Google vs. ébola: producen una tableta que puede ser sumergida en cloro

Tableta de Google usada en la batalla contra el ébola

Todos sabemos de la terrible batalla que se libra contra el ébola en África; pero no todos sabemos de lo difícil que es la labor de los doctores que tienen que tratar a los pacientes; hasta hace relativamente poco, estos tenían que usar pesados trajes para entrar en las diversas zonas de riesgo de lugares dedicados a tratar pacientes, trajes que junto con el calor que hay ahí hacen que no sean condiciones de trabajo muy cómodas que digamos; y la mayor parte del tiempo que los doctores pasan en la zona de riesgo es capturando información de los pacientes en papel, mismo que luego se captura por otra persona (con la que se comunican a gritos pues está al otro lado de una cerca) y finalmente es quemado.

Pues bien, algunos doctores buscaron una mejor forma de hacer las cosas y llegaron a un área de Google que se encarga de causas caritativas, y éste respondió con una tableta cubierta por policarbonato que puede ser sometida al proceso de desinfección que consiste en 10 minutos de baño en cloro; con esto los doctores ahora pueden enviar la información de los pacientes vía inalámbrica y procesarla más rápido, así como gracias a la desinfección del dispositivo sacarlo de la zona de riesgo y seguir trabajando con ellos.

Que bueno que Google y otras empresas puedan contribuir a causas como esta, en las que la tecnología hace una verdadera diferencia.

Windows 10 trae de vuelta el fantasma de Secure Boot

Advertencia de Secure Boot

Aquellos que tengan memoria afilada recordarán que con el anuncio de Windows 8 hubo una controversia sobre el que no dejaría instalar otros sistemas operativos, debido a que para cumplir con el programa de logo “Diseñado para Windows 8“, el hardware debía tener soporte para la característica Secure Boot de UEFI. Ahora bien, un poco de background: para los que no sepan que es, Secure Boot es una característica que permite que un binario arranque dependiendo de si tiene la firma digital criptográfica correcta; de esta manera, si algún binario no se identifica de manera correcta, no podrá iniciar, con esto previniendo ciertos ataques muy especializados de malware y otros similares.

Para quedar claros: Secure Boot no es algo malo, muy al contrario, es una característica deseable de seguridad, a pesar de que como todas las medidas de seguridad es eso, otro nivel más, y puede ser atacado (ver este artículo); pero a pesar de ser algo bueno a la vez también deja fuera a todo sistema operativo que no tenga una firma criptográfica para identificarse al arrancar; de vuelta con el relajo de Windows 8, en aquel entonces Microsoft puso en marcha un plan de contingencia estableciendo que cada sistema debería tener un “switch” para deshabilitar Secure Boot, así como firmar binarios de terceros (por la módica suma de USD $99), y finalmente el que los usuarios pudieran añadir sus propias firmas y certificados al firmware de modo que sigan aprovechando Secure Boot. Pero hay indicios de que esto cambiará con Windows 10…

En las conferencias WinHEC 2015 se habló sobre los requerimientos de Windows 10, y hubo uno que llamó particularmente la atención: ahora el switch para deshabilitar Secure Boot será opcional, lo que abre la puerta a que los fabricantes de equipos (OEMs) puedan lanzar equipos diseñados para Windows 10 y nada más; aunado a esto, no se mencionó nada sobre la posibilidad de que tales OEMs ofrezcan la oportunidad de agregar certificados propios. El temor es que quizás en computadoras de escritorio no pase gran cosa, pero si en laptops y otros dispositivos con movilidad, donde bloquear el sistema operativo pueda significar menos dolores de cabeza relacionados con costos operativos de llamadas de soporte por otros sistemas no Windows.

