Sun corrige 15 vulnerabilidades en JRE 1.5,x y 6.x

La nueva versión 13 de la rama 6 de Java Runtime Environment corrige múltiples vulnerabilidades, como viene siendo habitual. El “Update 13”, como su propio nombre indica, es la decimotercera tanda de corrección de problemas de seguridad desde que apareció la rama 6 hace ahora dos años.

 

También se han corregido la rama 5 con el Update 18 y el JDK para desarrolladores. Los siete boletines publicados corrigen hasta 15 vulnerabilidades diferentes que podrían ser aprovechadas por un atacante remoto para escalar privilegios, provocar denegación de servicio y potencialmente, ejecutar código arbitrario.

 

Brevemente, las vulnerabilidades son:

 

  • Se ha corregido una vulnerabilidad en su implementación del servidor HTTP. Esto podría se aprovechado por un atacante remoto sin privilegios para causar una denegación de servicios a través de vectores no especificados.
  • * Se han corregido múltiples desbordamientos de memoria en JRE al procesar ficheros de imagen en formato PNG o GIF, así como ficheros de fuentes. Esto podría permitir a un atacante remoto escalar privilegios a través de applets o aplicaciones Java Web Start especialmente manipuladas
  • Se ha corregido un error en la máquina virtual de JRE, que podría permitir a un atacante remoto la ejecución de código arbitrario a través de applets especialmente manipulados.
  • * Se han corregido múltiples vulnerabilidades en Java Plug-in, podrían permitir a un atacante remoto escalar privilegios y obtener información sensible a través de applets especialmente manipulados.
  •  Se han corregido dos vulnerabilidades en JRE al procesar y almacenar ficheros fuentes de carácter temporal consumiendo gran cantidad de espacio en disco. Esto podría permitir a un atacante remoto provocar denegación de servicio a través de applets especialmente manipulados.
  • *Se ha corregido un error de desbordamiento de enteros y memoria en la utilidad de desempaquetado ‘unpack200’ de JRE. Esto podría ser aprovechado por un atacante remoto para escalar privilegios a través de applets especialmente manipulados.
  •  Se ha corregido un error en la implementación de LDAP, que podría permitir a un atacante remoto realizar denegación de servicio a través de la realización múltiples conexiones desde un cliente LDAP.

 

Las vulnerabilidades han sido solucionadas en JDK y JRE 6 Update 13 y JRE 5.x Update 18 desde:

http://www.java.com/es/download/

 

Continuar leyendo “Sun corrige 15 vulnerabilidades en JRE 1.5,x y 6.x”

RapizZearch: buscador para descarga directa.

Somos muchos los que usamos a diario los servicios de RapidShare, MegaUpload y derivados varios, tanto en la version gratuita como la de pago

(premium), pero siempre echams en falta el buscador del Emule o del Ares, para no tener que recurrir a paginas servidoras, pues bien RapidZearch nos

facilita el trabajo permitiendonos buscar en su BD que se mantiene actualizada a diario, he estado haciendo pruebas y la verdad funciona muy bien.

Videos de las conferencias sobre Ingeniería Informática en Alicante

Aquí puedes ver los videos completos acerca de las conferencias realizadas en la Escuela Politécnica Superior de Alicante (www.ua.es) sobre las Ingenierías Informáticas

Video de la asamblea Informativa sobre Ingeniería Informática del pasado 14 de noviembre:

http://www.ua.es/es/servicios/si/servicios/videostreaming/politecnica/ingenieriaInformatica.html

Video de la conferencia de Guillermo Bernabeu del pasado 21 de noviembre:

http://www.ua.es/es/servicios/si/servicios/videostreaming/politecnica/ingenieriaInformatica2.html

