viernes, 30 de abril de 2010

De Anubis b0.94 a la versión definitiva

anubis Hola a todos!, como sabréis ya han pasado algunas semanas desde que publiqué la tercera versión beta de Anubis, identificada por el código de compilación b0.94. Me ha sorprendido gratamente el éxito que ha tenido especialmente esta versión, que han linkado muchos compañeros de profesión en sus blogs y en numerosos foros. Gracias a ello, y a la expansión que le han dado, ¡gracias a todos!, estamos a punto de superar las 400 descargas de Anubis, y eso que lo que se ha publicado es tan solo una beta =)

Dentro de unos días publicaré la versión final de Anubis, no ha recibido ningún cambio importante con respecto a la beta b0.94, algún pequeño detalle que resuelve alguna excepción que ocurría en alguna extraña ocasión, pero nada clave para su funcionamiento. A diferencia de en las betas anteriores, no ha habido usuarios que me hayan enviado correos para reportarme errores, por lo que parece que Anubis ya ha recibido las pruebas suficientes para ser publicado.

Desde este mismo post aprovecho para confirmaros que estoy ya embarcado en el desarrollo de Anubis II, no se si mantendremos el mismo nombre para la segunda versión, para evitar confusiones con otras herramientas, pero lo que si os confirmo es que el concepto de Anubis evolucionará en gran medida. Nos gustaría minimizar lo mas posible las intervenciones humanas en el programa, y ampliar su radio de actuación. No os puedo dar mas datos, porque ahora mismo los cambios importantes están sobre papel, pero en unas semanas y tras publicar la versión final de Anubis, comenzaré a hablar de la segunda versión del programa.

Gracias a todos los que os lo habéis descargado y los que no podéis descargarla desde aquí, saludos!

jueves, 29 de abril de 2010

Criptografía y Seguridad en Computadores por Manuel José Lucena López

Cripto[1]Buenas a todos!, hoy os traigo un libro muy útil que estoy utilizando ahora mismo para estudiar Criptografía.

El libro ha sido escrito por Manuel José Lucena López para impartir la asignatura de Criptografía en la Universidad de Jaén en 1999, pero es tan sumamente bueno y útil para el estudio de las técnicas criptográficas que ha sido ampliado a libro.

Es distribuible libremente. Tiene 167 páginas.

Podéis descargarlo desde el siguiente link

http://elblogdecalles.es/descargas/Libro_Criptografia_y_Seguridad_en_Computadores.pdf

La pena es que no está actualizado a día de hoy por lo que no están los últimos algoritmos, pero viene muy bien para estudiar las bases.

A continuación os pego la introducción:

A lo largo de 1995 y principios de 1996, los profesores José Ignacio Peláez Sánchez, Antonio Sanchez Solana y Manuel Lucena López elaboraron una Colección de Apuntes para la asignatura Criptografía y Seguridad en Computadores, impartida en tercer curso de Ingeniería Técnica en Informática de Gestión, en la Universidad de Jaén. Varios años han pasado desde entonces, y, como cabía esperar en una disciplina de tan rápida evolución, las cosas han cambiado. Algunos algoritmos han perdido parte de su interés como es el caso de DES, que fue vencido el verano de 1998, nuevas técnicas han surgido o se han popularizado —PGP es un claro ejemplo de que para el usuario de a pie se puede conseguir autentica privacidad—, temas que antes tenían un interés limitado se han convertido en fundamentales —la rápida expansión de Internet obliga no sólo al profesional, sino al usuario medio, a tener ciertos conocimientos básicos sobre seguridad—, etc.

 
La presente colección de apuntes nació con la vocación de intentar cubrir en la medida de lo posible ese vacío. Sin embargo, la escasez de documentación en Español sobre Criptografía, y las dificultades que encontraban muchos alumnos para complementar bibliográficamente la asignatura, unido todo ello a la sorprendente difusión del anterior texto hizo surgir en el autor la idea de distribuir esta obra en formato electrónico y de forma gratuita

Disfrutarlo, saludos!

miércoles, 28 de abril de 2010

Video-ejemplo de Penetration Testing

Buenas a todos, hoy os traigo un vídeo que ha realizado  Offensive Security, los creadores de BackTrack, en el que hacen un ejemplo completo de Test de Intrusión. Las primeras capturas del video, hacen referencia a las técnicas de búsqueda de información, footprinting y fingerprinting, con herramientas que como sabéis están incluidas en el software Anubis b0.94 que he desarrollado. Hablo entre otras de las herramientas Nmap, Blind Scan, etc. Tras lanzar Nmap, el auditor que graba el video se da cuenta de que tiene el puerto 21 abierto, y por tanto hay un bonito FTP, con el que empieza a disfrutar..

