyou para simular el entorno confiable donde debe ejecutarse.
El código fuente de la prueba se puede descargar aquí
Compilación: gcc -static timetoken.c -o timetoken
Crackme ‘old school’
Este es el típico crackme donde se debe ‘reversear’ el binario en busca del token, lo suyo es compilarlo con -static para meter mayor cantidad de ruido y hacer que el comando strings emita muchos datos.
El fuente de esta prueba aquí.
Compilación: gcc -Wall -O2 –static -pthread passCP.c -o passCP
Crypto al revés
Esta prueba, del Wargame I, generó infinidad de correos electrónicos preguntando ‘si estaba bien’ porque el planteamiento es un poco diferente a lo normal. En este caso, del binario debes ser capaz de obtener un string cifrado y convertido en base64 y la clave para descifrar dicho string. ¿Donde está el problema? En que no se especifica en ningún lado con qué algoritmo de cifrado se ha realizado el proceso.
El binario se ofrecía ‘roto’ ya que faltaba una librería llamada libSbD.so.1 que era la que contenía la información sobre los algoritmos empleados. Se pedía como solución que se entregase una librería que hiciera funcionar el binario
Mucha gente resolvió el problema haciendo fuerza bruta … de algoritmos para descubrir cual se estaba usando.
Para jugar esta prueba, compila todo el fuente (binario y librerías) y luego ‘borra’ libSbD.so.1 para tener el binario exactamente a como se entregaba a los participantes
El fuente de la prueba se puede descargar aquí
Compilación:
(la librería compartida)

gcc -c -fPIC libSbD.c -o libSbD.o

gcc -shared -Wl,-soname,libSbD.so.1 -o libSbD.so  libSbD.o

(El binario en si )

gcc bin02.c -o bin02 -L. -lSbD -lssl -lcrypto -pthread

ln libSbD.so libSbD.so.1
(Para ejecutarlo)

export LD_LIBRARY_PATH=`pwd`

./bin02

Esperamos que este material resulte didáctico, tanto para los valientes que compilen y jueguen como para aquellos que simplemente tengan interés en ver el código

Nuevo método para esconder la información

Hard Drive

La codificación de la información ha estado presente en nuestras vidas durante mucho tiempo. En la era digital en la que vivimos, la privacidad de los datos juega un papel importante en la mayoría de las transacciones que realizamos diariamente.

Normalmente, la técnica utilizada consiste en codificar la información a partir de un cierto algoritmo, sin embargo, un grupo de investigadores de la University of Southern California junto a un equipo del National University of Science and Technology en Islamabad (Pakistan), han publicado un nuevo método revolucionario:fragmentar la información y manipular la localización física de estos fragmentos a lo largo del disco duro.

El sistema mostrado como ejemplo utiliza un disco duro de 160 gigabyte para almacenar un mensaje de tan solo 20 megabyte (apenas un 0,01% de la capacidad del disco). Este nuevo método codifica el orden en que se almacena en la información, de tal forma que recuperar la información sin conocer el orden correcto se antoja complicado.

¿Pero cuál es la gran ventaja de este método? Simplemente esconder la información. En los tradicionales algoritmos de codificación, cuando el atacante analiza unos datos puede ver facilmente que existe una información codificada. Por lo que puede emplear diferentes técnicas o utilizar la conocida fuerza bruta para intentar extraer los datos. La gran ventaja de esta nuevo método radica en que aparentemente en el disco duro no existe “ninguna información” importante, sólo un conjunto de bytes colocados de forma aleatoria. Así, la información podría pasar inadvertida para el atacante. Es aquí donde aparece la elegante disciplina conocida como la esteganografía: la práctica de ocultar mensajes u objetos dentro de otros para que pueda pasar desapercibida.

Vía | NewScientist


Migra tu correo a la nube con Quest Migrator for Cloud Email I de II

Hoy vamos a mostraros una aplicación que consideramos un tanto interesante para todos aquellos que os encontréis desarrollando un plan de migración de un entorno on-Premises a un entorno on-Cloud basado en Microsoft Live@Edu, Business Productivity Online Services (BPOS) o la nueva plataforma Office 365. Cuando llegue la hora de migrar el correo electrónico, vais a tener que plantearos cual es el mejor mecanismo para hacer frente a dicho reto. Es en este caso, donde deseareis contar con una herramienta como la que vamos a mostraros hoy. Para ello, vamos a descargarnos Quest Migrator For Cloud Email desde la página de descarga de Quest. Una vez cumplimentemos el registro previo para poder descargarnos la utilidad, procederemos con el proceso de instalación.

El proceso de instalación de Quest Migrator for Cloud Email tan solo nos pedirá como requisitos tener instalado Microsoft Outlook y un repositorio Microsoft SQL Server. En mi caso he procedido a descargarme e instalarme gratuitamente Microsoft SQL Server 2008 R2 Express con servicios avanzados.

image

Imagen 1: Requisitos de instalación de Quest Migrator for Cloud Email

En cuanto tengamos instalado el producto, nos remitiremos al mismo a través del enlace Quest Migrator For Cloud Email, disponible en el menú Inicio de Windows. Una vez iniciada la aplicación, el primer paso consistirá en crear un nuevo proceso de migración a través de la opción de menú New disponible en el entorno.

image

Imagen 2: Nuevo asistente de migración desde Quest Migrator For Cloud Email

Una vez iniciado el asistente, lo primero que tendremos que indicar es un nombre identificativo al proceso de migración, en nuestro ejemplo, Migración Outlook, y pulsar el botón Next.

image

Imagen 3: Nombre de grupo para la migración

A continuación vamos a indicar el origen de correo de nuestro proceso de migración, teniendo como proveedores disponibles para migrar orígenes de Outlook (mediante archivos *.pst), Google Apps o Microsoft Exchange 2000, 2003, 2007 o 2010. En nuestro ejemplo, vamos a seleccionar un archivo de Outlook PST. Los archivos PST contienen los correos electrónicos de una cuenta de usuario específica.

image

Imagen 4: Proveedores de correo disponibles a migrar

En el siguiente paso indicaremos el archivo de almacenamiento PST de Outlook a migrar y en el caso de que dicho archivo estuviera protegido, su correspondiente contraseña.

image

Imagen 5: Archivo de almacenamiento de Outlook a migrar

Ahora tan solo queda especificar en el asistente de migración el servicio a utilizar de destino. En nuestro caso, vamos a seleccionar Office 365/BPOS. La plataforma Office 365 se encuentra actualmente en fase beta, pero va a ser el objetivo final de nuestro proceso de migración.

image

Imagen 6: Servicio de destino a utilizar en el proceso de migración

Seguidamente, procederemos a configurar la dirección de correo de destino de Office 365 y la correspondiente clave de acceso. En nuestro caso hemos procedido a establecer la cuenta de correo disponible para Office 365 y su correspondiente password.

image

Imagen 7: Dirección de correo de destino de Office 365

Seguidamente especificaremos el servicio de autodescubrimiento, el cual utiliza la dirección de correo de destino para localizar la ubicación del buzón de correo de destino. Como este servicio es proporcionado por la plataforma Office 365, seleccionaremos la opción Use Autodiscover service.

image

Imagen 8: Especificación del servicio de autodescubrimiento

Como paso final, sólo queda especificar los elementos que deberán ser migrados. En nuestro ejemplo, hemos decidido migrar todo el correo, los elementos de calendario y los contactos disponibles que se encuentren en nuestro archivo de correo de Outlook.image

Ya solo queda realizar una rápida prospección al resumen de opciones configuradas para proceder a ejecutar el proceso de migración.

image

Imagen 10: Resumen final de la configuración realizada

Con este paso finalizamos el proceso de configuración del asistente de Migración. En el próximo post ejecutaremos el proceso de migración y realizaremos las comprobaciones pertinentes desde la plataforma Office 365  sobre el correo, los contactos y el calendario migrado. Recuerda que puedes descargarte esta aplicación y muchas otras desde la página de descarga de Quest. Y no te olvides de suscribirte al canal de noticias RSS de Windows Técnico para recibir noticias como esta.

————————————————————————————————————————-
Migra tu correo a la nube con Quest Migrator for Cloud Email I de II
Migra tu correo a la nube con Quest Migrator for Cloud Email II de II
————————————————————————————————————————-

rsswindowstecnico


Android+Skype – All your data are belong to us

 

El pasado viernes la conocida empresa Skype confirmaba en su blog los rumores sobre la posibilidad de tener acceso a los datos de carácter privado almacenados por la aplicación en dispositivos Android.
El problema aún se agrava más si tenemos en cuenta que estos datos no están cifrados, por lo que cualquier podría utilizarlos sin mayor problema para fines delictivos.
Nuevamente volvemos a encontrarnos ante el problema de infectar aplicaciones de terceros en las que incluir el código malicioso para robar los datos.

Introducción

El objetivo de esta entrada es analizar cómo está desarrollado el exploit para vulnerar la privacidad de los usuarios y hacer un pequeño repaso al tema de análisis forenses a dispositivos android para dejar entrever algunas de sus deficiencias.
Como requisitos previos será necesario disponer de acceso root al teléfono, para ello podemos guiarnos de la aplicación SuperOneClick y tener instalado el SDK para hacer uso del Android Debug Bridge (ADB).