Leer más

Pwn2Own 2015: de nuevo hackean todos los navegadores principales, y es algo bueno

Logos de navegadores con letrero Pwned

Otro Pwn2Own que pasa, y de nuevo vuelven a hackear a todos los navegadores (totalmente parchados) con exóticas combinaciones de métodos que explotan vulnerabilidades hasta ahora desconocidas incluso por sus creadores, todo con miras a pasar por alto los mecanismos de seguridad y defensa de los navegadores modernos, principalmente para prevenir ejecución de código remota. Adicionalmente a los navegadores, también hackearon Adobe Reader y a uno que ya es un viejo cliente, Adobe Flash; la cuenta total quedó en 5 vulnerabilidades en Windows, 4 en Internet Explorer 11, 3 en Mozilla FireFox, Adobe Reader y Flash Player, 2 en Apple Safari y 1 en Google Chrome. Particularmente impresionante fue lo que hizo JungHoon Lee, un conocido investigador de seguridad y hacker de navegadores, que se inscribió solito al concurso, y solito hackeó Internet Explorer 11 y Google Chrome en Windows, y Safari en Mac OS X, ganando USD $225,000 como premio, así como las portátiles usadas para demostrar los hackeos. Vale la pena mencionar que sólo el bug de Chrome le valió USD $110,000. Y todo el solito.

Como siempre, no hay que ver estos resultados como algo necesariamente malo; primero que nada, estos exploits no son nada fáciles de replicar, y requieren profundo conocimiento de como funcionan sistema operativo y navegador; al final del día es algo bueno, pues todas las vulnerabilidades son dadas a conocer a sus respectivos fabricantes, y y a cada uno se encargará de implementar las medidas correctivas necesarias para corregir tales problemas, y como consecuencia final tendremos un navegador más seguro. La velocidad con la que cada fabricante parche sus navegadores ya es un tema diferente, y hasta donde tengo entendido, Mozilla es el los que más rápido se pone a trabajar en los fallos reportados.

Actualización 24/03/15: FireFox ya está parchado.  :-) 

[schema type=”event” evtype=”Event” url=”https://cansecwest.com/” name=”CanSecWest” description=”El Pwn2Own es un concurso que toma lugar cada año en las conferencias CanSecWest ofrecidas en Vancouver, Canada, es patrocinado por Hewlett-Packard y su progama Zero Day Initiative. El concurso pone a competir a investigadores de seguridad contra las últimas versiones de los cuatro navegadores principales en versiones de 64 bits, de modo que se puedan demostrar ataques que permitan ejecutar código remoto en los sistemas subyacentes.” sdate=”2015-03-18″ stime=”12:30 pm” edate=”2015-03-18″ country=”CA” ]

Microsoft aclara: podrás actualizar tu versión pirata a Windows 10, pero seguirás siendo pirata

Calavera pirata triste

Piratas del mundo, paren la fiesta: al parecer faltaba leer la letra pequeña en el anuncio de que todos, incluidos los que tuvieran una versión pirata, podrían actualizarse a Windows 10; sucede que si, aunque tengas una versión “no genuina” (en términos microsoftianos) podrás actualizar a Windows 10, pero la cosa es que no obtendrás una licencia válida: tu copia seguirá teniendo el mismo estatus de “no genuina”, tan pirata como antes. Nueva, más bonita, pero igual de pirata. En declaraciones de representantes de Microsoft:

Con Windows 10, aunque las PCs no genuinas (sic) podrán actualizarse a Windows 10, la actualización no cambiará el estado de genuino de la licencia…si un dispositivo estaba considerado como no genuino o con licencia incorrecta antes de la actualización, ese dispositivo seguirá siendo considerado como no genuino o con licencia incorrecta después de la actualización.”

O lo que es lo mismo pero con mucho menos palabras: tomen su licencia gratuita, piratas. Y a fin de cuentas quizás sea lo más sensato, porque sería mandar el mensaje equivocado a sus clientes que si pagaron por el software…ahora bien, nadie sabe que significará tener esta versión “no genuina” de Windows 10, pero todos suponemos que el buen Microsoft le pondrá candados aquí y allá, cosas bonitas como impedir recibir actualizaciones críticas, pantallas negras de wallpaper y quizás algún límite de ejecución de aplicaciones.