20 Cosas que hacer despues de instalar Linux Ubuntu

Despues de la instalación de Ubuntu en cualquiera de sus versiones, el Sistema Operativo viene repletito de sofftware para empezar a trabajar, pero si queremos hilar fino y dear el sistema decente, estos son las 20 aplicacciones y trucos imprescindibles
Recordad que para instalar todos los programas podeis hacerlo desde el Gestor de Synaptics buscando por el nombre de forma automatica
  1. Advanced CCSM: Para activar los efectos de Compiz Fussion y mucho mas.. HComo instalar distintos fondo de pantalla en cada area de trabajo
  2. Avant Windows Navigator (AWN): Barra de navegacion al estilo de los Mac con los iconos de las aplicaciones.
  3. Gstreamer Extra Plugins: Gstreamer plugins son necesarios para los reproductores multimedia..
  4. Ubuntu Restricted Extras: Estos extras proporcionana la mayoria de los plugins necesarios para FireFox, Java, Flash, etc….
  5. MS Core fonts: You won’t find Times New Roman and other Microsoft propreitary fonts in Ubuntu. So this plugin will install those fonts on your Ubuntu machine.
  6. Mozilla Thunderbird: Posiblemente el mejor cliente de correo existente.
  7. Lightning: Plugin para el Thunderbird que proporciona un calendario.
  8. Firefox Add-on: 50 plugins para Firefox que deberias usar.
  9. gtkRecordMyDesktop: programa para crear tutoriales estilo Camtasia, muy interesante para bloggers.
  10. Scribus: Interesante para crear listas de correos, Revistas, Blogs, etc…
  11. Samba: imprescindible si quieres conectarte a redes de Microsoft WindowsIf you have more than one computer in your house, you would definitely wanna make a Home network or at least wanna share files between the two. Samba enables you to do that easily.
  12. Yahoo! Zimbra Desktop: Zimbra son las nuevas aplicaciones de windows, que permiten integrar los servicios de Yahoo en el escritorio
  13. Miro: Miro reproductor multimedia que permite descargar videos de youTube.
  14. Wine: Permite ejecutar aplicaciones Windows en Ubuntu, Imprescindible WineHQ site.

    Para instalarlo:

    Abrir Terminal-> Copiar y Pegar “wget -q http://wine.budgetdedicated.com/apt/387EE263.gpg -O- | sudo apt-key add -”
    Copiar y pegar “sudo wget http://wine.budgetdedicated.com/apt/sources.list.d/hardy.list -O /etc/apt/sources.list.d/winehq.list
    Escribir “sudo apt-get update“.
    Escribir “sudo aptitude install Wine
  15. Google Earth: instalar  Google earth.
  16. Skype: Descargar la ultima version desde www.skype.org .
  17. Gizmo Project: Otra aplicacion para la voIP Gizmo .
  18. Songbird: Songbird es la alternativa open source al Windows Media Player e Itunes, la verdad es que es una maravilla, esta dispoinible tanto para windows como para linux.
  19. Ir a Sistema ->Preferencias ->Apariencia ->Efectos Visuales y elegir Extra. esto activara la aceleracion grafica para los efectos de escritorio

MANIFIESTO POR UNA INFORMATICA DIGNA

La informática es el tratamiento automático de la información. Los profesionales de
la informática, donde los ingenieros ya suponen más de 125.000 y con 95.000
estudiantes
, llevan sufriendo una situación de agravio que no parece corregirse en
ningún momento. Los informáticos necesitamos sin demora que el gobierno legisle y
regule competencias en el sector en el que trabajamos. Existen en el ámbito
profesional un gran número de ejemplos en los que el Estado legisla y regla el
ámbito (instalaciones aire acondicionado, electricidad, construcción, medicina,…).
Los que apoyamos este manifiesto consideramos que las opiniones de que el
objetivo de Europa es eliminar este tipo de legislación carecen completamente de
sentido, ya que es completamente necesaria. Acaso, alguien puede imaginar que
cualquier persona pueda realizar operaciones sin que esté facultado para ello como
exige la ley, francamente no. Por lo tanto, no parece de ningún modo razonable que
esa legislación vaya a desaparecer. La información en formato digital, la
automatización de su tratamiento, el acceso y almacenamiento de enormes
cantidades de información de manera automática, la creación constante de
hardware más potente o de menor tamaño y la creación de software para dotar a la
sociedad de nuevas habilidades en el ámbito social o profesional ha supuesto una
transformación completa de la sociedad. El tratamiento automático de la información
es una cuestión francamente delicada cuando se trata de información personal,
tanto que existe una Ley Orgánica de Protección de Datos, la Ley Orgánica 15/
1999
, para garantizar y proteger en lo que concierne al tratamiento de los datos
personales, las libertades públicas y los derechos fundamentales de las personas
físicas, y especialmente de su honor e intimidad personal y familiar. Pero
sorprendentemente esa ley no dice nada sobre que profesionales pueden asegurar
a la sociedad que el sistema que guarda su información tiene un mínimo de
protección o que la red de comunicaciones por la que viaja tiene mecanismos para
evitar que la información sea capturada.
El anterior caso es sólo uno de los muchos casos que se dan en esta sociedad de
un tratamiento automático de la información y en el que no existe una legislación
que dé una serie de garantías sobre si las personas que se ocupan de la creación,
implantación o mantenimiento están capacitadas para ello. No es posible que uno
de los pilares básicos de la sociedad permanezca por más tiempo sin ofrecer
garantías de calidad profesional a la sociedad y que los profesionales que han
logrado que la sociedad actual esté en el punto en el que se encuentra sufran
continuadamente injusticias en su ámbito profesional.
Respecto a lo ocurrido el 28 de octubre de 2008 en el Congreso consideramos que
es un insulto frontal a toda la comunidad de profesionales y estudiantes de
informática. Ese insulto no es más que una de las muchas injusticias que este
colectivo viene sufriendo; pero esa no es una más, ya que proponemos que sea un
punto de inflexión donde la comunidad de la informática se una y cambie su actitud
para luchar todos juntos para que la situación de agravio permanente en la que
vivimos sea eliminada.