Os dejo a continuación el vídeo, disfrutarlo! :)

 

martes, 27 de abril de 2010

Camino a la cuarta generación del desarrollo software: Desarrollo Dirigido por Modelos y su aplicación con la tecnología Domain Specific Language de Microsoft

El desarrollo de software es uno de los procesos que más ha evolucionado en los últimos 30 años. En la década de los 80 se introdujo la orientación a objetos, base de la mayor parte de la tecnología que se posee en la actualidad. En los años 90 las numerosas variantes de notación del análisis y diseño orientado a objetos que comenzaron en la década anterior derivaron hacia la utilización de una notación común, Unified Modeling Language, UML.
En los últimos años, UML ha sido un lenguaje bastante criticado, que ha derivado en dos corrientes, sus seguidores y sus no seguidores. A día de hoy han surgido nuevas alternativas de desarrollo de software como Agile y Extreme Programming, que dan menos importancia al modelo inicial y producen un acercamiento más libre a los métodos de diseño y administración de los proyectos.
Hoy UML ha dado un salto muy importante proponiendo una nueva alternativa en el diseño de software, que consiste en la generación de código de manera automática a través de un modelo. Este sueño idílico de todo desarrollador es conocido en la actualidad como el futuro de los lenguajes de cuarta generación.
Para conseguir esto se deben hacer mejoras en el propio UML, el cual no es capaz de expresar aún toda la lógica de un problema, y por tanto incapaz de representar completamente como debería de ser un software, como por ejemplo en el tema de las interfaces.
Los dos mayores impulsores de esta tecnología son Microsoft y la OMG. Esta última ha sido impulsora de esta tecnología con su popular Model Driven Architecture, MDA. Microsoft por su parte está siendo impulsora de una alternativa a la que ha denominado Software Factory y que está dando teniendo un gran éxito en los últimos años. Además, la creciente aparición de Lenguajes de Dominio, también conocidos como DSL, representan nuevos caminos en la construcción de software. Especialmente en los casos en que la orientación a objetos y el diseño dirigido por modelos estén integrados.
Las herramientas de cuarta generación de las que se hablaba antes no pueden ser consideradas como un lenguaje como tal ya que el desarrollo completo de un proyecto solo puede ser encarado por una arquitectura de trabajo que debe abarcar el ciclo de desarrollo del software casi en su totalidad.
Finalmente, se pueden destacan en esta nueva alternativa de desarrollo la siguientes tendencias:
  • MDA, Model Driven Architecture de la OMG.
  • SF, Software Factories de Microsoft.
  • Oslo
  • SPL, Software Product Lines, SPL

Dsl Tools

2229205080426[1] En la cadena de posts que hoy doy comienzo veremos una implementación de la tendencia Domain Specific Languages que está imponiendo Microsoft con su proyecto OSLO.
Según la definición propia de Microsoft, DSL (Domain Specific Language), está diseñado para ser útil para una tarea específica en un dominio de problema fijo. Con un lenguaje grafico o textual, puede definir un nuevo lenguaje de modelado y ponerlo en marcha de manera muy sencilla. Al crear un lenguaje específico del dominio propio y el diseño del modelo personalizado, se puede especificar exactamente qué conceptos se necesitan en la herramienta a desarrollar.
Cuando en el desarrollo se utiliza un DSL, se comienza identificando las partes de las aplicaciones que son susceptibles de ser modeladas usando un DSL. Después, se define y se implementa este lenguaje. Los usuarios del lenguaje crean modelos que usan para generar el código y adaptan el código generado en sus aplicaciones finales.
El Domain-Specific Language Tools permite crear un lenguaje específico del dominio que tiene su propio diseño gráfico y su notación de diagrama propio, para a continuación, utilizar el lenguaje para generar el código fuente adecuadamente para cada proyecto.
El Domain-Specific Development es el proceso de identificar las partes de las aplicaciones que se pueden modelar mediante el uso de un lenguaje específico del dominio y, a continuación la construcción del lenguaje y su despliegue a los desarrolladores de aplicaciones. Los desarrolladores utilizan el lenguaje específico del dominio para construir modelos que son específicos para sus aplicaciones, utilizar los modelos para generar el código fuente, y luego usar el código fuente para desarrollar las aplicaciones.
A continuación os dejo un link muy importante en el que Microsoft resume en que consiste su proyecto faraónico OSLO, en el veréis que habla de numerosas tecnologías de las que ya os he ido hablando últimamente como Azure:
En el próximo post continuaremos hablando sobre Domain-Specific Language Tools de Microsoft y comenzaremos la implementación de un proyecto software con Visual Studio donde espero poder aclararos un poco las profundas dudas que hay en este tema tan novedoso que es el desarrollo dirigido por modelos.
saludos!

viernes, 23 de abril de 2010

El índice de software ilegal en el canal de distribución se sitúa en el 26,4% en 2009, según Microsoft

 

Buenas a todos, hoy he visto esta noticia en portaltic.es donde hablan de la cantidad de software pirata utilizado en España. Lo que me ha resultado mas curioso es que la comunidad autónoma que consume mas software pirata es Extremadura, con casi un 50% de software pirata, una de las que mas impulsa el software libre con su Linux Extremeño LinEx. Os copio la noticia a continuación:

El índice de software ilegal en el canal de distribución se sitúa en el 26,4% en 2009, lo que supone un descenso del 0'9% respecto a 2008 y representa una ralentización de la disminución respecto a años anteriores; según los datos presentados por Microsoft este jueves en Madrid.

   Así lo demuestran los datos obtenidos en la última campaña del 'comprador anónimo' o 'mistery shoper' que Microsoft llevó a cabo entre el 1 de enero  y el 31 de diciembre de 2009 en distribuidores de toda España. En total visitaron 834 puntos de venta, de los cuales en 220 (un 26,4% del total) se encontró distribución de software sin licencia. De estos, 20 dejaron de ofrecerlo.