Skypwned

Cuando instalamos Skype y establecemos conexión por primera vez con nuestra cuenta, en la jerarquía de carpetas de la instalación se crea una nueva con nuestro nombre de usuario, y se almacenan ahí todos los ficheros como contactos, perfil, logs de las conversaciones mantenidas y bases de datos sqlite3
El problema viene con la forma de otorgar los permisos, donde hacen posible la lectura y escritura de todos los ficheros para cualquier usuario. De esta forma es relativamente sencillo conseguir acceso remoto a través de cualquier aplicación a las carpetas deseadas, hacer una copia y enviarlas a otro lugar donde tratar la información más detenidamente.
# ls -l /data/data/com.skype.raider/files/arriba_laesteban
-rw-rw-rw- app_62  app_62    331776 2011-04-16 00:08 main.db
-rw-rw-rw- app_62  app_62    119528 2011-04-16 00:08 main.db-journal
-rw-rw-rw- app_62  app_62     40960 2011-04-14 14:05 keyval.db
-rw-rw-rw- app_62  app_62      3522 2011-04-15 23:39 config.xml
drwxrwxrwx app_62  app_62           2011-04-14 14:05 voicemail
-rw-rw-rw- app_62  app_62         0 2011-04-14 14:05 config.lck
-rw-rw-rw- app_62  app_62     61440 2011-04-15 00:08 bistats.db
drwxrwxrwx app_62  app_62           2011-04-14 21:49 chatsync
-rw-rw-rw- app_62  app_62     12824 2011-04-14 14:05 keyval.db-journal
-rw-rw-rw- app_62  app_62     33344 2011-04-14 00:08 bistats.db-journal
Para demostrar el impacto, AndroidPolice desarrolló un pequeño POC llamado Skypwned. El APK (e788c146fbeaf4152d57c12711c4bdbd ) presenta la siguiente estructura una vez desempacado y pasadodex2jar y JAD:
sebas@Helios:~/Android/research/Source_Code_JAD$ tree .
.
|-- a.jad
|-- b.jad
|-- c.jad
|-- d.jad
|-- e.jad
|-- f.jad
`-- Main.jad

0 directories, 7 files
El trozo de código qué aprovecha este fallo podéis verlo aquí. Básicamente busca ficheros específicos yreserva memoria para varios strings donde se forman las consultas para lanzarlas a la base de datos y sacar así los datos que nos interesan : información de los contactosperfileslogs, y demás. El fallo, está presente en varias compilaciones de la aplicación también, aquí si las cosas se hacen mal, que sean desde el principio
El problema viene ante la posibilidad de un vector de ataque en el que se utilicen aplicaciones de terceros para inyectar ese trozo de código, empacar el APK de nuevo y lanzarlo al market. Provocando así unainfección masiva que revele los datos privados de cientos de usuarios. Incluido el número de la tarjeta de crédito en caso de que se tenga asociada a la cuenta de Skype así como los logs de las conversaciones.
Supongamos que por un casual fuese Google el que tiene este fallo, y es su aplicación de Google Talk la que tiene este problema y deja expuestos los de sus usuarios, números de teléfono y agenda de contactos. Sería un desastre ¿verdad?.
El POC en funcionamiento podéis verlo en este vídeo realizado por AndroidPolice:

¿Dónde está el problema?

Analizando más detenidamente el núcleo del error, nos damos cuenta de que se han producido tres fallos esenciales de cierto calibre:
  • No se han aplicado correctamente las políticas de los permisos, dejando datos de importancia a la vista de los más curiosos. La solución a esto es bastante clara, otorgar las restricciones pertinentes.
  • Los datos son almacenados sin aplicarse ningún esquema de cifrado, de forma que el usuario que tenga acceso a ellos se lleva el premio gordo. Esto sigue siendo uno de los principales problemas desde mi punto de vista, se hace necesaria una capa de protección que cifre el contenido importante del teléfono.
  • Toda aplicación antes de ser lanzada, ha de pasar por unos mínimos de calidad. Estos problemas se hubieran evitado si se hubiera realizado un análisis exhaustivo de la misma antes de hacerla pública. Un mal ejemplo que deja en evidencia una empresa importante como Skype.
Evidentemente todo esto podría haberse evitado, ¿pero es un error que sólo comete Skype?

A mí las cosas me gustan claras

Podríamos pensar que esto es un hecho aislado y que está todo bajo control, pero si nos aventuramos a realizar un forense al teléfono podemos llevarnos más de una sorpresa. ¿Están nuestros datos protegidos?.
Para llevar a cabo nuestro análisis vamos a utilizar el SDK de Android que trae consigo la herramienta ADB. Otra opción es también montar un servidor SSH en el teléfono con la aplicación QuickSSHd y conectarnos en remoto desde un equipo, pero las transferencias al realizar movimientos de ficheros son más lentas.
Para ver los dispositivos conectados utilizamos:
sebas@Helios:~/Android/sdk/platform-tools$ ./adb devices
List of devices attached
emulator-5554 device 
HT07DP800223 device
En este caso estoy corriendo un Nexus One con id HT07DP800223 y un emulador para las pruebas. Vamos a centrarnos en el primero.

Estructura interna

Cuando levantamos una shell a nuestro teléfono y solicitamos un listado del directorio raíz observamos:
sebas@Helios:~/Android/sdk/platform-tools$ ./adb -s HT07DP800223 shell
$ ls
config
cache
sdcard
acct
mnt
d
etc
system
sys
sbin
proc
init.rc
init.mahimahi.rc
init.goldfish.rc
init
default.prop
data
root
dev
Si echamos un vistazo a cómo está montado el sistema de ficheros:
$ mount
rootfs / rootfs ro,relatime 0 0
tmpfs /dev tmpfs rw,relatime,mode=755 0 0
devpts /dev/pts devpts rw,relatime,mode=600 0 0
proc /proc proc rw,relatime 0 0
sysfs /sys sysfs rw,relatime 0 0
none /acct cgroup rw,relatime,cpuacct 0 0
tmpfs /mnt/asec tmpfs rw,relatime,mode=755,gid=1000 0 0
none /dev/cpuctl cgroup rw,relatime,cpu 0 0
/dev/block/mtdblock3 /system yaffs2 ro,relatime 0 0
/dev/block/mtdblock5 /data yaffs2 rw,nosuid,nodev,relatime 0 0
/dev/block/mtdblock4 /cache yaffs2 rw,nosuid,nodev,relatime 0 0
/sys/kernel/debug /sys/kernel/debug debugfs rw,relatime 0 0
/dev/block/vold/179:1 /mnt/sdcard vfat rw,dirsync,nosuid,nodev,noexec,relatime,uid=1000,gid=1015,fmask=0702,dmask=0702,allow_utime=0020,codepage=cp437,iocharset=iso8859-1,shortname=mixed,utf8,errors=remount-ro 0 0
/dev/block/vold/179:1 /mnt/secure/asec vfat rw,dirsync,nosuid,nodev,noexec,relatime,uid=1000,gid=1015,fmask=0702,dmask=0702,allow_utime=0020,codepage=cp437,iocharset=iso8859-1,shortname=mixed,utf8,errors=remount-ro 0 0
Podemos observar que existen varios puntos de montaje en distintos mtdblocks para cada directorio importante en nuestro teléfono. Así tenemos:
  • /system en /dev/block/mtdblock3
  • /cache en /dev/block/mtdblock4
  • /data en /dev/block/mtdblock5
En caso de tener una tarjeta SD externa vemos como esta es montada en /sdcard.
Este subsistema de ficheros es conocido como Memory Technology Devices (MTD) y se caracteriza por embeber y dividir el sistema en un medio flash a diferencia de dispositivos de bloque tradicionales como podemos encontrar en cualquier equipo corriente. Llegados a este punto observamos que la nomenclatura utilizada es muy tradicional a los discos IDE o SATA, siendo en este caso utilizada /dev/mtd*
Si queremos obtener más información podemos consultar el /dev y obtenemos:
$ ls /dev/mtd*
mtd5ro
mtd5
mtd4ro
mtd4
mtd3ro
mtd3
mtd2ro
mtd2
mtd1ro
mtd1
mtd0ro
mtd0
Podemos distinguir para cada dispositivo que tiene asociado un ro (Read Only) Por lo que si deseamos hacer una correlación y traernos al equipo el punto de montaje a analizar tendrá que ser aquel que no sea de lectura sólo, para ello utilizaremos el comando dd:
# dd if=/dev/mtd/mtd5 of=/sdcard/data/mtd5.img bs=2048
100480+0 records in 
100480+0 records out
205783040 bytes transferred in 108.504 secs (1896547 bytes/sec)
Nos traemos el fichero a nuestro entorno de trabajo con el comando pull:
sebas@Helios:~/Android/sdk/platform-tools$ sudo ./adb pull /sdcard/data/mtd5.img /home/sebas/Android/research/mtd5.img
1799 KB/s (205783040 bytes in 111.650s)
Ahora podemos comenzar la investigación buscando strings que nos revelen información como claves, base de datos o nombres de usuarios:
sebas@Helios:~/Android/research$ strings -a ./mtd5.img | grep databases | more

...
/data/data/com.android.providers.contacts/databases/contacts2.db-journal
/data/data/com.google.android.gsf/databases/talk.db-journal
/data/data/com.google.android.gsf/databases/talk.db-mj157DA2E7
...
Sabemos que en el directorio /data/data vamos a tener todas aplicaciones instaladas con sus respectivas bases de datos. Será más fácil para trabajar traernos todo el directorio al completo a local.