La lista de agravios comienza en el año 1990 cuando se aprobaron las titulaciones
de Ingeniería e Ingenierías Técnicas en Informática. Esto es así, debido a que
desde 1986 existe una ley en vigencia, la Ley 12/1986, de 1 de abril, sobre
regulación de las Atribuciones de Arquitectos e Ingenieros Técnicos, que refleja la
obligación de asignarle atribuciones profesionales a TODAS LAS INGENIERÍAS
TÉCNICAS, así como reflejaba la obligación de regular las profesiones a las que
daban acceso las titulaciones de segundo ciclo, por lo que debería ser aplicada a la
Ingeniería en Informática.
Debido al incumplimiento de la Ley 12/1986 por parte de todos los gobiernos que
han existido desde las titulaciones de ingeniería e ingeniería técnicas ha provocado
que en el sector empresarial los informáticos llevan sufriendo un número inmenso
de irregularidades laborales que han supuesto un grave perjuicio para los miembros
que componen el sector profesional de la informática. Desde los estudios de ciclos
formativos hasta los universitarios superiores que componen los estudios de
informática permanecen desde el año 1990 en un claro agravio en comparación con
el resto de titulaciones regladas y homologadas por el estado en las que si se
cumple la Ley 12/1986. Así, desde el punto de vista de este manifiesto se llama a la
unidad de todos los profesionales de la informática para exigir:

  • 1º- Que sea reemplazado el actual cargo de SECRETARIO DE ESTADO DE

TELECOMUNICACIONES Y PARA LA SOCIEDAD DE LA INFORMACIÓN
del Ministerio de Industria Turismo y Comercio y que en su lugar surja la COSECRETARIA
DE ESTADO DE TELECOMUNICACIONES E INFORMÁTICA
formada por dos cargos con igual de poder uno ocupado por un Ingeniero en
Telecomunicaciones y otro por uno de Informática. Es inviable por más
tiempo que un grupo de profesionales tan numeroso como el de los
informáticos no tenga representación oficial en el Ministerio de Industria
Turismo y Comercio.

  • 2º- Exigimos el siguiente plan de actuación para solventar el problema que

sufren profesionales y estudiantes de informática:
I. Un compromiso público del Gobierno de España y demás fuerzas políticas
de que con una fecha límite no superior a 12 meses se creará una Ley de
Cortes de la necesaria y demandada Regulación de la informática conforme
del cumplimiento de la Ley 12/1986 en colaboración con los diferentes
Colegios de Ingenieros e Ingenieros Técnicos de Informática, Asociaciones
de Técnicos de Informática y directores y decanos de escuelas y facultades
de informática.
II. Que mediante esa ley para la regularización del sector de la informática las
ingenierías e ingenierías técnicas en informática se cree un debate para la
adaptación de las titulaciones al EEES como en la transposición de la
Directiva de Servicios y en la transposición de la Directiva de
Reconocimiento de Cualificaciones Profesionales.