   En opinión del director de Desarrollo de Propiedad Intelectual de Microsoft, Txema Arnedo, 2009 ha sido "el mejor año de piratería en el canal", ya que, desde Microsoft consideran que demuestran que "es muy buena noticia que, incluso en circunstancias económicas negativas, continúe la tendencia hacia la normalización del canal de distribución".

   Ahora bien, los datos presentados no tienen en cuenta otros canales de distribución que no sean la venta directa, de manera que en ellos no consta la distribución a través de Internet, la cual podría estar detrás del descenso de software ilegal en el canal de distribución.

   En este sentido, Arnedo explicó en declaraciones de 'Portaltic.es' que "si esto -el software ilegal en el canal de distribución- está bajando tanto hasta el 26,4% y la piratería de usuario final sigue en el 42% lo que quiere decir es que hay mucha más piratería que viene de Internet".

POR AUTONOMÍAS, EXTREMADURA ESTÁ A LA CABEZA

   Por Comunidades Autónomas, Extremadura destaca como la que tiene un mayor índice de software ilegal en el canal de distribución con un 48,9%, un 3,9% más que en 2008. Detrás de ella, Castilla y León (46,7%), Asturias (43,8%), Andalucía (42,4%), Castilla La Mancha (36,7%) y Galicia (35,8%).

   En el otro extremo, destacan ocho comunidades que ya se encuentran por debajo del 20% del software ilegal en el canal de distribución. De ellas, las que presentan un menor índice son: Baleares (6,7%9) la Comunidad Valenciana (9,2%), La Rioja (11,1%9.

   Respecto a las acciones legales contra establecimientos que Microsoft tiene abiertas en la actualidad, son más de 60, de las cuales, 20 empezaron en 2009; un año en el que lograron un total de seis sentencias favorables.

LAS TIENDAS NUEVAS, HASTA TRES VECES MÁS ILEGALES

   En cuando a la ralentización en la disminución de este índice -en años anteriores descendió hasta diez puntos-, desde Microsoft consideran que la principal causa es el aumento de nuevas tiendas en el mercado abiertas por trabajadores del sector que se quedan en paro y no tienen los conocimientos necesarios.

   En este sentido, el director de Propiedad Intelectual de la compañía aseguró que "en 2009 las tiendas nuevas fueron hasta tres veces más piratas que las antiguas". Por lo que señaló que la ralentización es un fenómeno "normal" en épocas de crisis.

   Y es que casi la mitad de las tiendas visitadas en la segunda mitad de 2009 tenía menos de dos años de actividad y es precisamente en los nuevos negocios donde el índice de legalidad es mucho más alto (55%), muy superior a la de los distribuidores más establecidos (15% en el segundo semestre del año).

   Así las cosas, si en el periodo de enero a junio de 2009, de las 138 tiendas visitadas por primera vez un 36% vendían software ilegal, en los meses de julio a diciembre de 2009, se visitaron 175 tiendas nuevas y un 55% hacían negocio ilegal; lo que representa en total que un 47% de las 313 tiendas nuevas que Microsoft visitó por primera vez vendía software sin licencia.

 

FUENTE: http://www.portaltic.es/empresas/noticia-indice-software-ilegal-canal-distribucion-situa-264-2009-microsoft-20100422134313.html

miércoles, 21 de abril de 2010

La vida entre gigantes

google-apple-microsoft[1]

La historia de los grandes de la informática Apple y Microsoft es una historia la mar de interesante, plagios o no plagios, guerras y amores, avances estratosféricos de tecnología, expulsiones de compañías, en la película de Piratas de Silicon Valley podréis ver bastante detallado un resumen de la historia de estas compañías y de sus boss, Bill Gates y Steve Jobs.

Hace casi trece años desde que sus caminos se volviesen a cruzar cuando Microsoft salvó a Apple de la quiebra adquiriendo el 6% de sus acciones, en la conferencia Macworld en Boston de 1997.  En esa conferencia Bill Gates apareció por videoconferencia y fue recibido entre pitos y aplausos, muchos fliparon en colores. Además Steve Jobs volvió a Apple, después de muchos años fuera. Yo era muy pequeño por aquel entonces para vivirlo, pero para los que como yo no lo pudieron vivir he rescatado el video de ese momento de youtube:

 

 

Con esta adquisición Microsoft eliminaba los problemas que tenía con las autoridades anti-monopolio y eliminaba la demanda que Apple tenía contra ella. Dos pájaros de un tiro.

Microsoft invirtió 150.000.000$ en Apple. Con ellos, Apple se salvó de la quiebra e invirtió en realizar los cambios en la compañía que hoy en día conocemos.

Microsoft en la actualidad sigue teniendo acuerdos con Apple, como por ejemplo el de la venta de su Suite office para Mac, que el año que viene verá a la luz su Office 2011.

Mientras estas compañías firmaban acuerdos millonarios, dos estudiantes de Stanford, Larry Page y Sergey Brin perfeccionaban el algoritmo de su buscador Backrub, el predecesor de su futuro y dominador Google.

Hoy en día Microsoft sigue dominando el mercado de los sistemas operativos y numerosos programas y tecnologías, Google domina internet, algunos software y comienza a pegar fuerte en telefonía y Apple domina el mercado del mp3, telefonía, y minoritariamente el mercado cool de diversos gadgets y ordenadores… pero cual será el dominador del SO del mañana… ¿Alguna distribución de Linux? ¿alguna variante especializada como QubeOS? ¿Google Chrome? ¿Windows 8?.