Facebook, Tuenti, Youtube, Google Apps, MMS, contactos, Tweetdeck. Toda la información de acceso se encuentra en sus respectivas bases de datos, aunque algunas están vacías porque nunca he acabado usando la aplicación. ¿Qué pasaría si perdiésemos nuestro teléfono?

Por ejemplo Tuenti:

A pesar de que nuestro password está cifrado utilizando MD5, sería relativamente cuestión de tiempo y GPU realizar un ataque de fuerza bruta o combinado con diccionarios para romper la clave.
Más ejemplos así podemos encontrarlos en Facebook:

Otras veces no es ni necesario consultar a la base de datos, podemos encontrar en shared_prefs un fichero XML en el que se incluye información interesante.
Por ejemplo este caso de la aplicación Delicious:


Si piensas que únicamente sucede con las aplicaciones, miremos los SMS a ver cómo se muestran:

Conclusiones

Cada vez es más habitual que los usuarios de smartphones lleven su vida digital sincronizada a su teléfono con el considerable volumen de información que ello conlleva.
Emails, redes sociales, agendas, contactos, calendarios, son expuestos automáticamente en caso de perder el dispositivo. Alguien con bajos conocimientos puede perfectamente extraer todos los datos que le interesen y utilizarlos como mejor le convenga.
El problema no viene evidentemente del usuario, sino de los propios desarrolladores que permiten utilizar sus aplicaciones sin forzar el uso de cifrado y contraseñas.
Diversos motivos son los que mantienen enfrentados a detractores y defensores, ¿Es necesario realmente proteger nuestros datos?¿A qué coste?¿Cifrado completo o parcial de los datos?¿Compensa tener más cercana nuestra vida digital sabiendo el peligro que corremos?
De soluciones se ha hablado mucho, utilizar sqlitecrypt, cifrar los datos que se almacenan en la BD y utilizar una clave maestra para descifrarlos cuando se sirvan a terceros, lvm-crypt. Pero nunca se llega a un acuerdo entre eficiencia y rendimiento.
En lo personal, creo que a día de hoy, nuestros teléfonos son los sustitutivos de nuestros equipos personales cuando no nos encontramos en casa, el trabajo o dónde sea. Y cada vez el flujo de datos e información que es manejado es mayor, aumentando así la responsabilidad en la protección y cuidado de los mismos. Un claro ejemplo podemos citarlo con Blackberry cuyas comunicaciones van cifradas. ¿Cuánto tiempo pasará hasta que se sucedan los típicos leaks?


———
Contribución por Sebastián Guerrero

Si te roban el disco, que no te roben los datos

Si eres un amante de la seguridad y te gusta elegir los componentes de hardware que compondrán tus estaciones de trabajo o tus servidores, Toshiba ha lanzado al mercado una nueva familia de unidades de disco duro (serie MKGSYC) que incorporan tecnología de autocifrado Self-Encrypting Drives (SEDs), basada en cifrado AES de 256 bits, orientados a impedir el acceso no autorizado a datos sensibles o de carácter confidencial.

En las especificaciones técnicas para estas maravillas vamos a encontrar un total de cinco modelos disponibles en dicha serie que cuentan con capacidades de almacenamiento que van desde 160Gb a 640Gb, formato de 2,5 pulgadas, interfaz SATA-II 3 Gbps, 16 Mbytes de memoria caché, velocidad de rotación de 7.200 revoluciones por minuto y 12 milisegundos de tiempo de búsqueda.

Otra de las características incorporadas con las que disfrutareis es la llamada tecnología Wipe, la cual proporciona un mecanismo que posibilita la capacidad de borrar los datos de manera segura cuando se produzca una caída del sistema o un intento de robo de datos.

image

Imagen 1: Modelo MK6461GSYC con Wipe Technology

Además, estas unidades cuentan con la funcionalidad Secure Automatic Data Invalidation (ADI), lo que os va a permitir configurar una programación automática de anulación de acceso a los datos cuando la unidad está apagada o cuando se conecta a un host no autorizado en otro sistema, eliminando la clave de cifrado en dicho proceso e impidiendo que se produzca el acceso a los datos.

imageImagen 2: Especificaciones técnicas de la serie MKGSYC

Estas funcionalidades garantizan la seguridad frente a una posible pérdida o robo de un equipo proporcionando cumplimiento a la normativa Opal Security Subsystem Class (Opal SSC) del Trusted Computing Group (TCG). El Grupo para la Informática Fiable (Trusted Computing Group – TCG) es una alianza promovida por algunas de las principales empresas del sector informático y tecnológico entre las que encontramos Microsoft, Intel, IBM, HP, y AMD, las cuales promueven un estándar para un ordenador “más seguro”.

La orientación dada por parte de Toshiba para esta serie de discos duros ha sido inicialmente la de utilizarlos en aplicaciones de terceros especializadas, como puedan ser en el uso de impresoras multifunción con gestión de memoria caché, donde se requiera de conservar imágenes de faxes y documentos impresos. Otro foco apunta a su utilización en terminales punto de venta específicos.

Aunque la gente está tomando en serio la seguridad, la incorporación de cifrado de unidad es muy pequeña“, comunicó el gerente de producto destinado en la división de Toshiba Storage Device, Scott Wright. “Esto es fácil de usar. Es instalar y olvidar. Los proveedores de sistemas digitales reconocen la necesidad de ayudar a sus clientes a proteger datos confidenciales de fuga o robo. La tecnologías de seguridad de Toshiba ofrecen diseños de fotocopiadoras, impresoras, computadoras y otros sistemas con nuevas capacidades para ayudar a resolver estos importantes problemas de seguridad” informó Wright.

Maravillosa idea, sin duda, la de incluir un mecanismo de autocifrado y de autoeliminado por parte de Toshiba frente a pérdidas o robos indeseados ¿No os parece?. Recuerda suscribirte al Canal RSS de Windows Técnicopara recibir noticias como esta.rsswindowstecnico


Notificaciones de Hotmail en la barra de tareas

Poco a poco van apareciendo nuevas funcionalidades que demuestran la interoperabilidad de Internet Explorer 9junto con Windows 7. Una de estas nuevas funcionalidades son los Pinned Sites, de los cuales ya se escribió extensamente en este mismo blog. A modo de resumen, esta característica permitía anclar sitios web a la barra de tareas de Windows 7, y a partir de ese momento funcionar como una aplicación instalada en el propio sistema operativo, ya que permite realizar tareas propias del sitio web desde esa barra de tareas.

Para realizar esas tareas, el sitio web debe permitirlo agregando unas líneas de código HTML donde se habiliten las diferentes acciones que se quiere que aparezcan en las Jump List de la aplicación anclada. Ya hay servicios, como por ejemplo, Twitter o Facebook que han agregado esta funcionalidad.

clip_image001

Figura 1: Pinned Site de Facebook

Pero desde Microsoft van un poco más allá en el aprovechamiento de esta nueva funcionalidad, ya que desde hace unos pocos días es posible recibir notificaciones de la cantidad de correos electrónicos no leídos de nuestra cuenta de correo Hotmail en el sitio anclado en la barra de tareas. Para disponer de esta característica, es necesario iniciar sesión en Hotmail y entrar en la bandeja de entrada de correo. Una vez ahí, para anclar el sitio a la barra de tareas, se tendrá que arrastrar el icono que aparece en la parte izquierda de la barra de direcciones a la barra de tareas de Windows 7, donde aparecerá un sobre naranja.

clip_image002

Figura 2: Pinned Sites Hotmail

Desde este momento, cada vez que se hace clic en ese sobre naranja, se abre directamente la página principal de Hotmail, siempre y cuando hayamos guardado la contraseña y el inicio de sesión sea automático, en caso contrario sería necesario autenticarse. Así mismo, si se hace clic con el botón derecho sobre ese mismo icono, aparecerán opciones como acceder a la bandeja de entrada o enviar un correo electrónico, entre otras.

Pero la gran novedad viene dada por el hecho de que sobre ese icono ya comentado, el sobre naranja, aparecerá el número de correos electrónicos sin leer que haya en la bandeja de entrada desde el último acceso a Hotmail.

clip_image003

Figura 3: Notificación de correo electrónico

Y esta es solo una muestra de lo que puede llegar a ofrecer Internet Explorer 9 con HTML5 junto a Windows 7, ya que se oyen rumores de nuevas funcionalidades, y que si queréis conocer de primera mano, no olvidaros de subscribiros al canal RSS de Windows Técnico


World’s First Social Headphones Offer Spectacular Sound

Today we don a pair of flashy headphones and give them a close listen. Billed as “the first social headphones” because of their integrated duo jack, these $170 cans were designed by the same sound engineer who created the Monster Cable “Beats.” We so happen to also have a pair of the Beats Studio by Dr. Dre headphones on hand, so let’s compare the two.

