Hace un par de días hablamos de mi experiencia con un programa “rogue“, el cual se disfrazaba como antivirus, pero en realidad era un programa que deshabilitaba prácticamente todas las aplicaciones -supuestamente por estar infectado de virus- y en donde el truco era, el tener que comprar la licencia para que este antivirus limpiara todo mágicamente y pudiésemos usar la computadora de nuevo.
Desde luego que el programa era prácticamente un chantaje y entonces hubo que buscar la manera de deshacerse del mismo, cosa que no fue muy complicado al final de cuentas. A partir de lo que platiqué, recibí un tuit por parte de ‏@markoestrada, quien me remitió a un interesante sitio en donde hacen, mes con mes, evaluaciones de los principales antivirus para PC.

En la página en cuestión (ver referencias), hallamos pruebas para las siguientes situaciones: protección en tiempo real, pruebas de detección de archivos, pruebas de heurísticas y comportamiento, falsas alarmas, desempeño, pruebas de remoción de archivos infectados, pruebas antiphising, pruebas de seguridad en Mac, seguridad en dispositivos móviles y en el mundo corporativo.

De acuerdo a la siguiente gráfica  los mejores son aquellos que tienen más verde en su evaluación. Así, independientemente de nuestra percepción sobre un antivirus en particular, es claro que hay pruebas que pueden hacerse para medir quién es el bueno en este asunto de los antivirus.

La cuestión en el fondo me ha hecho -al menos para mí -revalorar el problema de los virus- el cual pensaba que ya era cosa del pasado.  Es evidente que se necesita estar atento a la posibilidad de que entre un ser indeseable en la computadora y haga algún daño, desde uno menor, como quitarle el acceso al usuario de sus programas, como un daño mayúsculo, que es cuando destruye archivos de programas y/o datos.

A todo esto, ¿Qué antivirus usan los lectores binarios en unocero?

Referencias:

AV-comparatives

Tres miembros en activo del grupo de hackers, llamado LulzSec, fueron sentenciados a un total de seis años en prisión. Ryan Ackroyd, Jake Davis y Mustafa Al-Bassam estaban acusados de haber atacado a Sony, Nintendo, 20th Century Fox y a agencias gubernamentales, incluso la policía, en el verano del 2011. Davis fue sentenciado a 24 meses en una institución para jóvenes ofensores y estará solamente la mitad del tiempo de su sentencia. Al-Bassam recibió 20 meses de sentencia,suspensión por dos años y 300 horas de trabajo comunitario (sin paga). A Ackroyd se le dio una pena de 30 meses. Estará solamente la mitad del tiempo.

Entre las actividades de LulzSec, estuvieron las de poner una página falsa en el periódico The Sun, en donde se anunciaba la muerte del ejecutivo Rupert Murdoch. Como acto final habían publicado detalles de 500,000 usuarios. Ackroyd era conocido como Kayla y Davis como Topiary.

Ackroyd fue arrestado en septiembre del 2011 mientras que a Davis se le imputaron cargos por uso no autorizado de computadoras y conspiración para distribuir un ataque DDoS (Distributed denial-of-service) en agosto del 2011. Debido a su edad, Al-Bassam no fue nombrado hasta que éste se declaró culpable. Ambos hombres fueron nombrados por el FBI cuando el líder de LulzSec, Sabu, reveló que había estado trabajando como un informante para el propio FBI en marzo del 2012.

Ryan Cleary, quien fue arrestado en junio del 2011, no se le reconoció como miembro del grupo, pero éste  hizo un botnet que afectó a 100,000 PCs. Fue sentenciado a 32 meses en cárcel y tendrá que estar al menos la mitad de ese tiempo en la cárcel. La Juez Déborah Taylor dijo que “el nombre LulzSec encapsula los deseos de causar vergüenza y descontrol, mientras que se mantienen las propias identidades escondidas”, y acusó a los implicados de jugar ese rol durante la campaña en línea que duró 7 meses “usando sus habilidades técnicas para causar pérdidas catastróficas sólo por diversión”.

Referencias:

SCMagazine

Hoy en día los microcontroladores son algo ya relativamente común. Muchos aparatos caseros contienen algún tipo de microcontrolador. Pueden estar en lavadoras, licuadoras, cafeteras, hornos de microondas, etcétera. Las virtudes de estos chips es que son microcomputadoras completas, con memoria y velocidad limitada, sí, pero que tienen probablemente mucho más poder que las máquinas de los años de los ochentas y noventas, como la Apple II o la primera IBM PC.

Por ello, no es de sorprenderse algunos proyectos en donde los microcontroladores hacen tanto como las máquinas del pasado cercano. Por ejemplo, Jaromir Sukuba decidió emular el procesador Z80 con un microcontrolador PIC, el cual permite tener una computadora literalmente, portátil, que usa poca energía y que como proyecto de programación y electrónica se ve muy interesante. Se puede aprender mucho de todo esto.

Sukuba construyó incluso un teclado, para poderlo conectar a su microcontrolador PIC 32MX795F512H y que desplega en una pantalla LCD de 4×40 caracteres, que se comunica vía una conexión RS232. Evidentemente en todos estos proyectos se privilegia el aprender, pues claramente el resultado final puede ser contrastado contra computadoras de bajo costo, como la Raspberry Pi, y simplemente no tienen mucho que hacer. Pero aquí el aprendizaje parece ser que es lo que vale.