Windows 8, al parecer se planea que sea una nueva revolución, no recuerdo aún donde leí un artículo que apostaba a que la próxima versión de Windows no tendría forma de sistema operativo normal, sino de servicio web, de una manera semejante a su tecnología Azure. Queda tiempo para saberlo aún, y muchas mejoras en las latencias de red, aunque sería interesante desde mi punto de vista que en el futuro los ordenadores ejecutasen simplemente una o varias máquina virtuales, y cargasen en ellas un escritorio remoto estilo servicio web del fabricante que deseasen a través de una conexión a internet. Así contaríamos con nuestro sistema operativo donde quisiésemos, independientemente de la plataforma.

El futuro está en la nube (y no en la del volcán islandés :) )

saludos!!

viernes, 16 de abril de 2010

Estructuración de problemas en la ayuda para la toma de decisiones en las organizaciones: ¿Windows XP o Windows 7? (Parte I)

Buenas a todos, en el post de hoy os voy a hablar de una de las técnicas y de una de las herramientas que suelen utilizar los jefes de equipo para modelar preferencias a la hora de tomar decisiones. En estos casos se hace normal el uso de las herramientas de modelización de preferencias que a partir de diagramas de influencia, que no son nada mas ni menos que diagramas que se parecen mucho a los diagrama de casos de uso o las ontologías que los desarrolladores están acostumbrados a tratar, permiten elegir una decisión de entre varias posibilidades, dependiendo de la ponderación que tengan las distintas vías que se hayan incluido en el diagrama.

Una de las herramientas de modelización mas utilizadas es Genie y es la que utilizaremos en este ejemplo, la podéis descarga desde aquí: http://genie.sis.pitt.edu/

La estadística es de vital importancia, aunque no a un nivel muy complejo, pero si necesaria, como se verá en posteriores post, ya que será clave el conocimiento de teorías como la T. de Bayes (http://es.wikipedia.org/wiki/Teorema_de_Bayes).

Para comenzar he desarrollado un ejemplo, donde intento valorar las distintas posibilidades que debería tener en cuenta una organización que desease migrar los equipos de sus instalaciones de Windows XP a Windows 7. Tras leerlo, encontraréis el problema modelizado con la herramienta Genie:

 

PROBLEMA:

Una organización  desea  migrar  los  sistemas  operativos  de  las  máquinas  de  su  organización  de Windows XP a Windows 7. Para ello se consideran las siguientes variables:

  • Desconocimiento de los empleados: Incertidumbre. Se desconoce si los usuarios serán capaces de aprender a utilizar fácilmente Windows 7.
  • Coste económico de las licencias de Windows 7: Objetivo económico. El coste de las licencias de Windows 7 es alto. Frente al bajo precio de las licencias de Windows XP además del coste nulo de mantener las licencias de XP ya adquiridas.
  • Coste económico del mantenimiento e instalación de equipos: Se estudian las posibles:
    • Incompatibilidades    de    Software:    Incertidumbre.    No    se    sabe    si    las incompatibilidades de software serán Altas o Bajas
    • Posible  falta  de  potencia  de  los  equipos:  Incertidumbre.  Se  desconoce  si  las máquinas  estarán  preparadas  para  funcionar  con  los  altos  requisitos  de Windows 7. En caso de falta de potencia podría ser necesario:
      • Comprar nuevos equipos: Sí/No
    • Amenazas   malware:   Incertidumbre.   El   malware   en   XP   imposibilita   en ocasiones el trabajo de los usuarios.  En Windows 7 por ahora no hay malware.

A  partir  de  los  resultados el  sistema  debe  decidir  si  se  instala  Windows  7  o  se  continúa  con Windows XP.

 

MODELIZACIÓN DEL PROBLEMA CON GENIE:

image

En el próximo post, partiremos de este problema para proporcionar una solución.

Saludos!

jueves, 15 de abril de 2010

El concurso de Matilda de la URJC

Buenas a todos, hace tiempo ya que postee en el blog que junto con mi amigo Matzino habíamos recogido la muñeca Matilda, símbolo de la semana cultural de la URJC para hacerla fotos en un concurso de fotografía de la facultad. Curiosidades del destino he quedado tercero en dicho concurso:

http://www.urjc.es/informacion/noticias_urjc/noticia_completa.php?ID=11497

Como os prometí en el primer post, a continuación os dejo un resumen de todas las fotos que hicimos a lo largo de este mes y así hago un poco de propaganda vil y rastrera de de mi uni =)

SANY2527 SANY2549 SANY2551

SANY2560

SANY2543

SANY2568

Matilda_3_recortadaMatilda_1_recortada

saludos!!

Desarrollo de un gadget para Windows 7 para visualizar un mapa con las visitas a tu blog

Buenas a todos, como ya os conté en algún post anterior estaba desarrollando el entorno de simulación y protección te ataques para la asignatura de ASS del máster. En esta asignatura la verdad que se dan temas muy interesantes sobre arquitecturas de servicios y se me ha ocurrido como buen freak, presentar en ella algún juguete mas para acompañar el proyecto anterior.