  • 3º- Exigimos la creación de los Consejos Generales de Colegios de Ingeniería

e Ingeniería Técnica en Informática, solicitadas por los distintos colegios
autonómicos. Se está incumpliendo por tanto de nuevo la Ley de Colegios
Profesionales que obliga a que una vez creados 2 o más colegios de ámbito
autonómico y bajo solicitud de éstos, que se ha realizado, será inmediata la
creación de los Consejos Generales que los aglutinen a nivel estatal.
Actualmente existen 8 colegios de ingeniería técnica y 11 de ingeniería en
informática de ámbito autonómico.

  • 4º- Exigimos disponer del órgano de representación de obligada consulta a

nivel nacional en los temas propios del ámbito de la informática, que la Ley
nos otorga.

  • 5º- Exigimos respeto y reconocimiento a las ingenierías (técnicas) en

informática, que no son una materia “transversal” como dice el gobierno si no
una INGENIERÍA Y UNA PROFESIÓN DE RECONOCIDO PRESTIGIO
SOCIAL y fundamental para la construcción de la Sociedad de la
Información, con casi 200.000 afectados entre titulados y estudiantes y con
un sector que genera el 2% PIB nacional.

  • 6º- Exigimos la paralización de la asignación de competencias propias del

ámbito de la ingeniería en informática a otras titulaciones que no pertenecen
a dicho ámbito.
Entendemos que la mayoría de políticos no tenían por qué saber la situación
profesional que existe en el sector de la informática; pero ahora que esta cuestión
se ha hecho pública y conocen la terrible injusticia que viene sufriendo el sector
profesional de la informática, les exigimos que pongan fin a esta situación sin más
demora.

Los que apoyamos este manifiesto estamos decididos a que se eliminen las
injusticias que vienen soportando durante tantos años los profesionales y
estudiantes de la informática, y nos comprometemos a no cesar en el empeño de
que los anteriores puntos expuestos sean llevados y desarrollados por las
autoridades de este país.

Manifiesto: Descarga

Huelga Informatica

¿Qué pasa con la Ingeniería Informática?

Publico intrego el POST que ha escrito Enrique Barreiro

Profesor Titular de la Escuela Superior de Ingeniería Informática de la Universidad de Vigo. Imparto mi docencia en las materias Ingeniería del Software y Mundos Virtuales.
Desde hace unos días circula por Internet una convocatoria de huelga de los ingenieros en informática para el próximo 19 de noviembre. En mi opinión, ya iba siendo hora de que el sector se pusiera las pilas para reclamar lo que es de justicia, pero lo cierto es que muchos de los mensajes y posts que circulan por ahí indican que hay mucha gente que está confundiendo problemas diferentes (aunque relacionados) y que eso lleva a que, entre otras cosas, se estén diciendo burradas como:

– “Desaparecen las ingenierías en informática”
– “Nuestros títulos no son homologables a ninguno”
– “Nunca tendremos atribuciones profesionales”
– “Los títulos actuales no tendrán validez”
– “No podremos trabajar en Europa”


y que no hacen ningún bien ni a la profesión ni a las titulaciones.

Pues bien, trataré de aportar mi grano de arena intentando aclarar un poco esta situación, las consecuencias que se derivan de ella, la actuación de la CODDI (Conferencia de Directores y Decanos de Informática), y alguna otra cosa más. Aviso, me va a salir un post más largo que un día sin pan.

En primer lugar hay que tener claro que los ingenieros en informática (permitidme que bajo este término agrupe a los ingenieros técnicos en informática y a los ingenieros en informática) tienen dos problemas relacionados pero diferentes, y que necesitan soluciones distintas:

1) El diseño de los nuevos títulos adaptados al Espacio Europeo de Educación Superior, y
2) La regulación de la profesión.