Referencias:

HackADay

Los errores, los bugs en los programas, son algo inevitable. Estos muchas veces se descubren cuando el programa se comporta de manera errática o entrega resultados que nos son a todas luces falsos. ¿Qué pasaría si alguien encuentra un bug en un programa y saca ventaja del mismo? ¿Estaría incurriendo en una falta sancionada por las leyes respectivas, por ejemplo en Estados Unidos, el acta sobre el fraude y abuso computacional?

Esto va más allá de un escenario teórico. Un jugador compulsivo de poker, John Kane, jugó muchas horas ese juego de cartas en una máquina, dentro de un casino, y por accidente notó un bug, un error que le permitía en caso de ganar, doblar la apuesta apretando un botón en la pantalla e insertando cierta cantidad de dinero. En este punto, si el jugador volvía a apretar el botón de “cantidad” era posible alterar los números de lo que pagaba el juego. Así, si se jugaba en una máquina de 1 dólar, al presionar el doblar la apuesta y poner más dinero, el jugador podía modificar lo que pagaba la máquina, digamos 10 dólares y recibir el dinero inmediatamente. Así se podía ganar diez veces lo que la máquina en principio debía dar.

¿Es esto fraude? ¿Puede ser castigado? El Acta que regula estos fraudes la “Computer Fraud and Abuse Act” (CFAA), contiene una claúsula en donde se indica que exceder el acceso autorizado a una máquina es un crimen. Fue esta la claúsula que persiguió a Aaron Swartz (aunque por otras circunstancias completamente diferentes) y que ha llevado a una campaña para eliminar este tópico de la propia Acta.

El bug de la máquina de poker fue explotado  por cientos de miles de dólares antes de que el personal del casino se diera cuenta.  El abogado de distrito local acusó a quienes estuviesen involucrados en hackeo y fraude de equipos de cómputo. Aquí el problema es que la máquina no fue hackeada de forma remota y con trucos de programación, sino que el jugador tuvo acceso legítimo y de hecho, no hackeó nada. Simplemente sacó ventaja del bug para alterar la información en lo que se refiere a pagos que la máquina debía hacer. El argumento de la defensa es simple: el jugador jugó bajo las reglas impuestas por la máquina… con bug incluido.

A fines del año pasado, un magistrado federal halló que la CFAA no es aplicable y recomendó desestimar el cargo de hackeo. El caso ahora está en la Corte Distrital de los Estados Unidos, esperando un veredicto final. En un caso anterior, que se citó como precedente, se indica que la CFAA no es aplicable en una situación de uso indebido de una computadora y el juez apeló a ambas partes a reconsiderar el asunto.

La cuestión da para más. Por ejemplo, si un cajero automático da diez veces la cantidad pedida por el usuario del mismo, y éste se queda con ese dinero, entonces el usuario en cuestión está cometiendo un crimen (en la mayoría de los países). Pero un cajero automático no es una máquina para apostar. Una máquina que juega un juego y en donde un bug modifica su comportamiento, de manera que el jugador puede alterar el resultado es una manera legal de actuar en el juego. Y peor aún, ¿no es un fraude que un bug de esto altere (a favor o en contra, ya no importa), el comportamiento de una máquina de juegos de apuesta?

Referencias

Wired

La computadora Raspberry Pi es probablemente uno de los mejores dispositivos que se hayan diseñado en estos últimos años. Finalmente alguien demostró, por una parte, que se podía crear una computadora con el poder de cómputo suficiente, a muy bajo costo, el cual es de unos 25 dólares para escuelas (modelo A) y de 35 dólares, para todos aquellos que les guste experimentar con electrónica y cómputo (modelo B). Vamos, que la dichosa computadora de 100 dólares, de la que tanto se habló antes, se hace realidad por menos dinero aún.

Desafortunadamente todos estos equipos tienen la necesidad de reaprender algunas cosas para poderlos usarlos con eficiencia. Si uno es un hacker avanzado, o simplemente alguien que trabaja con electrónica o cómputo, el entender cómo echar a andar la Raspberry Pi es cosa de unas horas, un par de dolores de cabeza, etcétera. Pero si no se sabe, suele ser frustrante para el poseedor de este tipo de computadoras.

La Raspberry Pi se conecta a la TV (puede ser HDMI), con conexión USB a ratón y teclado. Usa una fuente de poder de 5 Volts (que se puede comprar en cualquier tienda de electrónica) o incluso, usar el cargador del teléfono celular que dé dicha energía. A todo esto, yo me hice de un cargador por unos 40 pesos, pero era chino y no daba “la galleta”  suficiente. Finalmente usé el cargador de mi teléfono Samsung.

La Pi puede pues usarse para hacer documentos, hojas de cálculo electrónicas, programar, jugar videojuegos, entre muchas actividades, pero el propósito de la misma es inspirar a los niños (y a los mayores también) a aprender cómo programar.

Afortunadamente ya hay quien se ha tomado el trabajo de escribir algunos libros básicos para introducirse en la Raspberry Pi. Uno de ellos es Mike McGrath, cuya obra se llama Raspberry Pi in easy steps (el autor tiene otros muchos libros con el mismo formato), la cual empieza mostrando cómo se puede usar Python para crear juegos, desarrollar apps usando Tkinter, añadir animaciones vía Scratch, controlar entradas y salidas eléctricas, etcétera. Es un libro lleno de ideas estupendas.