Para el proyectillo que hoy os presento he desarrollado un gadget para Windows 7 que incluirá un mapa de ClustrMaps, que como sabréis es un servicio que nos permite tras registrarnos incorporar un pequeño mapa en nuestro blog, a través de un pequeño código javascript, donde nos pintará en un mapa mundi los lugares desde los que nos visitan.

El desarrollo de gadgets ya lo traté en los dos post que os dejo a continuación, aún así os copio todos los códigos a continuación.

http://elblogdecalles.blogspot.com/2009/06/creacion-e-instalacion-de-un-gadget.html

http://elblogdecalles.blogspot.com/2009/06/creacion-de-un-gadget-para-la-sidebar.html

La estructura de un gadget como ya conté se basa en:

  1. Documento XML de manifiesto: En este archivo es donde se definen las propiedades de nuestro gadget: nombre, icono, autor, descripción de la utilidad del gadget, etc.
  2. Documento HTML: En él se programará toda la funcionalidad de la interfaz gráfica de nuestro gadget.
  3. Documento HTML de configuración: En caso de que nuestra aplicación sea muy compleja y tenga varios parámetros configurables, deberemos crear este documento (opcionalmente) para que el usuario pueda interactuar directamente con el gadget. Para nuestro proyecto actual lo omitiremos.
  4. Imágenes: Necesitaremos tres imágenes diferentes para nuestro gadget cómo mínimo, aunque esta parte es opcional también, una de ellas definirá el icono del menú de la sidebar para agregar nuevos gadget, otra de las imágenes, será la que se mostrará junto con los datos del autor, y la última imagen, definirá el fondo de nuestro gadget, en caso de no poner esta última, el fondo de nuestro gadget adquirirá el color de fondo que indiquemos en el fichero HTML.
  5. JavaScript: El código JavaScript de nuestra aplicación puede ir embebido en el propio HTML, o bien encontrarse en un fichero aparte y ser llamado desde el código HTML. JavaScript junto con HTML serán los encargados de proporcionar al gadget toda su funcionalidad.
  6. Hojas de Estilo CSS: Las Hojas de estilo se utilizan para dar el comportamiento gráfico de la interfaz HTML de nuestra aplicación. Sin ella el gadget se encontraría totalmente descuadrado de la SideBar, y carecería de imagen de fondo.

Los códigos del gadget son los siguientes:

Style.css

Body
{
width:158px;
height:105px;
margin-left: 0px;
margin-top: 0px;
margin-right: 0px;
margin-bottom: 0px;
background-image:url('../rss.gif');
}

Gadget.xml

<gadget>
<name>Mapa de Visitas</name>
<namespace>Namespace.Ejemplo</namespace>
<version>1.0</version>
<author name="jacalles">
<info url="http://elblogdecalles.blogspot.com" />
<logo src="wallpaper.png"/>
</author>
<copyright>2010</copyright>
<description>Gadget que muestra el Mapa de Visitas de elblogdecalles.blogspot.com</description>
<icons>
<icon height="48" width="48" src="wallpaper.png" />
</icons>
<hosts>
<host name="sidebar">
<base type="HTML" src="rss.html" />
<permissions>full</permissions>
<platform minPlatformVersion="1.0" />
<defaultImage src="wallpaper.png" />
</host>
</hosts>
</gadget>

Código HTML

<html>

<head>

<title>Mapa</title>

<link rel="stylesheet" type="text/css" href="css/style.css">

<center>

<a href="http://www3.clustrmaps.com/counter/maps.php?url=http://elblogdecalles.blogspot.com" id="clustrMapsLink"><img src="http://www3.clustrmaps.com/counter/index2.php?url=http://elblogdecalles.blogspot.com" style="border:0px;" alt="Locations of visitors to this page" title="Locations of visitors to this page" id="clustrMapsImg" onerror="this.onerror=null; this.src=&#39;http://www2.clustrmaps.com/images/clustrmaps-back-soon.jpg&#39;; document.getElementById(&#39;clustrMapsLink&#39;).href=&#39;http://www2.clustrmaps.com&#39;;" /></a>

</center>

</head>

<body>

</body>

</html>

El resultado final lo podéis ver a continuación:

image

image

image

Espero seguiros animando en el desarrollo de gadgets para Windows Vista y 7, son bastante sencillos si se tiene algún conocimiento de programación, y muy polivalentes para tener ciertos elementos de uso cotidiano a mano.

saludos!

lunes, 12 de abril de 2010

Hoy Microsoft ha presentado el KIN One y el KIN Two

microsoft-kin

Buenas a todos, como rumoreábamos en el post de la semana pasada “El próximo 12 de Abril Microsoft presentará “algo”,  hoy Microsoft ha presentado el KIN One y el KIN Two, los dos terminales que ha desarrollado junto con el fabricante Sharp.

Estos terminales tienen como faceta principal la conexión a internet y en especial a las redes sociales. Comparten las siguientes características que les permiten realizar una transferencia mas óptima:

  • KIN Spot:  Esta característica permite compartir los contenidos multimedia del teléfono con nuestros contactos. Entre los contenidos que se podrán compartir están:
    • Vídeos
    • Fotos
    • Contactos
    • Etc.
  • KIN Loop: Permite visualizar la información en tiempo real con nuestros contactos.
  • KIN Studio: Esta característica almacena los datos en internet, para poder gestionar la información desde allí y generar backup de seguridad.