El RD 1393/2007 de 29 de octubre, por el que se establece la ordenación de las enseñanzas universitarias oficiales, es lo primero que habría que mirar para entender cómo se está llevando a cabo la adaptación al proceso de Bolonia. Si hasta ahora el sistema universitario se ha basado en una relación de títulos universitarios fijada desde el Ministerio, común a todo el territorio nacional (es decir, nadie podía ofertar, por ejemplo, una Ingeniería Técnica en Bases de Datos), el citado RD deja en manos de las Universidades la posibilidad de inventar, diseñar y ofertar cualquier titulación que consideren oportuno, pero con una excepción: el artículo 12.9 de ese RD dice lo siguiente:

” Cuando se trate de títulos que habiliten para el ejercicio de actividades profesionales reguladas en España, el Gobierno establecerá las condiciones a las que deberán adecuarse los correspondientes planes de estudios, que además deberán ajustarse, en su caso, a la normativa europea aplicable. Estos planes de estudios deberán, en todo caso, diseñarse de forma que permitan obtener las competencias necesarias para ejercer esa profesión. […].”

Lo que ha hecho el Ministerio para las titulaciones que dan acceso a profesiones reguladas es publicar, después de muchas negociaciones con los colegios profesionales y el ámbito universitario, una “ficha” en la que se incluyen las competencias académicas que deben adquirir aquellos que cursen estas titulaciones (en otras palabras, unas directrices propias de la titulación). Es decir, la Universidad que quiera ofertar un Máster en Ingeniería Industrial o un Grado en Sistemas de Telecomunicaciones tiene que ajustarse a esas directrices para que su título sea verificado por la ANECA.

Para entendernos: una profesión regulada es, por ejemplo, la de arquitecto (nadie puede firmar el proyecto de un bloque de viviendas si no es arquitecto y el proyecto cuenta, además, con el visto bueno del Colegio Profesional de Arquitectos) o la de Ingenieros Técnicos de Telecomunicación en sus distintas especialidades. Aquí es donde surge el conflicto en lo que respecta a nuestros planes de estudios: las profesiones de ingeniero técnico en informática y la de ingeniero en informática NO están reguladas. ¿Por qué? Pues por razones “históricas”: las titulaciones en Informática nacieron como licenciaturas y diplomaturas y no fue hasta el año 1990 en que se establecieron los títulos de Ingeniero Técnico en Informática de Gestión, Ingeniero Técnico en Informática de Sistemas y deIngeniero en Informática. Aunque la profesión, como ingeniería que pasaba a ser, tenía que haber sido regulada por el Ministerio de Industria (o el que tuviera las competencias en cada legislatura), nunca lo fue. ¿Y por qué? (parezco mi hijo 🙂 Pues… ¿dejadez?, ¿falta de presión desde el ámbito profesional?, ¿intereses de profesionales del mundo de la informática provenientes de otras titulaciones? A nadie se le escapa que en este ámbito hay cantidad de profesionales con titulaciones tan dispares como Matemáticas, Física, Telecomunicaciones, Química, Biología, Empresariales, etc, (yo mismo soy doctor en ingeniería informática pero mi titulación de origen es la de Empresariales). Esta situación que muchos denuncian como “intrusismo profesional” tiene su explicación en que la explosión de titulaciones en Informática en España no llegó hasta la primera mitad de los años 90, por lo que durante muchos años la industria tuvo que hacer frente a sus necesidades contratando a cualquiera que supiera programar dos líneas de código o hubiera dirigido proyectos del tipo que fuera. Perdonadme el inciso, pero mi caso es paradigmático de lo que ocurría hace unos años: entré de profesor en la Universidad de Vigo en el año 1991 con 23 años, licenciado en Empresariales tres meses antes, en una convocatoria de seis plazas de profesor de informática… a la que nos presentamos sólo cinco personas de la misma edad (y tres venían de Granada, la facultad de la que se nutrió mi Escuela durante varios años). La primera promoción de Licenciados en Informática por la Facultad de A Coruña salió un año después.

Como se puede ver, aquí hay dos problemas: uno, correspondiente al ámbito académico (el diseño del título universitario) y otro al ámbito profesional (la regulación de la profesión). LaCODDI, aunque pertenece al ámbito académico, no es ajena al problema de la profesión, pues el uno no se soluciona sin el otro. Por un lado organizó en marzo de 2007 una reunión en Madrid con las diferentes asociaciones y colegios profesionales para poner en marcha una Comisión de Atribuciones cuyo objetivo es conseguir que el Ministerio de Industria ceda y se decida a regular la profesión (por ahora, y a la vista está, con escaso éxito).