Vamos, todos sabemos lo que es el problema real: yo, y estoy seguro que muchos de ustedes, no tengo problema en pagar por software, siempre y cuando el precio sea justo; mi copia actual de Windows 8 me costó USD $20 si no mal recuerdo, si, empleando malamente una promoción para estudiantes, pero a fin de cuentas este debería ser el precio a pagar por algo como Windows: una pieza de software que es importante, pero que por si sola no permite hacer mucho. Los tiempos de cobrar $100 o más por un sistema operativo debieron haber terminado hace ya mucho.

Lo último de Avengers: Age of Ultron (trailer, spot de TV)

No es precisamente un trailer, según averigüé es un spot de TV, pero que demonios, es lo mejor a la fecha de la próxima a salir “Avengers: Age of Ultron”…para ser sincero, es más de lo mismo, pero en sentido positivo; aunque tengo mis dudas sobre la Bruja Escarlata y Mercurio no me gusta mucho que digamos, escenas como la de Thor bateando el escudo del Capitán o el mismo Capitán aventando su moto contra un convoy hacen que valga la pena ir a ver esta película, que sale el 1o. de mayo de este 2015. Mi hijo se va a volver loco… :D

Windows 10: nuevo build 10041, requerimientos e información sobre actualizaciones

Windows 10 Tech preview (tomado de Ars Technica)

Microsoft sigue con sus planes de lanzar pronto Windows 10, y para ese efecto el día de hoy puso a disposición de todos Windows 10 Build 10041, el cual contiene varias mejoras sustanciales, como un menú transparente de inicio, un “lienzo” que hace las veces de espacio de captura de escritura (para aquellos con tablets o dispositivos similares), actualizaciones a la aplicación de fotos, pantalla de bloqueo, y configuración de redes. Las actualizaciones suenan bien, pero lo interesante como siempre está en los requerimientos:

  • Resolución: 800×600 mínimo
  • Memoria: 1GB (32 bits), 2GB (64 bits)
  • Almacenamiento: 16GB (32 bits), 20GB (64 bits)
  • Vídeo: soporte de DirectX 9
  • BIOS: soporte UEFI 2.3.1
  • Sólo tablets: botón Power, botones subir/bajar volumen

Los requerimientos para móviles son algo distintos:

  • Firmware: soporte UEFI 2.3.1
  • Memoria: varía de acuerdo a la resolución, va de 512MB a 4GB
  • Almacenamiento: 4GB flash, tarjeta SD requerida para actualizaciones
  • Vídeo: soporte DirectX 9
  • Botones: Power, subir/bajar volumen; Inicio, atrás, búsqueda requeridos para teléfonos con pantallas WVGA

Si me preguntan, son requerimientos bastante decentes; y hay que reconocer que Microsoft se ha esforzado en tratar de construir un Windows que sea más eficiente en el consumo de recursos: todavía hace unos días se daba a conocer de como conservarían mejor el espacio en disco, así como de otras optimizaciones que se han hecho a nivel de kernel y demás.

¿Como podrás actualizar tu sistema actual?

Hoy también se ofreció información sobre como se podrán actualizar sistemas Windows actuales, a partir de versiones 7 y superiores:

Gráfica de actualización a Windows 10

Como puedes ver, Windows 7 puede actualizarse a 10 con un ISO, o bien si es Windows 7 SP1 o superior y se tienen todas las actualizaciones se podrá actualizar a través de Windows Update. Y más aún, se detalló que los fabricantes de hardware deberán ofrecer un camino para actualizar de Windows 8.1 a 10 y asegurar que sus drivers sean compatibles. Nada mal, ojalá todo se cumpla…