El KIN One, será el modelo mas pequeño de los dos terminales, cuenta con un teclado completo QWERTY (muy útil para escribir los mensajes en las redes sociales) deslizante y una cámara de 5MPx. Además tiene una capacidad de almacenamiento de 4GB. Como podéis ver mas arriba cuenta con un diseño muy moderno y atractivo.

El KIN Two posee también un teclado QWERTY. Cuenta con el doble de capacidad de almacenamiento que el KIN One, 8GB y con una cámara de fotos superior de 8MPx.

Ambos terminales pretenden ser un éxito entre los jóvenes de todo el mundo, principales consumidores de las redes sociales.

Por ahora la operadora Vodafone ha firmado un acuerdo para vender en Europa estos terminales a partir de otoño. Los primeros países que verán el modelo serán Alemania, Italia y Reino Unido, pero poco después se extenderán por el resto de países, por lo que será casi seguro que los terminales llegarán algo antes de la campaña de navidad a España.

saludos!

jueves, 8 de abril de 2010

Security Module (Parte II)

Buenas a todos!, tras unos días poniéndome al día con los quehaceres diarios y graduarme ayer junto a mi compañero y amigo de Informática 64 Pablo (en cuanto tenga fotos las colgaré por aquí =) ), os traigo la primera versión del Módulo de Seguridad que estoy desarrollando como proyecto para la asignatura de ASS en la universidad.

En los siguientes apartados os explico detalladamente las partes de las que se compone el proyecto:

ESTRUCTURA DEL SISTEMA

El sistema implementado en el presente proyecto se compone de las siguientes partes:

  • Servicio Web Excel: Servicio web implementado en ASP.NET que simula una hoja de Excel, en la que los usuarios registrados desde su navegador podrán almacenar y recuperar datos en una tabla que se almacenará en una base de datos.
  • Metaservicio XML: Servicio Web que contendrá patrones de ataque que un hacker puede utilizar para vulnerar una base de datos. Este servicio debería ser actualizado regularmente para mantener la fortificación del sistema.
  • Módulo de Seguridad: Software instalado en el servidor web que colabora en las labores de protección de la Base de Datos filtrando las peticiones maliciosas.
  • Base de datos: Base de datos utilizada para almacenar las tablas del Servicio Web Excel y los datos de autenticación de los usuarios en el sistema.

El diagrama del sistema completo se muestra en la figura 1. Se basa en la idea de controlar desde el servidor web los accesos a una base de datos realizados por los usuarios, sin que lleguen a la base de datos, para evitar poner en peligro a la misma.

Para lograr filtrar las peticiones maliciosas antes de que lleguen a la base de datos se ha implementado un módulo de seguridad, que se instala en el servidor web. Este módulo se encarga de filtrar todos los contenidos de las peticiones realizadas por los usuarios al servidor. Durante la etapa de filtrado, el módulo de seguridad compara los patrones de ataque utilizados hasta la actualidad por hackers, obteniéndolos de un Metaservicio implementado en XML, con el contenido de las peticiones web, buscando posibles ataques a la base de datos. Obviamente no se han añadido todas las posibles inyecciones que existen, labor que sería prácticamente imposible, pero si las principales, además de unas especiales que me pasó Thor la semana pasada =) (gracias Oca).

Para este proyecto se ha decidido estudiar los casos de ataque basados en Inyecciones SQL para delimitar la envergadura final del proyecto.

image

Figura 1: Sistema de securización basado en la implementación de un módulo de seguridad

METASERVICIO XML DE SEGURIDAD

El Metaservicio XML de Seguridad, almacena un conjunto de los patrones de ataque más utilizados por hackers para aprovecharse de las vulnerabilidades más comunes de las bases de datos.

Estos patrones intentan simular las inyecciones que un usuario con intenciones maliciosas utilizaría para obtener información privilegiada de una base de datos o intentar penetrar en un sistema saltándose un campo de login.

En la figura 2 se muestra una captura de pantalla del Metaservicio XML, con algunas de las Inyecciones SQL que pueden ser utilizadas en el Servicio Web Excel desarrollado para el proyecto, para saltarse el campo de login inicial, para borrar la base de datos, para ejecutar una Shell remota, para apagar el sistema, etc.

image

Figura 2. Captura de pantalla del Metaservicio XML de Seguridad

MÓDULO DE SEGURIDAD

El Módulo de Seguridad es la piedra angular del sistema, es el encargado de filtrar todas las peticiones web que llegan al servidor. Para ello, analiza el objeto Response de una petición web, donde se encuentra toda la información de las peticiones realizadas al servidor y compara su contenido con la del Metaservicio XML explicado en el punto anterior para buscar patrones de ataque.

El desarrollo del Módulo se ha realizado en C# utilizando el IIS7 Managed Module Starter Kit para Visual Studio que ha producido el IISTeam y que facilita en gran medida la tarea de integrar un software en el IIS. Este kit permite acceder a las peticiones realizadas por los usuarios al servidor web analizando el objeto Response antes comentado.

En la figura 3, se muestra una captura de pantalla del código fuente del módulo. En la figura 4, se muestra el módulo de seguridad instalado en el servidor web.

image

Figura 3. Código Fuente del Módulo de Seguridad.

image

Figura 4. Instalación del Módulo de Seguridad en el servidor web IIS7.