Por otra parte la CODDI lleva años presionando a los sucesivos equipos del Ministerio competente (antes Educación, ahora Ciencia e Innovación) para que, a pesar de que la profesión no está regulada, se elaborara una ficha también para nuestras titulaciones. Es decir, para que se nos trate exactamente igual que al resto de las ingenierías. Durante unos meses hubo una luz de esperanza porque llegamos a conseguir el compromiso del anterior Secretario de Estado de Universidades, Miguel Ángel Quintanilla, en este sentido. Incluso durante el 2006 se llegaron a publicar borradores de directrices para las ingenierías en informática, basadas en el Libro Blanco de la titulación aprobado por la CODDI en 2003 y aceptado por la ANECA. Por desgracia, el tema de las fichas se estancó para todo el mundo por la falta de acuerdo en algunas ingenierías (y en relación a nuestro caso, en mi opinión, por la presión de determinados lobbys muy interesados en que no se regule la ingeniería informática). En eso llegaron las elecciones y hoy Universidades depende del Ministerio de Ciencia e Innovación y el equipo es otro, que por ahora no asume el acuerdo anterior y se ciñe a lo que dice el Real Decreto: que tendrán esas directrices los títulos que den acceso a profesiones reguladas. Y por eso han salido, finalmente, las fichas de las ingenierías sin las de nuestro ámbito.

En la reunión del pasado 30 de octubre en la Escuela Universitaria de Informática de la UPM, en la CODDI aprobamos una ficha de nuestra titulación de grado que al día siguiente entregó la presidenta, María Ribera (decana de la Facultad de Informática de Barcelona), personalmente a Felipe Pétriz, el actual Director General de Universidades, que las aceptó con el compromiso de comenzar a trabajarlas cuando las fichas de las otras ingenierías estuvieran resueltas, momento en el que el Gobierno le daría a la CODDI la propuesta de solución. A pesar de tener que esperar turno, la impresión de los asistentes a esa reunión parece ser positiva, pero con los políticos las impresiones normalmente son positivas, no suelen echarte a patadas en el culo de su despacho (dejan que las dé la realidad de sus decisiones). Por otra parte, ayer miércoles los representantes de la CODDI se reunieron con los diputados del PSOE que la pasada semana rechazaron la Proposición No de Leypresentada por el diputado Jesús Vázquez, del Grupo Popular (hasta hace poco Decano de la Facultad de Empresariales del Campus de Ourense, buen amigo, pero sobre todo un diputado que ha comprendido el problema y se está partiendo la cara en este asunto), en la Comisión de Ciencia e Innovación del Congreso (podéis ver el debate desde la TV del Congreso) en la que se instaba al Ministerio a cumplir el acuerdo alcanzado con Quintanilla y elaborar nuestra ficha. Por lo visto, los diputados del PSOE opinan (en la misma línea que CiU, que se abstuvo), que la solución pasa por la transposición de la directiva europea de servicios (algo así como un catálogo de profesiones en la que España tendría que incorporar la del ingeniero informático), que se realizará en breve, pero los representantes de la CODDI que asistieron a la reunión no se ve nada claro que este camino sea seguro ni suficientemente rápido.

¿Qué decidió la CODDI para evitar que Escuelas o Facultades se echen al monte y se empiecen a ofrecer títulos universitarios de Ingeniería Informática que sean cada uno de su padre y su madre, desvirtuando definitivamente la titulación y, por extensión, la profesión? Pues pedir el apoyo de los Rectores para las fichas elaboradas por la CODDI para el grado y el máster y las eleven a la CRUE (Conferencia de Rectores de Universidades Españolas), para que, de facto, existan unas directrices propias de la titulación. No es una solución, pero permitiría que la cosa no se desmadrara definitivamente mientras se sigue luchando. No olvidemos que ya hay universidades que este curso 2008/2009 ya ofrecen un título de Graduado en Ingeniería Informática. Pocas, pero las hay.