Stifling our giggles at its anatomical-sounding Fanny Wang brand name, it didn’t take us long to get used to these garish red phones, affectionately dubbed by their maker as “On Ear Wangs.” Given that name and their shiny fire-engine-red hue, be prepared for ridicule if you hang out with jokesters. If their ribbing gets to be unbearable, just let them listen to these headphones for a few seconds, and their snide remarks will soon diminish. If it’s just that red color that’s bothering you, they’re also available in white or black with red trim.

Social, indeed. That extra jack included in the detachable cable turned out to be a boon for us in testing. We plugged both the Wangs and our Beats Studio headphones into the two jacks, and noticed that regardless of whether one or two pairs were plugged in, there was no diminishment of the sound. Even though adaptors are easy to find that let two people listen to the same source, including that extra jack in the cable is a lot more convenient, and assures you you’ll always have that capability when you want someone else to hear that great song you’re listening to. Excellent idea, especially for us socialites.

To be fair, let’s point out that the Beats Studio headphones are over-the-ear style, while these Wangs are on-the-ear, not completely enclosing your ear as the Beats do. Fanny Wang also offers an over-the-ear style, and Monster Cable offers on-ear Beats headphones as well.

The fact that the Beats headphones are completely enclosed should have given them an advantage in sound isolation. Surprisingly enough, the Beats still sounded louder to people standing next to me than the Wangs did. By the way, both are highly efficient, creating tremendous volume from an iPhone 4 cranked up to 11.

Sound advice. How did the sound of the two pairs of headphones compare? Even though the Beats headphones retail for $350 (commonly available for between $250 and $300), their sound was only slightly better than these On Ear Wangs. Both have remarkable sound quality, with seriously accurate and powerful bass, lifelike presence in the midrange and some of the crispiest highs I’ve ever heard. However, the thunderous tightness of the Beats’ bass touches the edge of what I call the “scary zone,” nearing the point where the smacking thump of the bass drum sounds like it’s happening right there in the room, almost making me jump.

On the other hand, the Wangs are more travel-ready, folding up into baseball-sized package that will fit into even a thoroughly packed carry-on, and they don’t require batteries like the Beats do. Do the Beats sound $130 better than the Wangs? No. Do they almost look the same? Yes, making me think there was a good reason forMonster Cable and Beats Electronics to sue Fanny Wang Headphone Company just before CES 2011, attempting to prevent the company from showing its wares on the show floor. But according to Fanny Wang, a judge denied Monster’s request for a temporary restraining order, because “convincing evidence of infringement was not proven.”

They’re brothers. Not only do the two headphones look alike, they sound nearly alike too. That makes sense, considering that the same engineer designed both of them. Consumers are the winners here, because for $120 less, you can get almost the same sound and a similar appearance, with a more-portable pair of earphones. A bonus is the dual cable that really does make the Wangs more social.

I think these Fanny Wang On Ear headphones are excellent, well worth the $170 and your consideration.

Fire-Engine Red

if you’re looking for flashy headphones, you’ve found them here.

Full View

Notice there’s no cable? It’s detachable, and it has a springy, almost organic feel.

Signature

Fanny insists on her signature in five places, and I like that large L there, easy to spot when you’re putting on the cans.

Comfortable

They’re comfortable, even for extended listening sessions. Thanks to my lovely wife for posing for this one.

Dual Jack

The included cable has an extra jack that lets a friend plug in and listen to the same source you’re listening to. And it doesn’t even diminish the sound at all. Good idea.


El protocolo FTP cumple 40 años

sesion-ftp

El pasado 16 de abril se han cumplido 40 años de existencia del protocolo FTP (File Transfer Protocol), protocolo de transferencia de archivos en español. No deja de ser sorprendente que en un mundo tan cambiante y evolucionado como Internet, un protocolo sobreviva nada menos que cuatro décadas.

Como pequeño tributo a esta efemérides, vamos a dedicar la imagen de la semana al protocolo FTP, recordando cómo empezó y con cierta nostalgia, los comandos que se utilizan en un terminal para manejar el protocolo FTP, que siguen siendo de gran utilidad.

Orígenes y evolución de FTP

El protocolo FTP fue propuesto por primera vez por Abhay Bhushan, del MIT, en abril de 1971 como un medio para transferir archivos grandes entre los diferentes sistemas que componían ARPANet, precursora de Internet.

Al estar pensado para un entorno muy cerrado como era ARPANet, la seguridad no fue un factor fundamental. Los comandos, datos del usuario y contraseña viajan en texto plano fácilmente rastreable.

La única medida implementada en este sentido fue el establecimiento de números de puerto aleatorios que se utilizaban para las conexiones, para dificultar el uso de rastreadores que escuchaban por un puerto específico.

La explosión de Internet como medio masivo de comunicación puso en evidencia la cortedad de miras de la seguridad original. Hasta mediados de la primera década de este siglo, no aparecieron los protocolos cifrados FTPS y SFTP.

Para el público en general, otros medios de transferencia de archivos se han universalizado, como los utilizados en las redes P2P. El protocolo ha mantenido su popularidad en parte debido a que todavía cuenta con algunas ventajas sobre el mucho más reciente del protocolo HTTP, como la capacidad de manejar las interrupciones temporales en las transferencias, que pueden reanudarse tras un corte.

Comandos básicos FTP

La lista de comandos FTP es razonablemente extensa. Vamos a repasar los más básicos, aquellos que permiten descargar o subir ficheros a un servidor o hacer una copia de seguridad de la configuración de un routerADSL.

Hoy en día, prácticamente todos los sistemas operativos traen un cliente FTP de consola aunque poca gente los utiliza. Sobre este cliente elemental vamos a repasar los comandos. Para estos ejemplos he montado un servidor básico FTP.

Una vez dentro de cualquier terminal, escribimos ftp. Si el cliente está instalado, aparecerá un prompt:
ftp>

Para establecer la conexión con el servidor remoto escribimos:
open [nombre del servidor o dirección IP]

Si la conexión se establece con éxito, aparecerán una serie de mensajes precedido en algunos casos de un código numérico, (conectado, bienvenida, estado del servidor, información auxiliar y petición para escribir el nombre de usuario).

Introducimos el nombre de usuario y pulsamos la tecla ENTER. Dependiendo de la configuración del servidor, si el nombre de usuario no está registrado, te conectarás como usuario anónimo si está permitido. En este último caso y en servidores públicos, como Red Iris, la contraseña es cualquier palabra, pero siempre ha sido un signo de cortesía, al menos en el pasado, consignar nuestro correo electrónico.

cliente-FTP-windows

Si ya has introducido la contraseña, que en los clientes normales de consola no ves reflejada de ninguna forma, y el servidor autoriza la entrada, un mensaje de aviso te confirmará que te has autentificado de forma correcta.

Salvo que sepas a la perfección lo que buscas y dónde está, el primer comando que vas a utilizar es:
ls o dir
para conocer el contenido de del directorio raíz del servidor.

Una vez te ha mostrado el contenido, puedes ir navegando por las carpetas mediante el comando:
cd [nombre carpeta] o cdup para subir al directorio superior

En cada acceso con éxito te mostrará la confirmación de que estás en el directorio correcto.

Lo normal en servidores públicos es que sólo se permita navegar y descargar contenidos. Únicamente se pueden crear directorios, borrarlos, subir ficheros o borrarlos con cuentas de usuario especiales.

Puede ser útil decidir el directorio de nuestra máquina que vamos a emplear para contener los ficheros que queremos descargar o subir, para ello utilizamos el comando:
lcd [ruta]

Si ya hemos localizado en el servidor el fichero que nos interesa, para descargar escribiremos:
get [nombre fichero]
esto iniciará la secuencia de descarga.

Si por el contrario queremos alojar un fichero contenido en nuestra máquina en el servidor, utilizaremos el comando:
put [nombre fichero]

Existen comandos para concatenar descargas o subidas, pero los obviamos aquí. Una vez terminada la subida o bajada, lo normal es que se nos muestre información del proceso, tal como tamaño del archivo, tiempo y velocidad de descarga.

Si ya hemos terminado, cerramos la sesión con el comando close y para salir del cliente FTP a la consola,bye. También puedes utilizar el comando quit, que hace ambas cosas, terminar la sesión y salir a la consola.

Como ejemplo, prueba a entrar por FTP dentro del servidor público RedIris (ftp://ftp.rediris.es), aloja muchas distribuciones GNU/Linux y aunque no descargues nada, es un buen ejercicio para probar los comandos y volver por unos instantes a un pasado que está vigente hoy en día.


La fiesta, el badge y la Troopers 2011

 Recientemente he tenido el placer de volver a estar en una de mis conferencias preferidas por lo familiar y lo a gusto – como si fueras una rock and roll star – que te hace sentir el equipo completo de ERNWTroopers 2011[diapos de todas las sesiones]. Enno Rey ha sabido juntar a un grupo de profesionales de la seguridad informática con un espíritu netamente técnico y de amor por la seguridad que se transmite en cada conversación, en cada punto del evento, y en la forma de comunicarte con ellos.