De alguna manera la Pi se ha convertido en una plataforma que bien pudiese desplazar al Arduino por sus facilidades para ser programada e interactuar con el mundo real. McGrath se esfuerza (y lo logra), presentándonos una serie de programas en Python y en la diversión que significa crear una serie de aplicaciones. No es, como otros libros de programación, en donde hay mucho pseudocódigo y muchas explicaciones. Aquí hay un libro de muchos colores, orientado a ilustrar gráficamente, en la medida de lo posible, los conceptos que se requieren aprender, y organizar todo en cómo resolver un problema en particular.

Los capítulos exploran el escritorio (de Linux), control de comandos (vía scripts), animaciones mediante Scratch (movimientos básicos de sprites), programación con Python, el cual es una estupenda introducción a Python en la Pi. Si se tiene experiencia con lenguajes orientados a objetos (Java, C#), podrás rápidamente aprender a usar Python.

Auque el libro está ilustrado profusamente, no hay que irse con la finta de que se trata un libro para principiantes. Vale mucho la pena porque contiene mucha información útil para el nuevo propietario de una Raspberry Pi. Amazon lo vende en unos 11 dólares (versión Kindle en 9 dólares). Un libro por demás recomendable.

Referencias:

Amazon

Manual educativo de la Raspberry Pi

Primer libro sobre la Raspberry Pi

Muchos lo esperaban pero ya es una realidad: el código del kérnel de Google Glass será abierto. Google  ha puesto a disposición del público el código fuente del kérnel (basado en Android). Esto no es realmente una sorpresa si consideramos que Google Glass funciona con Android, el cual es un sistema abierto y libre.  Sin embargo, no era muy claro que este nuevo producto de Google fuese a basarse en Android. Actualmente el código fuente se encuentra en una página temporal, pero se moverá al sitio AOSP (Android Open Source Project) en breve.

Y aunque ya había dos hacks importantes sobre el kérnel de Glass, Stephen Lau, un ingeniero de Google dijo: “intencionalmente dejamos el dispositivo abierto para que ustedes lo pudiesen hackear y hacer todo género de cosas con él. Quiero decir, pagaron 1,500 dólares por esto, pues muéstrenme algo para impresionarme”.

Aparentemente Google busca que se experimente con Kérnel y que estas nuevas versiones se carguen en el hardware. Así, ya no es necesario el esfuerzo extra para hackear kérnel, pues con el código fuente a la mano, ya las cosas se hacen mucho más sencillas. De hecho, el código fuente no se liberó antes debido a un error cuando alguien que tenía parte de esta responsabilidad se fue de vacaciones.

Investigaciones preliminares de Android corriendo Glass indicaron que se trata de una versión por demás estándar, sin haberle quitado nada al sistema y con la funcionalidad de Glass corriendo encima de éste. Por lo cual, en principio será posible correr cualquier app de Android en el nuevo juguete de Google. Evidentemente han planeado muy bien lo que quieren hacer con Glass y además, no trabajar de más.

Por el momento se sabe a ciencia cierta que:

• Corre Android 4.0.4 (Ice Cream Sandwich)
• Usa un procesador OMAP 4430 ¿doble núcleo?
• No se sabe aún la velocidad del dispositivo en MHz.
• Tiene 628 Mb de RAM. Los mensajes del Kérnel hacen sospechar que se trata de memoria de 1 GByte, pero parte de la misma se usa para propósitos del hardware.

Con respecto al software, trae una serie de rutinas para manejar los gestos de los ojos:

• “EYE_GESTURES_WINK_ENABLED”
• “EYE_GESTURES_WINK_DISABLED”
• “EYE_GESTURES_WINK_CALIBRATION_SUCCESS”
• “EYE_GESTURES_WINK_CALIBRATION_FAILURE”
• “EYE_GESTURES_WINK_TAKE_PHOTO”

Sin embargo, es pronto para saber qué se quedará en el API final del sistema, quizás por motivos de seguridad o privacidad.

Por el momento esta es la información más precisa que se tiene sobre Glass. No está claro si el desarrollo de las apps para Glass se harán en el mismo ambiente de programación que Android, o bien, si el API que se está usando será el que finalmente quede como primera versión del mismo. Habrá que esperar, pero es evidente que muchos desarrolladores ya quieren echarle el guante a este dispositivo que si tiene éxito, será probablemente la nueva revolución del software.

Referencias:

Descarga temporal del Kérnel
AOSP

Ante los ataques recientes a diferentes cuentas en Twitter de muchas personalidades y empresas, parece que Twitter está por realizar un movimiento importante: incorporar la autenticación de dos pasos al inicio de sesión en esa red social.

Según un reporte de Wired, Twitter está probando la autenticación de dos pasos para después aplicarla de forma masiva.

Este tipo de inicio de sesión requiere que el usuario ingrese a su cuenta con nombre y contraseña, como se hace actualmente, para después recibir un mensaje (SMS o email) con un código que se ingresará en la página de Twitter y tener acceso a la cuenta.

La tecnología aplicada a este método se seguridad no es infalible, pero sí dificulta de manera importante el ingreso a una cuenta ajena, ya que el código generado es único y sólo se puede ver si se tiene acceso a la cuenta de correo o teléfono celular del propietario.