Es importante actuar rápido y, sobre todo, contundentemente, pues en las fichas que ha hecho públicas el Ministerio se han otorgado a las ingenierías de telecomunicaciones competencias como: Internet, servicios, aplicaciones, componentes, circuitos digitales, circuitos integrados, dispositivos lógicos, microprocesadores, arquitecturas de computadores convencional, secuencial, paralela y multiprocesamiento), procesado digital de la señal, servidores, redes, sistemas distribuidos, sistemas perativos, interfaces persona/computador, usabilidad, seguridad, bases de datos, sistemas de información, programación (fundamentos, métodos, lenguajes, en tiempo real, concurrente, distribuida y basada en eventos), software (tecnología, metodología, ingeniería), gestión del conocimiento, etc. Sinceramente, creo que estas competencias ya no se las quita nadie, pero lo que hay que conseguir es que no sean los únicos que las tienen.

Después de todo este rollo, volvamos a algunas de las afirmaciones con las que empecé este post:

– “Desaparecen las ingenierías en informática”. Pues no es cierto. No es que la Ingeniería Informática vaya a desaparecer, porque las Universidades son totalmente libres de ofertar esta titulación, pero… ¿en qué medida resultará interesante cursarla si en las titulaciones de telecomunicaciones se adquieren esas competencias y encima dan acceso a una profesión regulada? La respuesta es obvia, ¿no?

– “Nuestros títulos no son homologables a ninguno al no existir correspondencia con los nuevos títulos”. No es cierto, sencillamente porque los títulos antiguos no se homologan con los nuevos. Es un sistema nuevo, con titulaciones nuevas, y no existe el concepto de “homologación”. entre unos títulos y otros. Quien tenga un título de Ingeniero Técnico en Informática de Sistemas seguirá teniendo ese título, pero lo mismo ocurre con, por ejemplo, el Ingeniero Técnico en Telecomunicación, o el Ingeniero Técnico Industrial. Lo importante es definir a qué profesión da acceso una titulación. Si el Ingeniero Técnico en Informática de Sistemas da acceso a la profesión (eso sí, no regulada) de Ingeniero Técnico en Informática, la de Graduado en Ingeniería Informática dará acceso a esa misma profesión.

– “Nunca tendremos atribuciones profesionales”. El no tener ficha no implica que no vayamos a tener atribuciones profesionales. De hecho, la situación es la inversa: no tenemos ficha porque no tenemos atribuciones profesionales, si bien es cierto que conseguir la ficha podría ser determinante para que al Ministerio de Industria no le quedara más remedio que ponerse a definirlas.

– “Los títulos actuales no tendrán validez”. Evidentemente, la validez legal no se perderá nunca, pero sí es cierto que social y profesionalmente, como comentábamos antes, perderán valor al resultar menos interesantes para los estudiantes y estar sus competencias académicas recogidas en los planes de estudios de las telecomunicaciones. Por extensión, los títulos actuales perderán también valor.

– “No podremos trabajar en Europa”. Esto sí es una solemne chorrada, puesto que precisamente lo que no existe en muchos países europeos es la Ingeniería de Telecomunicaciones como algo separado de la Informática, y es ésta la titulación reconocible. Además, si las universidades cuidan de que las titulaciones de Ingeniería Informática se hagan ajustadas a las fichas de la CODDI, las competencias serán perfectamente reconocibles para cualquier empleador europeo.

En definitiva, aunque en la exposición del problema hay muchas interpretaciones apocalípticas y poco rigurosas, lo cierto es que estamos ante un problema tremendamente grave, que afecta al futuro profesional del 25% de los ingenieros de este país, y precisamente a aquellos que construyen los cimientos de la sociedad de la información y el conocimiento. Es necesario, pues, una acción conjunta y decidida de los ingenieros informáticos de este país para conseguir que la sociedad y los políticos conozcan y comprendan lo que está en juego. Además, si en estos tiempos los ingenieros informáticos no consiguen que se hable de ellos, no sé quien lo va a conseguir 😀

Eso sí, toda movilización tiene que tener unas demandas claras, comprensibles y factibles, que en mi opinión deberían de resumirse en:

1) Obtener del Ministerio de Ciencia e Innovación el compromiso de elaborar una ficha de directrices específicas para las titulaciones de ingeniería informática, en las mismas condiciones que el resto de las ingenierías.

2) Obtener del Gobierno el compromiso de incluir en la transposición de la directiva europea de servicios las profesiones de ingeniero técnico en informática y de ingeniero en informática.