SERVICIO WEB EXCEL

Para probar la protección que ofrece el Módulo de Seguridad junto con el Metaservicio XML de Seguridad se ha desarrollado un pequeño servicio web que simula una hoja de Excel. Este servicio es accesible por cualquier usuario registrado utilizando un navegador web, sin necesidad de instalar ningún cliente en el equipo.

El servicio web ha sido implementado en ASP.Net por la sencillez de implementación de formularios que ofrece Visual Studio.

En la figura 5 se muestra la pantalla inicial del servicio web, en la que solicitará los datos de un usuario del sistema.

image

Figura 5. Sistema de login para acceder al servicio web.

Tras pasar el login inicial, se abrirá la hoja de Excel del usuario con el que se ha realizado el registro en el sistema. Desde este formulario un usuario podrá descargarse los datos almacenados con anterioridad, modificarlos y volver a almacenarlos para recuperarlos posteriormente y contará con un botón que le permitirá vaciar la tabla completamente.

image

Figura 6. Servicio Web Excel, en el que un usuario podrá almacenar y recuperar datos.

FUNCIONAMIENTO DEL SISTEMA

Tras instalar el módulo de seguridad, no se verá alterado el funcionamiento del sistema exceptuando el caso en el que se detecte algún patrón de ataque.

En la figura 7 se muestra un simulacro de los datos que podría introducir un usuario durante el registro en el sistema.

El primer usuario, introduce sus datos normales de registro, usuario y contraseña, el servidor web solicita confirmación a la base de datos de que el usuario es correcto y está registrado, y esta le devuelve su consentimiento para acceder al sistema.

El segundo usuario de la misma manera que el anterior introduce sus datos de registro, pero este usuario se aprovecha de una mala implementación en el código de la base de datos, en el que no han sido parametrizadas las sentencias que permiten acceder al contenido de las tablas para evitar que las queries introducidas por el usuario se ejecuten como código, cuando en realidad deberían ser interpretadas únicamente como texto.

El tercer usuario, intenta utilizar la misma técnica que el anterior, pero es frenado en este caso por el módulo de seguridad, que impide que la petición llegue tan siquiera a la base de datos.

image

Figura 7. Simulacro del comportamiento de los posibles usuarios con el sistema con y sin módulo de seguridad.

En la figura 8, se puede ver cómo funciona el ataque y el sistema de protección comentado en la figura anterior. En ella, un usuario inyecta la query <<‘or’1’=’1>>, que utiliza para saltarse la siguiente sentencia <<select>> encargada de comprobar la existencia de un usuario en el sistema:

SELECT * FROM TUsuarios WHERE user=’’ or ‘1’=’1’ AND pass=’’ or ‘1’=’1

Con esta sentencia el usuario está indicando al sistema que quiere logarse como el usuario vacío con contraseña vacía, usuario que evidentemente no existe, pero al introducir el comando OR, está anulando el poder de esta sentencia, prevaleciendo el 1=1, que evidentemente es una sentencia que siempre se cumple y permitiendo de esta manera obtener una lista de todos los usuarios del sistema.

Tras obtener la lista completa, el sistema validará al usuario como el nombre y contraseña del primero que aparezca en la lista devuelta por la sentencia <<select>>.

image

Figura 8. Inyección de código SQL para penetrar en el sistema de forma ilícita.

Tras lanzar el ataque, el usuario debería haber penetrado en el sistema, pero como se muestra en la figura 9, ha sido identificado un patrón de ataque por el módulo de seguridad del servidor web, y le ha redireccionado inmediatamente a la página de error mostrada en dicha figura.

image

Figura 9. Página de error mostrada al usuario tras identificar un patrón de ataque el sistema.

En la figura 10, se muestra otro ejemplo de query introducida por el usuario, en este caso para intentar apagar el sistema mediante el código <<‘;shutdown>>.

image

Figura 10. Inyección SQL introducida para intentar apagar el sistema.

De la misma manera que antes, el usuario recibió inmediatamente la página mostrada en la figura 9.

Como se puede ver en la figura 10, el usuario con el que se registra un cliente en el sistema se pasa por la URL desde el formulario de login al servicio web Excel. Esta manera de pasar los datos es muy insegura, ya que un usuario podría modificar fácilmente desde la URL el nombre de usuario, accediendo a los contenidos de las tablas de cualquier usuario sin necesidad de realizar ninguna inyección de código. Además, podría inyectar código XSS (Cross-site Scripting) malicioso para ejecutar código javascript con los peligros que esto conlleva. Pero como se muestra en la figura 11, el propio lenguaje ASP.NET ya lleva instalado por defecto un filtro de seguridad, de funcionamiento semejante al que se ha desarrollado en este proyecto, pero en este caso dedicado a filtrar las inyecciones basadas en XSS, filtrándolas e impidiéndolas actuar.

image

Figura 11. Filtrado de un intento de XSS en el servidor web IIS7.

Todo el entorno está implementado en una máquina virtual con un Microsoft Server 2008. Para próximos proyectos intentaré ir ampliando las inseguridades de la máquina virtual para que sirva de práctica. En el próximo post intentaré colgar los elementos necesarios para que os montéis este entorno virtual, ya que colgaros la máquina virtual directamente se me hace casi imposible porque que pesa algo mas de 11GB.