Por ahora no se conoce cuánto tiempo podría tardar Twitter en tener listo el método de autenticación, o si al menos es cierto el rumor; no obstante, dada la importancia que actualmente tiene la cuenta de Twitter para personalidades y compañías (tanto como para que cada tuit pueda ser considerado una fuente confiable de información) es factible que la red social de microblogging en verdad esté tomando medidas necesarias para garantizar la seguridad de la información de sus usuarios.

El día de ayer, la cuenta en Twitter de Associated Press fue tomada por hackers que publicaron un mensaje sobre un supuesto ataque a la Casa Blanca en donde Barack Obama fue herido; rápidamente fue descubierto el engaño, sin embargo, una noticia de este tipo procedente de una “fuente confiable” tiene el potencial para desquiciar a una sociedad entera.

Actualmente, empresas como Google o Facebook cuentan con métodos de seguridad mejorados para reducir al mínimo problemas similares a los que atañen a Twitter actualmente.

Referencia: Wired

El día de hoy, la cuenta en Twitter de Associated Press reportó que hubieron “Dos explosiones en la Casa Blanca y Barack Obama está herido”; la realidad es que este reporte es falso y fue producto de un ataque cibernético de autoría aún no definida.

Alrededor de la 1 pm, la cuenta @AP en Twitter publicó el alarmante mensaje que alertaba sobre el supuesto ataque, no obstante, la comunidad en línea refutó el que pudiera ser cierto debido a que ese reporte sólo apareció en la cuenta de AP y ningún otro medio habló sobre ello.

De inmediato, la cuenta @AP fue deshabilitada para evitar mayores problemas y se notificó que el controversial tuit había sido falso por medio del perfil @AP_CorpComm:

The @ap Twitter account has been suspended after it was hacked. The tweet about an attack on the White House was false.

— AP CorpComm (@AP_CorpComm) April 23, 2013

A pesar de que pronto se descubrió la falsedad de este tuit, la noticia causó efectos negativos sobre el índice Dow Jones; poco después de que apareciera la publicación sobre el ataque a la Casa Blanca, ese promedio industrial perdió cerca de 143 puntos (bajó de 14,697 a 14,554), para recuperarse minutos después.

Dow Jones fue a la baja poco después del reporte falso

El personal de Associated Press reveló que antes de que @AP fuera tomada, algunas cuentas de correo electrónico recibieron un “email con phishing increíblemente disfrazado”, ataque que aparentemente fue exitoso puesto que se logró tener acceso a la cuenta de Twitter en cuestión.

The @ap hack came less than an hour after some of us received an impressively disguised phishing email.

— Mike Baker (@MikeBakerAP) April 23, 2013

AP confirmó que el presidente de los Estados Unidos, Barack Obama, se encuentra bien de salud.

Respecto a la autoría de esta ataque, aún no se han dado declaraciones concretas sobre la investigación, sin embargo, la cuenta de SyrianElectronicArmy, @Official_SEA6, publicó el siguiente mensaje en el que se adjudica la intrusión al perfil de @AP.

Ops! @ap get owned by Syrian Electronic Army! #SEA #Syria #ByeByeObama twitter.com/Official_SEA6/…

— SyrianElectronicArmy (@Official_SEA6) April 23, 2013

Referencia: Associated Press, Google Finance

En 2011, un hacker bajo el alias “recursion” formó parte de un ataque a la red de Sony Pictures Entertaniment en el que se extrajo información confidencial de la empresa. Ahora, este hacker recibió la sentencia de un año en prisión como sanción a sus actos.

Durante 2011, Sony vio una de las peores rachas en su historia al recibir diferentes ataques virtuales a diferentes servicios. El más importante fue el que afecto a PlayStation Network, la red de juego en línea y compra de artículos, derivando en un cierre temporal de esa plataforma.

Poco después sucedió el ataque a Sony Pictures Entertainment, donde Cody Kretsinger (recursion) tomó parte y envió posteriormente la información obtenida al grupo Lulszec, que está directamente vinculado con Anonymous, quienes publicaron los datos en Twitter y en su sitio web.

Después de haber sido declarado culpable en 2012 por conspiración y alteración de una computadora protegida, Kretsinger de 25 años de edad recibió esta semana la pena de prisión por un año, más 1000 horas de trabajo comunitario una vez concluido el plazo en la cárcel.

La actividad de Anonymous y otros grupos de hacktivistas ha ganado la atención del mundo desde finales 2010, cuando se realizaron diferentes ciberataques para evitar el cierre de Wikileaks, sitio fundado por Julian Assange en donde se han dado a conocer cientos de documentos privados de los gobiernos de todo el mundo.

Referencia: Reuters

Un nuevo sitio con las noticias sobre la actividad que tiene Anonymous en el mundo será iniciado gracias a las donaciones que cientos de personas hicieron al proyecto conocido como YAN (Your Anon News). Esto se hará con la intención de extender el contenido de los anuncios relevantes más allá de las redes sociales.

A través del sitio indiegogo.com, donde se albergan proyectos para ganar recursos y volverlos una realidad, YAN recaudó más de 54 mil dólares. La meta que se había establecido para lograr dar marcha al sitio era de 2 mil dólares, cifra que fue rebasada y superada ampliamente.