Entre los miembros del equipo puedes encontrarte a están Roger Klose y Matthias Luft, especialistas en virtualización y cloud computing, Dani Mendeespíritu y alma de Loki, que ahora está siendo migrada a Mac OS X o René Graft, al que podéis ver de Co-speaker presentando las novedades de la los ataques L-3 de la herramienta en BlackHat USA 2010, que tuve la suerte de ver en directo.


Enno, transpira a techie por todos los poros, y disfruta hablando a público técnico en conferencias de hacking así que la próxima donde ser subirá al escenario será en la Hack In The Box, donde se ha apuntado a dar otra conferencia en Amsterdam.

En esta ocasión, como han publicado en Cyberhades, repartieron un Badge superespecial a cada asistente y Speaker, al estilo de los badges de Defcon. En este caso lo diseño, artesanalmente, y con el nombre de cada participante en la conferencia, Jeffrey Gough, haciendo un trabajo precioso, tal y como explica él mismo en su blog. La idea del reto consistía en hacer pasar el número, del valor 0 al valor 9, para poder ganar el reto.


Por supuesto, como yo soy un manazas, ni me atreví a tocar el mío, ya que prefiero tenerlo intacto en mi colección particular de Badges espectaculares, en la que se encuentran los de la Defcon 16Defcon 17 yDefcon 18 de speakers.

No sé lo que le habrá costado a Enno conseguir que Jeffrey le haga el badge, pero me parece una idea única para las conferencias de hacking, que hacen que la gente converse estas piezas de colección como oro en paño y siempre se acuerden de ella. Si quieres hacer algo muy especial para tus asistentes puede contactar con Jeffrey, que como él mismo dice: “I can build your idea; please get in touch”.

Además Jeffrey es un tipo divertido y simpático, con el que tuve una anécdota cuando estuvimos cenando y el pobre tiró unas copas. Yo, aproveché para decirle algo como: “No puedo creerlo! El chico del hardware hacking con problemas con las manos”. Y él me contestó: “¡El chico de hardware hacking necesitaba interactuar con el entorno físico!”

Por supuesto, la fiesta final de la Troopers estuvo genial, hay que reconocerle a Enno algo más: además de ser buen técnico, buen anfitrión y dar buenas charlas,… sabe cómo se organizan las fiestas. }:))

Thanks Enno for count on me for your CON!! It´s been a real big pleasure.


SLG 3000 scanline generator brings grimy gaming to modern displays (video)

As diligent as we are about keeping you abreast of absolutely every awesome new gadget that hits the market, every once in a while even we miss a real gem. Case in point: Arcade Forge’s SLG 3000 scanline generator, which gives your seemingly flawless HD display a throwback makeover. As the name suggests, the rather diminutive board acts as a middle man between your VGA compatible device and your TV, bringing back the sweet imperfections that marked early console gaming. The thing enlists a series of DIP switches and a potentiometer for setting scanlines and resolution to your specifications. You can land one of your own at the source link for €50. In the meantime, though, we suggest you check out the video after the break to see why we couldn’t bear to let this one get away — even if it is a few months old.Continue reading SLG 3000 scanline generator brings grimy gaming to modern displays (video)

SLG 3000 scanline generator brings grimy gaming to modern displays (video) originally appeared on Engadgeton Sat, 23 Apr 2011 08:27:00 EDT. Please see our terms for use of feeds.

Permalink Retro Thing  |  sourceArcade Forge  | Email this | Comments


La depredación interestelar podría explicar la Paradoja de Fermi

Artículo publicado el 8 de abril de 2011 en el blog The Physics ArXiv Blog.

Si las civilizaciones alienígenas compiten por recursos escasos, el proceso de evolución puede asegurar que los supervivientes se mantengan tan silenciosos como sea posible.

En una charla informal durante la comida en 1950, el físico ítalo-americano Enrico Fermi propuso una pregunta ahora famosa. Si la vida inteligente ha evolucionado muchas veces en nuestra galaxia y en otras, ¿por qué no vemos signos de ella?

Civilización alienígena
Hay un número de respuestas estándar a esta paradoja. La primera es que la vida realmente es bastante rara y la humanidad es la primera especie en hacerse lo bastante avanzada como para contemplar otras civilizaciones.

Otro argumento es que las especies inteligentes han sido comunes a lo largo de la historia, pero terminan destruyéndose a sí mismas o su hábitat con su propia tecnología, tales como armas nucleares o combustión de combustibles fósiles.

Otra aproximación es que las civilizaciones avanzadas son comunes y tienen conocimiento de nosotros, pero se mantienen ocultas por miedo a perturbar nuestra delicada cultura.

Hoy, Adrian Kent del Instituto Perimeter en Waterloo, Canadá, propone otra posibilidad. Su idea es que las civilizaciones son comunes, que han interactuado muchas veces en el pasado, pero terminaron compitiendo por recursos escasos. Cuando esto sucede, el proceso de evolución, que opera a lo largo de vastas escalas temporales, asegura que los supervivientes aprenden a mantenerse en silencio.

Esta es una idea que no puede descartarse con ligereza. Kent dice que un argumento en contra podría ser apuntar a cómo funciona la evolución en la Tierra. Normalmente funciona en ecosistemas en los cuales las especies se hacen interdependientes en formas muy complejas.

Aunque muchas especies desarrollan formas para camuflarse, no terminan ocultos en aislamiento. Por lo que según esto, los miedos de Kent son infundados.

Pero la evolución a escala cósmica sería muy diferente, comenta. La evolución cósmica debe funcionar a lo largo de vastas distancias y la escasez de recursos ofrecida por los planetas habitables sería muy rara.

Kent lo dice así: “Si los hábitats cósmicos están los bastante separados para que sean difíciles de encontrar, la mejor estrategia, de lejos, para una especie típica implicada en evitar la derrota en tales competiciones puede ser la de evitar entrar en ellas, siendo lo bastante discretos como para que ningún adversario potencial identifique su hábitat como valioso”.

Esto genera importantes preguntas sobre si la humanidad es inteligente al advertir de su existencia. Ya se han realizado varios intentos de enviar mensajes a las estrellas y muchos científicos han señalado que esto podría ser un grave error, incluso uno que lleve al suicidio.

Kent dice que el riesgo es fácil de malinterpretar. Te dejaré con su conclusión:

“Se puede resumir la idea clave de forma bastante simple. Si no hay alienígenas ahí fuera, cualquier esfuerzo de comunicación es, obviamente, una pérdida de tiempo. Por tanto podemos asumir para la discusión que hay alienígenas ahí fuera que reciben nuestros mensajes en algún punto.

“El parámetro relevante, entonces, no es la probabilidad de que nuestros mensajes sean recibidos por alienígenas que podrían hacernos daño potencialmente: Es la probabilidad condicional de que los alienígenas que reciban los mensajes nos hagan daño, dado que los mensajes están siendo recibidos (y comprendidos como mensajes).

“¿Podemos realmente decir que esta probabilidad es tan despreciable, teniendo en mente que tales alienígenas parecen no haber hecho intentos recíprocos de advertir su existencia?

“Los argumentos considerados arriba sugieren que no podemos”.

Para más información sobre la Paradoja de Fermi, puedes visitar el blog Física en la Ciencia Ficción y su serie de Soluciones a la Paradoja de Fermi.


Artículo de Referencia: arxiv.org/abs/1104.0624: Too Damned Quiet
Fecha Original: 8 de abril de 2011
Enlace Original


Dropbox siempre tuvo las claves de desencriptación de nuestros archivos

 

Dropbox es un servicio que nos gusta mucho. Nos permite almacenar online todo tipo de archivos con el fin de tenerlos sincronizados en distintos dispositivos y allá donde estemos, ahorrándonos dicho sea de paso el tener que llevar encima un disco duro portátil o memoria USB. Lo que no nos gusta tanto es su reciente cambio en los términos de servicio, los cuales ponen en entredicho nuestra privacidad de cara a una posible intervención por parte de las autoridades de Estados Unidos, o con el mero hecho de que estas soliciten acceso a nuestros datos almacenados.

El cambio ha provocado que muchos usuarios se pregunten si deberían seguir utilizando Dropbox y ha hecho bastante ruido entre la comunidad blogger de Internet. Tal vez por ello, Dropbox ha decidido aclarar algunas cosas respecto al cambio, y ha publicado en su blog una nota llamada Privacidad, seguridad y tu Dropboxen la que explica, entre otras cosas, por qué los términos de servicio han cambiado.

Para ello comienzan comparando los términos del servicio con los de de Skype, Twitter o la propia Google, exponiendo que como la mayoría de compañías que operan en Internet, Dropbox tiene una serie de obligaciones legales que han de cumplir y por tanto sus cláusulas son similares. ¿Por qué cambiarlos entonces? Según Dropbox, para hacer el servicio más fácil de usar y más transparente.