Hasta el próximo post!

miércoles, 7 de abril de 2010

Hoy está en Madrid el proyecto natal

xbox-360-project-natal[1] Buenas a todos, os transmito un mensaje de Microsoft en Facebook:

Sólo por hoy Project Natal está en Madrid. Si vives aquí y quieres probarlo, escríbenos a facebookxbox@hotmail.es contándonos de una manera divertida por qué te gustaría hacerlo.

Por otro lado, están contestando a las preguntas de los usuarios, y han confirmado que Project Natal saldrá en Octubre en España, como muy tarde en Noviembre.

Finalmente decir, que aunque no se ha comunicado vía oficial por Microsoft, al parecer en una filtración se ha dicho que el precio del cacharro rondará los 50$.

saludos!

martes, 6 de abril de 2010

El próximo 12 de Abril Microsoft presentará “algo”

microsoft_courier_01[1]Buenas a todos, como habéis leído en el título de la entrada Microsoft ha preparado un acto para el día 12 de abril al que está invitando a la prensa de  todo el mundo. Con el nombre de "It's time to share", es tiempo de compartir, Microsoft prepara un acto en el que presentará alguno de sus productos al mundo, pero no ha querido dar datos sobre el tema y ha preferido que el secretismo sea uno de sus ases para el acto.

Las especulaciones corren, y se habla de que ese día Microsoft podría presentar su nueva joya de la corona, el Courier, el que sería su nuevo dispositivo tablet.

Otra posibilidad que se baraja es que Microsoft presente los nuevos dos modelos de móvil que sacará al mercado junto al fabricante Sharp con Windows 7 Mobile y que se especula que correrán con la tecnología Tegra de Nvidia. Imaginaros que maravilla puede salir de la unión de Microsoft, Sharp y Nvidia =)

Zune-HD[1]Algunos periodistas que han recibido la invitación aseguran que el tipo de letra con la que se redactaron coincide con el de los terminales Pure y Turtle que algunas fuentes afirman que estarán a la venta el 20 de abril bajo la operadora Verizon en Estados Unidos.

Siguiendo con las especulaciones, ¿podrían confirmar precio, salida al mercado y funcionalidades finales del Proyecto Natal para Xbox 360?

Finalmente para terminar con las posibilidades, el 12 de Abril verán la luz Office 2010 RTM y el reproductor multimedia Zune de 64GB, quizás Microsoft prepare un acto de presentación para alguno de estos productos.

Acertemos o no, el próximo 12 de Abril se presentará algo importante en Microsoft, y estaré atento para comunicároslo.

Saludos!

lunes, 5 de abril de 2010

¡Ay, Pad!

Buenas a todos, parece que el i-Pad está dando que hablar en sus primeros dos días de vida, algunos comentarios buenos, pero muchos otros hablan de sus fallos con el WiFi, y del pirateo del aparatejo, os copio una noticia que acabo de leer en el mundo:

Pese a que a las primeras impresiones sobre la tableta de Apple han sido bastante positivas y las ventas han ido mejor de lo previsto -se calcula que en el primer fin de semana se han vendido en EEUU entre 600.000 y 700.000 unidades-, también han aparecido las primeras quejas.

Están relacionadas con la conexión WiFi del aparato. Según ha desvelado TechCrunch, y se puede comprobar en el servicio de ayuda de Apple, en algunos caso no aparece la señal de conexión o ésta es muy débil en lugares donde otros dispositivos funcionan perfectamente.

Pero parece que éste no ha sido el único disgusto con el que se tendrá que desayunar este lunes Steve Jobs. El iPad también ha sufrido 'jailbreak' -el proceso que permite acceder a todos sus archivos y carpetas-. Un par de días después de su lanzamiento, un miembro del equipo Dev-Team -conocido por haber hecho lo mismo con el iPhone- ha logrado 'liberar' el acceso al nuevo producto estrella de los de Cupertino.

Lo han contado en Twitter y lo muestran en un vídeo en YouTube [lo puedes ver abajo]. El usuario ha aprovechado un fallo de seguridad del navegador para tener un acceso total al iPad y poder instalar aplicaciones de terceros no autorizadas por Apple.

PS: Para todos aquellos que tengan cualquier duda sobre el iPad les remito al Twitter de Ángel Jiménez de Luis, el experto en gadgets de ELMUNDO.es. En su cuenta da respuesta a las cuestiones de los lectores

 

 

FUENTE: http://www.elmundo.es/blogs/elmundo/aypad/2010/04/05/el-ipad-pirateado-y-con-sus-primeros.html

domingo, 4 de abril de 2010

Vuelta de vacaciones

Buenas a todos, tras unos días descansando de los estreses que he tenido los últimos meses en un pequeño pueblo de la geografía Salmantina sin cobertura, he vuelto al Bronx para continuar con Anubis en la fase final que queda del proyecto y que concluiremos en los próximos dos meses.

Llevamos ya mas de 270 descargas de Anubis, lo cual me alegra mucho, y me anima a seguir con el proyecto en adelante.

Acabo de actualizar la versión del manual de usuario de Anubis actualizando las capturas de pantalla del programa, que estaban puestas las antiguas de la versión 0,81 porque no había tenido tiempo de actualizarlas hasta ahora y modificando algún que otro detalle.

http://elblogdecalles.es/descargas/manual_anubis.pdf

Espero acabar unos proyectos que tengo pendientes y volver a postear con regularidad, os iré comentando cosas sobre ellos en posteriores post.

saludos!