Con YAN se planea mover la fuente de noticias hacia un sitio especializado, pues hasta este momento, los principales anuncios se han dado a través de Twitter y Tumblr, de donde se desprenden enlaces hacia las páginas web donde ha habido actividad.

Como señala Your Anon News en su cuenta de Twitter, ésa “una red de noticias que apoya a Anonymous. Como no existen cuentas oficiales, somos una cuenta de Anonymous entre muchas”. Esta cuenta tiene actualmente más de un millón de seguidores, lo que da una idea de la importancia que ha llegado a tener Your Anon News entre la comunidad en línea y la relevancia que puede adquirir el sitio que será inaugurado.

A través del sitio, YAN planea realizar reportes de mayor profundidad y consultar fuentes confiables para entregar información de calidad; actualmente, Your Anon News no se limita a proveer datos sobre la actividad de Anonymous, sino de diferentes eventos importantes que suceden en todo el mundo con información aparentemente “exclusiva”.

Según indica Your Anon News, el nuevo sitio será creado gracias al trabajo de programadores y diseñadores voluntarios, y usarán los fondos  para cualquier necesidad que surja durante el proceso, así como para costear el hosting inicial.

Los fondos se reunieron gracias a la inversión de más de 1,300 personas, quienes recibieron playeras y artículos promocionales con la imagen de Your Anon News a cambio de su ayuda.

Referencia: Indiegogo, Twitter

La cuenta en Twitter del Nicolás Maduro, quien asumiera el cargo de la presidencia en Venezuela tras la muerte de Hugo Chávez, fue tomada horas atrás en un ataque que se atribuye al grupo conocido como Lulszec Perú. Esto sucedió poco después de que se realizaran las elecciones en ese país.

Este fin de semana se celebraron las elecciones presidenciales en Venezuela, y poco tiempo después de que esto sucediera, el perfil de Twitter de Maduro comenzó a mostrar mensajes como “Fraude electoral by @Lulzsec #hacked”.

En la página www.nicolasmaduro.org apareció inmediatamente una publicación respecto a lo que había sucedido como una forma de prevenir confusiones.

El perfil de Maduro cambió en la foto que le identifica, así como en la biografía corta, donde apareció el siguiente mensaje:

Así como el perfil de Maduro, el ataque se hizo extensivo a la cuenta del Partido Socialista Unido de Venezuela, donde un mensaje de la cuenta @lulzsecperu también fue publicado:

Como consecuencia del hackeo, el ministro de comunicación en Venezuela anunció que se realizaría un corte al acceso a Internet en todo el país con la finalidad de frenar el ataque virtual; este bloqueo duró sólo unos minutos, y en el perfil de Maduro apareció un nuevo mensaje:

Este tipo de ataques se han hecho populares bajo causas políticas y sociales en todo el mundo; hace unas semanas, la página de la SEDENA en México fue tomada por completo, mientras que el año pasado, algo similar sucedió con el sitio de la Casa Blanca y Departamento de Justicia estadounidense.

Hasta el momento de redacción de esta nota, los perfiles @NicolasMaduro y @PartidoPSUV siguen mostrando los mensajes y modificaciones a la cuenta antes mencionados.

Referencia: NicolasMaduro.org, El País

Los servidores que contienen las bases de datos de los usuarios del videojuego War Z, cuyo contenido incluye contraseñas, datos de personajes y direcciones de correo electrónico de los jugadores, fueron hackeados el día de ayer.

Tras el ataque, Hammerpoint Interactive, compañía desarrolladora del título decidió dar de baja el juego de manera temporal.

En un comunicado publicado en el foro oficial de War Z, los desarrolladores mencionaron que los datos de compras de sus usuarios (como tarjetas de crédito, direcciones físicas, etc.) se encuentran encriptados y que no fueron robados. Sin embargo, una de sus sugerencias fue que los jugadores cambien sus contraseñas de acceso para asegurar su información.

“Emitimos esta alerta de seguridad para todos los Sobrevivientes como una precaución, para que tomen medidas de seguridad por su cuenta,” menciona Hammerpoint Interactive en el comunicado. “Ya hemos llevado a cabo algunos ajustes para aumentar la seguridad de nuestros servidores y estamos trabajando con asesores externos e investigadores para identificar e implementar medidas que minimicen la posibilidad de que esto se repita en el futuro.”

Claro que no es la primera vez que War Z se ha enfrentado a los ataques de los hackers. El pasado mes de enero, Hammerpoint reportó un ataque en su sistema DDoS, por lo que tuvo que desactivar sus servidores para reparar el problema.

Como precaución, les recomendamos que actualicen sus contraseñas en el sistema si son usuarios de este RPG para prevenir el robo de sus datos.

Referencia: IGN

Hay un nicho de mercado en el mundo de los microcontroladores de bajo costo: el dispositivo que puede comunicarse -digamos- con su pariente más cercano, de forma inalámbrica -de ser posible. Pues bien, un aparato así está a punto de aparecer en el mercado: el RFduino.
Para entender de qué hablamos, consideremos que se desea resolver algún problema simple, como por ejemplo, crear un monitor de temperatura que puede reportar los datos que va obteniendo y que puede ser integrado a un sistema más grande, digamos de control del medio ambiente.  Quizás uno quiere tener un par de esos monitores y una manera de añadir nuevas características para el control de los datos que se reciben en ellos.