Tras mostrarnos exactamente la parte que ha cambiado, algo que ya os contamos hace unos días, se pasan a exponer otra serie de puntos en los que se afirma que la prioridad número uno de Dropbox siguen siendo sus usuarios, y se afirma que en el hipotético caso de que algún usuario se vea afectado por la petición de las autoridades de datos presuntamente confidenciales —es decir, archivos almacenados— Dropbox hará todo lo posible por informar al usuario de la situación.

Para terminar, se despejan las dudas sobre una de las partes más delicadas del conflicto: ¿Tiene Dropbox las claves necesarias para desencriptar nuestros archivos? Por supuesto que sí. Recapitulemos. Una de los mayores puntos que dieron fama a Dropbox es que se publicitaban como un servicio que almacenaba nuestros archivos encriptados en sus servidores de una forma tan segura que ni siquiera ellos eran capaces de desencriptarlos ya que no almacenaban las claves para hacerlo. En la nota recogida, se expone lo siguiente:

Mucha gente nos ha preguntado por qué necesitamos desencriptar datos del usuario. La razón principal es que para poder ofrecer muchas de las características del servicio, como el acceso web, previsualización de archivos y opciónes para compartir los mísmos, es necesario desencriptar información, y sin ello no sería posible.

Personalmente, es algo que tenía bastante claro, y creo que se llegó a malinterpretar la publicidad de tan seguros que ni siquiera podemos desencriptar vuestros archivos¿Seguiré utilizando Dropbox? Si. No se puede decir que actualmente almacene información confidencial en mi cuenta, pero hubieran cambiado los términos de servicio o no, tengo claro que si lo que quiero es asegurarme de que solamente yo tengo acceso a mis datos, estos deben almacenarse offline.


ETHERNET EXPOSED: Encuentra tomas de red al descubierto

Os vamos a proponer una especie de juego, en el que esperamos recibir muchas contribuciones por vuestra parte, ahora que resulta tan sencillo el realizar fotografías de gran calidad con dispositivos que tenemos en el bolsillo en cualquier lugar.
No es extraño que, al visitar sitios en los que vamos a estar más de 10 minutos, saquemos nuestro smartphone preferido y nos pongamos a buscar redes wireless. Esperamos que haya alguna abierta, con ESSID “default” o “WIRELESS” y demás, o directamente por curiosidad, por saber qué routers nos rodean.
¿Qué os proponemos? En vez de buscar redes wifi en el exterior o en cualquier local…busquemos tomasethernet, ¡que también tienen su derecho! En vez de buscar routers Wi-Fi colgados como si fueran cuadros  o colocados detrás de botellas de alcohol en algunas bares, miremos al suelo buscando cajetines con su correspondiente toma ethernet.
¿Os creéis que ya no se lleva? ¿Que nadie podría dejar estas tomas al descubierto? A continuación os dejo una imagen, de un conocido restaurante en el que sirven unas bacon-cheese-fries de escándalo, de un cajetín al lado de la caja registradora:

En la siguiente, unos grandes almacenes de ropa deportiva, que riman con triathlon:

Estas tomas pueden encontrarse por ejemplo, en zonas dónde se hayan colocados kioskos virtuales, puestos informativos, servicios online de la propia tienda, cajeros…Yo os pregunto…¿qué creéis que ocurriría si os diese por coger un netbook y conectaros a la red con un cable de red a dichas tomas? ¿Habrá DHCP? ¿Qué mundonos encontraríamos? Si recibimos muchas aportaciones por vuestra parte, quizás podamos introducirnos en el mundo de la seguridad en redes locales, 802.1X…
¡Mandadnos fotos o incluso videos que muestren casos de “Ethernet Exposed“! Ya sabéis nuestra dirección de correo electrónico:

Disponible el acceso público a la beta de la plataforma Office 365

Hasta hace bien poco éramos solamente unos cuantos privilegiados los que teníamos acceso a la beta de Office 365. Con el afán de acercar a nuestra audiencia dicha tecnología, desde Windows Técnico nos decidimos a realizar una serie de post donde mostrar una primera prospección visual y de funcionalidades de cada uno de los componentes incluidos en Office 365. Hoy tengo la satisfacción de comunicaros que desde hace 2 días Microsoft a abierto al público el acceso a la beta de dicha plataforma. Esta beta ha sido muy esperada por muchos de vosotros y ahora ya está disponible para la comunidad.

El anuncio y todos los detalles han sido publicados en el centro de noticias de Microsoft, desde donde podéis acceder a toda la información necesaria en caso de que queráis probar la beta de Office 365.

imageImagen 1: Beta de Microsoft Office 365 disponible al público

Además se ha creado un grupo de Office 365 en Facebook, y un sitio específico para la comunidad de Office 365 que contiene:

  • Community site:  community blog excerpts, Twitter posts, Facebook feed
  • Blogs:  Team blogs
  • Forums: Acceso directo a los foros de este producto, top contributors, discusiones recientes
  • Wikis:   Oportunidades para editar y traducir contenido

Aunque debéis de tener claro que, al estar en beta, parte del contenido está siendo creado ahora.  Así que ya sabéis, para todos aquellos que el concepto de Microsoft Business Productivity Online Services no os es desconocido, podéis probar ahora la beta de la siguiente versión de los servicios de productividad en la nube ofertados por Microsoft. Y mientas pruebas la beta, puedes obtener más información respecto a la plataforma Office 365 desde el sitio de Microsoft Cloud Services. No te olvides de suscribirte al Canal RSS de Windows Técnico para recibir noticias como esta. O si lo prefieres, puedes acceder a las guías del producto para Office 365.

rsswindowstecnico


Usuarios de Android: “Odiamos a Apple”

 Tshirt Android VS Apple 500x500 400x400 Usuarios de Android: Odiamos a Apple

Así de claro y contundente es un estudio realizado sobre una población de algo más de 2.000 personas, realizado por la web bussinessinsider.comEl 55.7% de los usuarios Android preguntados sobre “¿Qué te haría comprar un iPhone?” responde: “Nada. Odio a Apple”.

¿Es que nos hemos vuelto locos? Es probable porque estoy convencido que también habrá usuarios Apple que pensarán lo mismo de Android. Por favor señores, que es tecnología, un producto de consumo. Nada más.

Realmente soy incapaz de entender los prejuicios que tiene la gente hacia tantas cosas, entre ellas la tecnología. Yo, personalmente, me considero afortunado de ser o haber sido usuario de casi cada plataforma tecnológica que ha pasado por mis manos, como usuario continuado en el tiempo. He sido o soy, según el caso, usuario de Blackberry, Android, Windows, Linux (en distribuciones Ubuntu, Red Hat Enterprise y otras más), y por supuesto de dispositivos y ordenadores de Apple.

Y he de decir que todos, absolutamente todos y sin excepción, tienen sus cosas buenas, sus cosas malas, sus cosas regulares… cada uno está pensado y concebido para dar servicio a un sector de usuario diferente ytodos tienen muchas cosas buenas que lo hacen ideal para unos u otros.

Pero, por favor, seamos un poco coherentes y dejémonos de prejuicios. ¿No les gusta X, H o Y? Vale. No los usen, pero de ahí a odiarlo… Hay demasiados problemas importantes en el mundo como para andar peleándose entre manzanas, robots o zarzamoras (entre otros). Tengo la teoría que en muchos casos, la gente usa “el significado social” de las diferentes marcas, para etiquetar un producto tecnológico como una marca social sobre la que volcar sus prejuicios, y eso me parece aún más triste.

among android users most say they will never buy an iphone because they hate apple most of the rest say they would buy an iphone if it worked better with non apple products and theres the risk of the closed system that apple is selling Usuarios de Android: Odiamos a Apple

Aparte de lo comentado, el estudio revela una serie de datos cuanto menos interesantes, que nos hacen una idea de los perfiles de usuarios y sus preferencias. Del mismo estudio se derivan una serie de conclusiones como:

  • El 94’5% de los encuestados dispone de un smartphone, frente al 5’5% restante que tiene un móvil normal, lo que da a entender la importancia que están tomando este tipo de terminales y como acabarán sustituyendo a los móviles tradicionales. Gran parte de la culpa la tienen también las ofertas de las marcas y operadoras, que cada vez ofrecen más smartphones dejando de lado los móviles normales: el pagar una tarifa de datos, además de la voz es algo que resulta muy interesante a las compañías.
  • Android es el líder. Y no me extraña dada su amplia oferta de mercado en modelos, marcas y precios. El sistema de Google es un buen sistema y su abanico de ofertas lo hacen el número 1 de penetración del mercado: 51,4% de usuarios Android frente al 33% de iPhone. 8’3% para Blackberry, 3’1% para Windows Phone 7, 1’6% para Palm y un 2,6% en otros sistemas diferentes.
  • Se demuestra que el ciclo de vida de los terminales está situado en 1-2 años, de forma que cada vez que se cumple este ciclo evolutivo, el 85% de los encuestados planean cambiar su terminal. La culpa suelen tenerla los los contratos de permanencia de 18-24 meses de las operadoras, aparte de términos obvios económicos.
  • La nueva definición de la obsolescencia programada, por la que nosotros mismos generamos la necesidad de tener lo último aunque sea más caro (y lo que ya tenemos no nos sirva) da su fruto. Se comprueba que el 92% de los encuestados cambiarían su terminal por uno más potente y con más prestaciones, aunque fuera más caro, frente sólo al 8% que piensa que compraría uno más antiguo y barato.
  • Cuando echamos un vistazo a la tendencia futura de plataformas a comprar, vemos como Android gana aún más cuota (hasta el 54%) mientras Apple sube un poco (33’6%) y el resto de plataformas pierden inexorablemente las cuotas que tenían. Nos acercamos peligrosamente hacia un mercado “bi-partidista” donde la opción predominante sería Android y la secundaria Apple.
  • El 59’3% de los encuestados, usuarios de Apple, piensan que podrían cambiar a otra plataforma como Android, Windows Phone 7 o Blackberry, si les ofrecieran un terminal que fuera claramente mejor en características clave con respecto a un iPhone. Sólo el 23’8% dice no querer cambiar bajo ninguna circunstancia su Apple iPhone.
  • A la respuesta del 55,7% del odio de los usuarios Android hacia Apple, hay también un curioso 31’2% que contesta que compraría un iPhone que funcionara mejor con aplicaciones y productos que no fueran de Apple. Es una curiosa respuesta, lo que da a entender ese odio hacia Apple como marca, y todo lo que representa.
  • Y la última consideración a tener en cuenta es que la mayoría de usuarios Apple dispone de un iPhone 4 y que la mayoría de ellos, planea o tiene en mente cambiarlo por un iPhone 5 cuando este fuera presentado.

Sin duda resulta más que curioso este estudio. Es claro que la encuesta sobre una población de 2.000 personas (algo más) podría no considerarse muy representativa, pero dados los resultados, creo que no se desvía en exceso del pensamiento y sentimiento general de los usuarios de diferentes sistemas.

Lo que está claro, es que las “plataformas alternativas” como Blackberry, Windows Phone 7, Palm o Symbian,están destinadas a su casi extinción. Personalmente no creo que sea lo mejor, pero el futuro dirá si las cosas cambian.


Mercury Extreme Pro SSD Review

Fast…but there’s not much legroom

The future of the MacBook can definitely be seen in the thin form factor and speedy performance of the MacBook Air — two huge benefits that come in large part from the Air’s onboard flash memory. Unfortunately, you can’t magically turn a MacBook Pro into an Air, but you can swap out a Pro’s platter-based hard disk for the flash memory of a solid-state drive (SSD). To give the MacBook Pro the kind of pep of its thinner sibling, we traded out the stock hard drive for a Mercury Extreme Pro SSD from OWC. In certain circumstances, the performance gains were significant, but we had to trade capacity for speed.

If you care most about performance, the Mercury Extreme Pro can be blazingly fast. In our Photoshop Actions test, the SSD-equipped MacBook sailed through in 18 seconds — half the time of the same machine (a 2.8GHz MacBook Pro with 4GB RAM) running off its stock drive. In Final Cut Pro, we encoded a 2GB file in 15 minutes, which halved the 30 minutes it took with the disk-based drive. But don’t go thinking that upgrading to an expensive SSD is like bolting a rocket onto your MacBook; not every operation benefits from the speedier drive. For instance, a massive import of high-res JPEGs into iPhoto was only 10 seconds faster with the SSD.

Just like a Lamborghini, this SSD’s got plenty of speed but hardly enough room for all your stuff.

In our read/write benchmarks, the SSD’s speeds were more than twice the original — with the stock 5,400-rpm drive, our MacBook Pro hit read and write speeds of 64MB/s and 37MB/s. Running from the SSD, speeds skyrocketed to an astounding 175 MB/s and 125 MB/s, respectively. Impressive for sure, but if you’re not rendering video or doing other disk-intensive tasks, these numbers represent best-case scenarios, not real-world performance gains.

While the Mercury Extreme Pro SSD is definitely faster than our MacBook Pro’s stock 300GB hard drive, it’s time for the catch — the relatively affordable 120GB model we tested won’t meet the storage needs of pro users. Fortunately, OWC offers several capacities, but as the gigs grow, so does the cost per gigabyte. The top-end model hits 480GB — but at $1,500, it’s out of the reach of mere mortals. To be fair, that major caveat holds true for SSDs in general, not just OWC’s.

The bottom line. Power users can rejoice at the speed and performance increase this SSD delivers, but file hoarders should opt for something with a bit more room — and that’s more wallet-friendly.

Review Synopsis

Product:

Mercury Extreme Pro SSD

Company:
OWC
Contact:
Price:
$99 (40GB); $159 (60GB); $279 (120GB); $499 (240GB); $1,499 (480GB)
Requirements:

MacBook with 2.5-inch SATA drive bay

Positives:

Significant performance increase—video-encoding time cut in half.

Negatives:

High cost per gigabyte, particularly at the top end.


Apple cambia el disco duro SSD de los MacBook Air, y ahora son más rápidos

  

Apple ha cambiado sin hacer ruído ni publicidad de ningún tipo las unidades de discos duros SSD de los MacBook Air, y los nuevos discos ofrecen más velocidad de lectura y escritura. El tema es que ahora, dos MacBook Air con la misma configuración pueden arrojar diferentes resultados, ya que el más nuevo es más rápido que su predecesor; el punto de la discordia surge cuando las especificaciones oficiales siguen intactas, mientras que las velocidades son diferentes.

Cuando Apple lanzó los nuevos portátiles en octubre del año pasado, incluían unidades Flash de Toshiba. Ahora, parece que Apple ha substituido dicho componente por otro de Samsung, el cual es notablemente más rápido tanto en lectura como en escritura que el de Toshiba.

Personalmente, creo que el usuario que pretenda que se le cambie la unidad SSD de su MacBook Air porque los nuevos son más rápidos, va a meterse en una batalla que no va a ganar, ya que las especificaciones son las mismas que el primer día y no estamos ante un fallo que permita tirar de garantía. Es exactamente el mismo caso que explicamos en este post final de un tema que levantó bastante polvareda en nuestro blog; simplemente, a veces Apple mejora las cosas porque pueden mejorarse, no porquedeban mejorarse.

Y no; yo tampoco lo entiendo. Cosas de Apple…


Mitos de HTTPS y la navegación segura

  

Las siglas HTTPS (Hypertext Transfer Protocol Secure) han generado siempre confusión, ya que bajo el paraguas de la “S” de seguro siempre se han escondido mitos sobre lo que realmente significa e implica.

Con la entrada de hoy, a modo “Cazadores de Mitos“, espero aclarar algunas de estas confusiones y que poquito a poco, todos  naveguemos mejor informados.


Las páginas bajo HTTPS no se almacenan en la caché del ordenador.

Es común asociar HTTPS a información sensible, son siempre las páginas más delicadas y en las que más capas de seguridad se aplica las que contienen datos confidenciales, como datos de carácter personal,  o bancarios.

En teoría todo lo que se transmita por HTTPS y sea sensible el propio servidor debería identificar que no se cacheé, de esta forma se optimizaría las peticiones al igual que ocurre con HTTP.

Imaginemos que me conecto a un banco y este no especifica que la información no ha de cachearse localmente, si visito este banco desde un ordenador público, otro usuario podría consultar la cache del navegador y conocer mis movimientos u otros datos confidenciales. Esto es considerado una vulnerabilidad, pero aún hay miles de webs en las que se produce esta problemática

Está por lo tanto en manos del navegador definir qué hacer con el contenido pedido bajo HTTPS. Internet Explorer, salvo lo indique el servidor, por defecto usará la caché, aunque tiene una opción para deshabilitarlo y que nunca almacena datos, tal y como se comenta en el siguiente artículo: HTTPS Caching and Internet Explorer.

Para configurarla, tan solo hay que ir a “Herramientas”->”Opciones de Internet” y en la pestaña “Avanzado”, seleccionar “No guardar las páginas cifradas en el disco”

En Firefox, depende de la versión del navegador tiene un funcionamiento u otro, hasta el 2010 han tenido abierto un bug donde han discutido este funcionamiento. Actualmente las páginas son cacheadas si el servidor no dice lo contrario, al igual que hace Internet Explorer. Se puede controlar este comportamiento mediante la directiva: cache.disk_cache_ssl

La siguiente imagen muestra un elemento cacheado que se sirvió por SSL.

En el caso de Opera, las páginas cacheadas de HTTPS son eliminadas al cerrar el navegador. Definido en la opción: Cache HTTPS After Sessions

Chrome cachea las páginas como el resto y no permite modificar este comportamiento, salvo se use una extensión, como ya comentamos anteriormente en: Extensiones para navegar más seguro con Chrome
Si hay HTTPS puedo mandar cualquier cosa en las Cookies o en la petición (URL)

Todos los datos confidenciales deben ser enviados utilizando el método POST, ya que si existe información confidencial en la propia URL, está quedará almacenada en múltiples sitios, como el historial del navegador, los registros del proxy, o los registros del propio servidor donde llegan las peticiones, como ocurre con HTTP.