Leer más

Nueva impresión 3D en líquido, hasta 100% más rápida y muy impresionante

Yo creo sin temor a equivocarme que a todos nos gusta la impresión 3D; aquellos que tienen la fortuna de poder experimentarla, por lo general se topan con el problema de que no es un proceso muy rápido que digamos. Ahora, una nueva empresa llamada Carbon3D parece que cambiará eso, pues una nueva técnica propietaria llamada CLIP (Continuous Liquid Interface Production, Producción contínua de interfase líquida) parece que va a cambiar las reglas del juego y en serio; para empezar, sus creadores dicen que es entre 25% y 100% más rápido que procesos convencionales; como puedes ver en el vídeo, a diferencia de otras técnicas que apilan capas hasta producir el modelo final, el proceso CLIP usa lásers para ir moldeando una resina líquida, proceso durante el cual se regula la exposición al oxígeno. Y el proceso CLIP es bastante preciso: sus creadores dicen que la impresora puede crear puntos que no serán curados por el láser de tamaños tan pequeños como 10 micrones. Y créanme, a pesar de que todo esto parece un engaño, alguien debe de haber quedado muy impresionado con esta tecnología pues Carbon3D recibió USD $41 millones en financiamiento para este proyecto. Y es emocionante ver que aún queda mucho por innovar en el ámbito de la impresión 3D, son muchos los beneficios que pueden haber en masificar tecnologías como ésta.

Fuente: Gizmodo

La vulnerabilidad Shellshock en bash: todo lo que hay que saber

Bash en una Mac (tomado de Engadget)

Aún no está solucionado el problema de la vulnerabilidad Heartbleed, y ahora tenemos una nueva vulnerabilidad llamada Shellshock que gracias a que a) está presente en Unix, Linux y Mac OS X, y b) es fácilmente explotable, supone un gran problema de seguridad que se viene encima. A diferencia de Heartbleed, que requiere un alto nivel técnico para explotarla, esta Shellshock no requiere de gran cosa para poder explotarla.

¿Qué es Shellshock?

La vulnerabilidad Shellshock ataca el shell bash, que para los que no sepan que es, les comento que es en esencia una aplicación que se usa para interpretar comandos del sistema operativo; la vulnerabilidad pertenece a la clase de ejecución remota de código, lo que significa básicamente que cualquiera que no esté logueado en la computadora puede “engañar” a bash para que ejecute comandos que no debería. Esta vulnerabilidad está documentada como CVE-2014-6271 y CVE-2014-7169.

Como mencioné antes, la peligrosidad de esta vulnerabilidad radica principalmente en la poca pericia que hay que tener para poder aprovecharse de ella: cualquiera con mediana experiencia en el manejo de bash podrá hacerlo.

¿Es vulnerable mi sistema?

Puedes verificarlo tecleando esta línea de comando (cortesía de Red Hat) desde bash:

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

Si tu sistema es vulnerable, verás la salida:

vulnerable
this is a test

Y en caso contrario, verás algo como:

bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
this is a test

¿Es una vulnerabilidad seria?

En realidad si lo es; por ahora hay sólo un parche incompleto pero por lo que he visto muchas empresas están trabajando a marchas forzadas para producir un patch completo. Sin embargo, es una vulnerabilidad seria por una razón adicional: actualizaciones. Pensemos en sistemas empotrados que dudosamente recibirán actualizaciones, y de estos como ustedes saben hay muchísimos. También están los sistemas ICS y SCADA, que igual representan un peligro potencial ante esta vulnerabilidad. Y para aquellos con un sitio web con cPanel, parece ser que son vulnerables también a través de algunas de las herramientas de este panel.

¿Qué puedo hacer al respecto para protegerme?

Actualizar tu sistema tan pronto como te sea posible, siguiendo las instrucciones correspondientes según tu distribución de Linux, o si es UNIX o si es Mac OS X, y si aún no hay actualizaciones, estar pendiente para cuando salgan éstas.

Según los investigadores de seguridad que están siguiendo el caso, esta vulnerabilidad pinta para estar con nosotros por un largo tiempo, dada su naturaleza. Sigan pendientes de este tema que apenas va empezando…