Una solución podría ser usar un Arduino estándar, pues al final de cuentas, es simple y sencillo. Pero éste sólo tiene un conector USB. Si se quiere tener conexión de red se necesita un shield Ethernet (que es una placa que se conecta sobre el Arduino mismo), lo cual incrementa el precio, además de añadir la cantidad de conexiones y cables que hay que poner. Se puede entonces poner un shield WiFi, pero de nuevo, este shield es aún más costoso y además usa más energía.

Con estas consideraciones, quizás debiésemos voltear a la Raspberry Pi, que tiene puerto ethernet integrado (aunque no WiFi). En este caso, al menos, se necesita un agregado que nos dé la opción WiFi y entonces ver los requerimientos de energía que necesite. De nuevo, quizás lo primero que notaremos es que aumentan nuestros costos.

El RFduino es un dispositivo compatible con Arduino con un radio Bluetooth 4.0 interconstruido. No tiene conector USB pero hay un shield USB que se puede conectar y programar. Una vez hecho esto, se puede remover el shield USB y comunicarse con el dispositivo a través del Bluetooth. Lo que esto significa es que se tiene entonces un dispositivo compatible con Arduino que puede, sin ayuda de otras tarjetas, comunicarse con cualquier otro dispositivo que tenga Bluetooth -tablet, teléfono, laptop o PC. Este RFduino es compatible con Arduino Duo y Uno, y puede usarse el medio ambiente de desarrollo estándar (IDE) para descargar los programas existentes.

El RFduino es un procesador ARM Cortex-M0 de 32 bits, con 7 líneas GPIO que pueden ser usadas como líneas analógicas, digitales, SPI, I2C, UART y/o PWM. La cantidad de energía es tan baja que puede usarse una pila plana CR2032 con un shield USB por unos 20 dólares extras.

El proyecto RFduino está en Kickstarter y ha logrado los 20 mil dólares que pedían en unos cuatro días y ya se acerca a la cifra de 250,000 dólares. El entusiasmo por este proyecto se mide por la cantidad de personas que evidencian que algo así es necesario. En la página de Kickstarter hay un amplio rango de posibles usos, pero la mayoría habla de un gadget inalámbrico que con otro hardware sería muy costoso.

Referencias

RFduino

Felix Rusu decidió usar un Moteino, el cual es un clon de Arduino. Es pequeño y tiene entre sus características un módulo RF, el cual se encarga de las comunicaciones con una estación similar que Rusu puso en casa. El módulo es alimentado con una batería de 9 volts y con un sensor de efecto Hall, el cual se usa para saber si se abrió la puertecilla del buzón. Cuando el Arduino detecta este cambio, el sensor manda ciertos datos a la estación base, la cual se comunica a la PC, a un teléfono o a una Raspberry Pi, avisándole a través de un mensaje de texto que alguien abrió el buzón y probablemente fue el cartero.

El costo total, en lo que se refiere a los materiales de electrónica, no sobrepasa los 50 dólares.

El siguiente video ilustra perfectamente todo este proyectito:

Referencias:

Hackaday

Ante los eventos recientes de hackeo a diferentes empresas de tecnología y medios de comunicación en Estados Unidos, Google creó un sitio en el que se explica paso a paso lo que se tiene que hacer tras un ataque cibernético.

La guía Help for hacked sites (ayuda para sitios hackeados) describe la forma como el administrador de una página puede recuperar el control sobre ésta, además menciona que no siempre es completamente notorio cuando un sitio ha sido tomado.

Existen casos donde una página simplemente es utilizada para sembrar malware que afectará a sus visitantes, técnica de ataque con la que se infectaron las computadoras de empleados de compañías como Facebook o Apple y que habrían sido el inicio para un hackeo mayor de no haberse detectado a tiempo.

Google explica por medio de un video las razones por las que ocurren los hacks, cómo se realizan y analiza las opciones que se tienen para recuperar el sitio web: que el propietario lo haga por sí mismo u obtener ayuda de especialistas.

El video tiene disponibles subtítulos que se pueden activar desde la barra inferior.

Después de haber visto el clip, Google enlista los pasos siguientes como “Contactar al proveedor y crear un equipo de apoyo” o “Poner en cuarentena el sitio”; cada uno tiene instrucciones específicas para completar el proceso.

De acuerdo con Google, quienes hayan sufrido un hackeo y completen el proceso de recuperación (por sí mismos o contratando a un experto) podrían hacer que su sitio “vuelva a estar en línea aún más robusto” y prevenir así futuros ataques.

Referencia: Google Developer Blog, Help for hacked sites

Pero lo interesante de Knuth es que es un prolífico autor de libros de cómputo y además, con el suficiente sentido del humor para entender que sus libros pueden tener errores. Por ello, Knuth otorga cheques de recompensa a aquellos que encuentren errores en sus obras o bien, que den sugestiones para las mismas y que, desde luego, se tomen en cuenta. En el prefacio de cada uno de sus libros y en su sitio web, Knuth ofrece una recompensa de 2.56 dólares a la primera persona que encuentre un error en sus libros publicados, ya sea técnico, de tipografía o histórico. Knuth explica que 2.56 dólares son 256 centavos, lo que corresponde a un dólar hexadecimal. Sugestiones que use el autor valen 32 centavos.