Aunque la conexión se establezca utilizando SSL, las sesiones han de ser configuradas para que no puedan ser enviadas utilizando otros canales. Tal y como comentamos en “Sesiones seguras: es gratis“, se ha de establecer el parámetro “secure”.

Hace falta un certificado SSL para cada dirección IP, domonio o subdominio.



Existen muchas opciones y alternativas que permiten versatilidad con los certificados SSL y su instalación y configuración.

Un único certificado SSL que soporte wildcards, podrá ser instalado en todos los subdominios que queramos.

Server Name Indication extiende el protocolo de SSL y TLS permitiendo que el “CN” sea solicitado en la negociación TLS, dejando al servidor presentar el certificado correcto en base a la consulta que reciba.
Mediante Unified Communications Certificate (UCC), es posible incluir varios dominios distintos en un único certificado. En caso de que compartamos IP con otras aplicaciones y otros clientes.

Los certificados SSL son muy caros y dificiles de conseguir

Algunas compañías no usan SSL porque piensan que adquirir uno tiene un precio muy elevado. Esto no es así. Hay certificados incluso gratuitos como los que ofrece StartSSLComodo.o CACert.

Se pueden adquirir otros productos, con garantía o que permiten wildcards, desde 10$ anuales. Un precio asumible para cualquier compañía que tenga presencia y venta de productos online.




HTTPS es muy lento.


Sobre este mito hay aún debates abiertos. Uno de ellos es el que mantiene Adam Langley de ImperioViolet con el fabricante de aceleradores SSL F5. El primero ofrece argumentos  por lo que la negociación SSL hoy por hoy se puede asumir económicamente. F5 (entre otras cosas, vendedor de aceleradores SSL) responde con unas tablas de pruebas y explicando que las pruebas de Adam son con certificados 1024-bit y no con los 2048-bit. Finalmente Adam opina que las pruebas de F5 no son reales, ya que están hechas con portátiles y no con servidores.

Lo único que hay que transmitir vía HTTPS es la información sensible, como el usuario y contraseña.
Si algo hemos aprendido todos con FireSheep es que no es necesario tener las credenciales de un portal para acceder con la cuenta de otro usuario. Basta con robarle la sesión y asignarla a nuestro navegador.
Por ese motivo, si una web requiere autenticación y trata datos confidenciales, todas las páginas que se sirvan  han de ser única y exclusivamente vía HTTPS.

El usuario debería elegir si quiere utilizar o no HTTPS.



Volvemos a lo de siempre: Seguridad Por Defecto (SbD). Me gustaría no tener que explicarle a nadie porque debe usar HTTPS y no HTTP. La seguridad ha de ser impuesta, evitará problemas.

Si a un usuario únicamente le dejas acceder al servicio mediante el protocolo seguro, con certeza jamás hará una transacción por otra vía. No debe ser una opción y mucho menos una opción deshabilitada por defecto.

Me puedo fiar de la web si hay un candado en mi navegador.

El candado que se muestra en el navegador solo indica que el certificado SSL es válido, no que la entidad que dice estar detrás es la auténtica. Generalmente informa que la los datos serán transmitidos de forma cifrada. Pero insisto nuevamente: no garantiza la autenticidad de la compañía en la que está alojado.

Yo puedo crear un certificado SSL válido para “paipal.com” y hacerme pasar por Paypal, y el navegador mostraría el candado correctamente. Yago escribió sobre esto y lo demostró en un magnifico artículo: Fraude online con firma digital y SSL. Comprobar que la dirección y el dominio son correctos, es tarea que ha de hacer el usuario manualmente.




Las páginas que tienen HTTPS no tienen problemas de seguridad.

Fuera de este mundo, para el usuario final y no experto posiblemente el mayor mito es que las páginas que se alojan en un servicio que contiene HTTPS ya son seguras en todos sus aspectos. Ignorando que la seguridad que proporciona HTTPS no afecta a la calidad del código de las páginas web, solo al canal por el que son transmitidas. Un banco, una red social, el correo electrónico o cualquier otro servicio web no está libre de fallos por el mero hecho de publicarse mediante el protocolo seguro de HTTP.

Securmática 2011

Como todos los años por estas fechas un nutrido grupo de profesionales del sector nos hemos dado cita enSecurmática. Veintidós ediciones del congreso y 20 años de la revista SIC avalan la calidad del evento y de la revista que lo organiza año tras año. Desde este blog no queremos dejar pasar la oportunidad de felicitar públicamente a sus impulsores, José de la Peña y Luis G. Fernández por tan feliz onomástica y por el trabajo que año tras año realizan para impulsar este sector de la seguridad.
sec2011

Con el titulo este año Seguridad: ¿fiarse o confiar?, al margen de los espacios ya clásicos de gestión de identidades y de los sistemas de gestión de la seguridad, este año hemos asistido a conferencias muy interesantes en el campo de compliance.

Por una parte, D. Rafael García González, Vocal Asesor-Jefe del Área Internacional de la Agencia Española de Protección de Datos estuvo hablando a los asistentes de las novedades que nos vamos a encontrar en la nueva Directiva comunitaria sobre Protección de Datos que no va a tardar en ver la luz. Esta nueva Directiva va a suponer importantes cambios, en mi opinión positivos, en materia de protección de datos de carácter personal, ya que recoge algunos asuntos que la actual directiva y las leyes traspuestas no tratan en profundidad. La verdad es que no hemos acabado de digerir los cambios derivados de la aplicación del nuevo Reglamento de la LOPD y ya estamos empezando a hablar de los cambios que va a traer consigo esta nueva Directiva.

El proceso de revisión de la Directiva de Protección de Datos se inició en mayo de 2009 y está previsto que derive en un nuevo instrumento después de verano de 2011, aunque por lo que nos contaron aún se está deliberando si este proceso deriva en una Directiva más precisa, en un Reglamento o en la combinación de ambas. Desde luego, la forma que adopte esta variación tiene importantes repercusiones a la hora de aplicarlo en los distintos estados miembros. La figura del “Reglamento” no requiere de trasposición a los distintos estados miembros y por tanto no deja libertad a la hora de aplicar las bases, garantizándose de esta manera la armonización de la aplicación pero, por el contrario, complica la negociación en el seno de la Unión.

Parece claro que uno de los objetivos de la nueva Directiva es la armonización en la aplicación de los principios básicos de la misma en los distintos estados miembros, por lo que en España, con una de las leyes más duras sin duda sobre protección de datos, no deberíamos notar negativamente la presión de este nuevo desarrollo legislativo.

Otras cuestiones interesantes en las que se está trabajando en la línea de la inclusión de nuevos principios adicionales y que dejamos para comentar en otras entradas del blog son: el derecho al olvido, la promoción del PBD “Privacy by Design” o “Privacy by Default”, el principio de accountability o de rendición de cuentas, el PIA, “Privacy Impact Assessment”, o evaluación del impacto sobre la privacidad como obligación del responsable y la cooperación con organizaciones internacionales de estandarización entre otras, abriendo el camino a posibles certificaciones en cumplimiento de la LOPD.

Desde luego parece que las cosas van a cambiar otra vez en materia de tratamiento de datos personales. A la luz de estos cambios me pregunto ¿veremos en los próximos años un sello o una certificación en materia de protección de datos?

Por otra parte, Dª Paloma Llaneza nos deleitó con una entretenida charla sobre el nuevo código penal en relación a los delitos relacionados con el uso y “abuso” de los sistemas de información tecnológicos. Según Paloma podemos encuadrar las novedades en tres grandes grupos: a) nuevos delitos puramente tecnológicos, b) modificación de los delitos existentes puramente tecnológicos y c) modificación de delitos existentes que pueden ser cometidos por medios tecnológicos.

Nos encontramos también en la reforma del código penal con novedades importantes en cuanto al “quién” es el que delinque, sobre “qué” es un delito, “cómo” se delinque y “cuánto”, en relación a la pena por los delitos cometidos.

Hasta la fecha el Código Penal contemplaba el principio “Societas delinquere non potest“, es decir, las sociedades no pueden delinquir. Según este principio, una persona jurídica no puede cometer delitos, pues carecen de voluntad (elemento subjetivo) que abarque el dolo en sus actuaciones. De esta forma, a las personas jurídicas no pueden imponérsele penas, entendidas como las consecuencias jurídico-penales clásicas, más graves que otras sanciones.

Este principio se modifica en el nuevo código penal pudiendo cometer un delito cualquier persona jurídica con “curiosas” excepciones como son, entre otros, el Estado, las administraciones públicas o los partidos políticos.

Se estuvo hablando también de la “Culpa in vigilando” y del “Corporate Compliance” como un sistema preventivo contra el “crimen” que puede actuar como medida atenuante o eximente de culpa. Hablaremos también en sucesivas entradas de este blog de todos estos temas y otros relacionados con el nuevo código penal y sus repercusiones en el trabajo de los profesionales del mundo de la seguridad.

Desde luego las reformas acometidas eran necesarias, son profundas pero, en opinión de los expertos, aún insuficientes. En cualquier caso lo importante es ir avanzando, aunque sea poco a poco. ¿No creen?

Reiteramos, desde estas líneas, nuestra sincera felicitación a la Revista SIC por su 20 aniversario.