Inicialmente Knuth mandaba cheques reales a quienes encontraban errores en sus libros, pero se detuvo de seguir haciéndolo por problemas de fraude bancario. Como un reemplazo, inicio su propio “Banco de San Serrife”, de la nación ficticia de San Serriffe, quien mantiene una cuenta para todos aquellos que hallan encontrado un error en sus libros después del 2006. Knuth manda certificados “hexadecimales” en lugar de cheques.

De acuerdo a un artículo del MIT Technology Review, estas recompensas se describen entre los que se dedican al cómputo, “como uno de los trofeos más preciados”. Knuth dice haber escrito más de 2000 cheques con valores que exceden los 8 dólares cada uno. Se dice que el total de dinero acumulado en estos es de 20,000 dólares. Curiosamente la mayoría de esos cheques no se cobran, sino que se enmarcan, incluso los de los montos más altos. Encontrarle a Knuth un error es tan meritorio que incluso Edward O´Connor ha acuñado una frase: “Inteligencia: hallar un error en los textos de Knuth; Estupidez: cobrar el cheque de 2.56 dólares recibido“.

Curiosamente, Knuth no responde inmediatamente cuando alguien le reporta un error en alguno de sus libros o programas. En algunos casos puede tardarse en contestar incluso años. Por ejemplo, el primero de julio de 1996, Knuth mandó más de 250 cartas, 125 conteniendo cheques, por errores reportados en el Art of Computer Programming, desde el verano de 1981. Un par de ellos no han sido reclamados (a la fecha mayo del 2006). Cuando Knuth no responde inmediatamente, añade 5% de interés, compuesto contínuamente, a la recompensa. Knuth identifica los errores con un código: 1.23 indica el error en la página 23 del volumen I de su obra. (1.23) indica una sugestión valiosa en esa página.

La obra de Knuth es sin duda imprescindible para quienes hacen cómputo. De acuerdo al sitio del autor, ya éste no da clases y está totalmente dedicado a escribir los tomos faltantes para completar su obra.

Referencias:

Knuth Reward Check

El evento anual de hackeo conocido como Pwn2Own tuvo un primer día de actividades en el que la seguridad de Chrome, Firefox e Internet Explorer fue vulnerada por grupos de especialistas en seguridad. Este evento tiene la finalidad de encontrar las debilidades en el software de varias marcas y así tomar medidas para eliminarlas.

Pwn2Own 2013 se ha vuelto muy popular por las recompensas que ofrece a aquellos que puedan encontrar las fallas de seguridad en los programas de distintas empresas; en este caso, ni la tecnología de Google, Mozilla y Microsoft pudo evitar que los especialistas tomaran control sobre el software.

Los dos premios mayores fueron de 100,000 dólares para quien hackeara a Google Chrome en Windows 7 e Internet Explorer 10 en Windows 8; el equipo de MWR Labs y Vipen Security, respectivamente,  fueron quienes derribaron la seguridad en esos exploradores.

“Mostramos una falla de seguridad que afecta varias vulnerabilidades previamente descubiertas en Google Chrome corriendo en una laptop moderna basada en Windows…al visitar una página web maliciosa, fue posible usar la vulnerabilidad que nos permitió tomar el control sobre la ejecución de código en el contexto de un proceso regido por un mecanismo de seguridad”, publicó el equipo de MWR Labs en su blog.

Vupen Security, equipo que tomó control sobre Internet Explorer para Windows 8 corriendo en una Surface Pro, tuvo que derribar una variedad de tecnologías que Microsoft ha agregado al software durante los últimos años.

“Hemos tomado control de MS Surface Pro con dos zero-days [término para referirse a una vulnerabilidad recién descubierta] en IE10 para comprometer completamente a Windows 8 con una omisión de su mecanismo de seguridad”, publicó Vupen Security en su cuenta de Twitter.

Otro de los navegadores vencidos fue Mozilla Firefox. En ese caso, Vupen Security fue quien tomó control sobre el navegador, y se hizo acreedor a un premio de 60,000 dólares.

Además de los navegadores, la tecnología Java de Oracle también fue vulnerada, mientras que adobe Flash y Adobe Reader, junto con Safari de Apple permanecieron intactos en el primer día del evento.

Pwn2Own 2013 continuará hasta este viernes, con varias categorías aún pendientes por premiar.

Referencia: Pwn2Own 2013, MWR Labs, Twitter

Este modelo de negocio es el equivalente al de los rastrillos con navajas reemplazables o las impresoras con cartuchos desechables en los que el rastrillo o la impresora resulta relativamente barato, pero los repuestos representan las utilidades para las empresas. Ahora, ¿qué pasa si queremos utilizar nuestro dispositivo con otra compañía o, incluso, si viajamos a otro país y queremos utilizar un SIM o chip local?

Anteriormente resultaba imposible para el usuario de a pie ya que requería de conocimientos muy técnicos para desbloquear los aparatos y solo en algunos lugares, aprovechando la línea gris entre la legalidad e ilegalidad, se podía pagar por desbloquear los dispositivos, sin contar que la garantía quedaba violada al realizar esta liberación. Fue hasta que un grupo plural de asociaciones y empresas relacionadas con el sector de las comunicaciones en México impulsó la Norma Oficial Mexicana NOM-184-SCFI-2012, la cual define reglas claras para el desbloqueo móvil, y fue publicada el 24 de agosto de 2012 con una efectiva aplicación 60 días después, a finales de octubre. Bajo esta norma, los teléfonos comprados bajo la modalidad prepago deberán estar desbloqueados para su uso en cualquier otra red mientras que los aparatos adquiridos bajo la modalidad pospago deberán esperar al término de su contrato para solicitar la liberación sin costo del mismo.

En caso de que el teléfono haya sido comprado antes de la entrada en vigor de esta norma, se deberá acreditar que está completamente pagado el dispositivo con la factura correspondiente y solicitar por escrito el desbloqueo en un centro de atención de tu operador local. Aunque ojo, aún el desbloquear un teléfono antes de que termine tu contrato es ilegal. Es relevante mencionar que no es técnicamente factible utilizar cualquier teléfono en cualquier red mundial. Por ejemplo, un teléfono con Push-to-Talk (radio trunking) bajo la tecnología iDEN no puede ser utilizado en una red GSM o cualquiera de sus evoluciones, ni con operadores que utilicen redes CDMA.

Son cuestiones técnicas pero básicamente hay 3 tipos de tecnologías móviles con sus distintas evoluciones: GSM (utiliza SIM o chip, la más utilizada a nivel mundial), CDMA (utilizado principalmente en Estados Unidos y en México por Iusacell) y iDEN (radiocomunicación vía trunking utilizado por Nextel). Lo anterior sirva para aclarar que el desbloqueo solamente hará funcionar a los dispositivos con un operador cuya tecnología sea la misma de la compañía donde lo compró. Para desbloquear tu teléfono debes ir con la operadora telefónica que te provee el servicio y si quisieras conservar tu número tienes que tramitar la portabilidad numérica.

El desbloqueo de dispositivos es un elemento más para la sana competencia en el sector al reducir las barreras para cambiarnos de compañía a una que nos brinde servicios de mayor calidad y a mejor precio. En esto de la competencia aún estamos en pañales, por eso hay que seguir exigiendo que se cumplan las normas y nos den realmente los servicios que estamos pagando. Si tienes alguna experiencia con el desbloqueo de celulares me encantaría leerla en los comentarios.

Ya aquí en unocero  dimos cuenta de un físico que decidió hacer una máquina para separar la crema de las galletas Oreo. Su sistema, el cual se asemeja a una máquina de Golberg, que funciona usando todo un complejo sistema de poleas, engranes, etcétera, para resolver problemas triviales. Otros investigadores, ahora de una Universidad norteamericana, pusieron manos a la obra en este problema y han salido con una máquina que parece más funcional: no sólo separa la crema de la galleta, sino que se pueden comer ambos componentes por separado.

La verdad es que parece ridículo siquiera dedicar tiempo a construir este tipo de máquinas, pero es claro que a veces las ideas prenden en la imaginación de las personas y lo ven entonces como un reto y además, como diversión. Así, dos investigadores de la Universidad de Minnesota, se dieron a la tarea de separar la crema de las galletas Oreo y además, poder finalmente comerse ambos componentes.  Uno de los investigadores ama las galletas, el otro, la crema que contienen. Con su diseño se dieron gusto ambos (aparentemente).

El sistema usado por estos investigadores quita la tapa de las Oreo de forma rápida y de un plumazo. Sin esfuerzo alguno. Una vez logrado esto, la crema se suaviza usando aire caliente y después se empuja con aire a la boca del investigador, con resultados no muy halagüeños. Finalmente, la otra tapa de la galleta sale disparada y el investigador se la come feliz de la vida.

Lo mejor sin duda es ese anuncio en el video de “NO INTENTAR” hacer esto en casa. La verdad es que es un asunto divertido.

Véase el video:

David Neevel es físico. Aparentemente le gustan las galletas Oreo, pero no le gusta el relleno cremoso que contienen. La pregunta que se hizo fue ¿cómo quitarle el relleno para poder saborear sólo la parte que le agrada? Pues bien, construyó una máquina que quita literalmente la crema de las galletas Oreo. Su invento se asemeja a las máquinas inútiles de Rube Goldberg.

Lo que llama la atención aquí es la solución al problema planteado. Sí, mucha gente con inventiva es capaz de hallar un problema y buscar una solución ingeniosa, pero la realidad, esto parece sobrepasar todo lo imaginable. De acuerdo con Neevel, su máquina es un trabajo que ya tiene unos cuatro años. Nosotros pensamos que bien es una terapia ocupacional o una manera de ejercitar la imaginación construyendo máquinas que hacen trabajos que se antojan como triviales.

El físico usa un Arduino para controlar su sofisticada máquina. Pone la galleta en una base, la cual se gira y la fija con dos placas metálicas. Pasa entonces una especie de cuchilla por en medio de la Oreo. Una vez hecho esto, las dos partes de la galleta, con restos de la crema, pasa a otra placa en donde con una fresa quita el resto de la crema en la galleta y listo, ya se puede comer la parte que le gusta al físico.

Quizás un trabajo de esta naturaleza, que ya lleva sus años, podría tener un resultado más allá de la satisfacción de resolver el problema planteado. Por ejemplo, qué tal interesar a Nabisco (el fabricante de dichas galletas) para promoverlas en un anuncio de televisión. Así, el esfuerzo sería incluso redituable económicamente.

Este es el video en cuestión:

Referencias:

Complex