3) Obtener del Ministerio de Industria el compromiso de, en colaboración con los Colegios de Ingenieros Informáticos, elaborar y llevar al Parlamento una ley que regule las atribuciones profesionales del sector.

Dos cosas para terminar: además de la Proposición No de Ley mencionada anteriormente, en los últimos meses se han llevado a cabo otras iniciativas parlamentarias del Grupo Popular dirigidas hacia las dos vertientes del problema (académica y profesional), pero como ya me ha quedado un post kilométrico y son las horas que son, mejor lo dejo para otro post. Y antes de que llegue ningún comentario malintencionado, quiero aclarar que no soy del PP ni mucho menos, mal que le pese a mi buen amigo Jesús Vázquez, pero hay que dar al César lo que es del César, y hoy por hoy son los únicos que están moviendo este tema en el ámbito político.

Sobre la desaparición de las ingenierías en informática en los planes de Bolonia

ACTUALIZACION: en el foro

Juan Antonio Fernandez Madrigal nos cuenta:
«Estimados amigos, el Colegio Profesional de Ingenieros en Informática de Andalucía se ha hecho eco de una noticia importante para todos los titulados en Ingeniería Informática y en Ingeniería Técnica en Informática de España, así como para los estudiantes de las mismas: el Ministerio ha tomado la decisión de hacer desaparecer las titulaciones actuales de informática de los nuevos títulos de Bolonia (las únicas ingenierías que ha hecho desaparecer). Al mismo tiempo ha reconocido, al fin, que la informática tiene competencias que pudieran llevar a atribuciones profesionales, sólo que ha asignado estas competencias a los nuevos grados de telecomunicaciones. Como podéis comprender, esto puede tener graves consecuencias. Los vídeos de la sesión del congreso en que se rechazan los grados de informática están en YouTube. Los Colegios de Ingenieros en Informática se están coordinando para tomar acciones al respecto para tratar de que esta eliminación no sea tal. Ahora es muy importante la difusión de esta información entre los estudiantes y titulados involucrados. Muchas gracias». Hay una convocatoria de huelga para el día 19 de noviembre.

ACTUALIZACION:

Mensaje desde ‘Colegio Profesional de Ingenieros en Informática de Andalucía’

Estimado ingeniero,

El pasado 23 de octubre el Ministerio de Educación presentó las fichas de los nuevos títulos de grado y master de todas las ingenierías menos la de informática cumpliendose así los peores presagios. La excusa ha sido que nuestra ingeniería no tiene atribuciones y que la informática es una materia transversal y por lo tanto no debe de concentrarse en una titulación concreta.

Las consecuencias de esta situación son:

  • Desaparece la ingeniería en informática. Se cumple el deseo de muchos. Por fin desapareceremos y dejamos el camino libre al ejercito de aficionados y “reciclados” para erigirse como los nuevos y verdaderos informáticos. Dejaremos de ser un problema.
  • Nuestros títulos no serán homologables a ninguno al no existir correspondencia con los nuevos títulos.
  • Nunca tendremos atribuciones profesionales. No la hemos tenido hasta ahora y al desaparecer ya no las tendremos nunca. No sabemos que pasará con los nuevos títulos aunque por su caracter local a cada universidad no parece posible que lleguen a tener atribuciones.
  • Los títulos actuales no tendrán validez. Al no poder homologarnos con los nuevos títulos que pudieran aparecer en el futuro nuestros actuales títulos iran perdiendo validez y se quedarán como el recuerdo del mayor engaño del sistema educativo español.
  • Los actuales estudiantes están siendo objeto de engaño. Las universidades no informan temiendo una huida en masa que dejarían vacías a las escuelas de informática.
  • No podremos trabajar en Europa. Al no existir por lo dicho en los puntos anteriores, nuestros títulos no se corresponderán a ningún título europeo. Las nuevas fichas de ingenieros de telecomunicación recogen las competencias de la informática por lo que serán ellos quién se queden con nuestra parcela de trabajo.
  • Las universidades tendrán autonomía para inventar títulos relacionados con la tecnología de forma local y diferente entre ellas. Las universidades privadas harán su agosto y por fin todo el sistema universitario cumplirá su sueño de que todo el mundo pueda ser informático con independencia de sus estudios.

Evidentemente no nos vamos a quedar quietos viendo como nos pisotean. El próximo sabado 8 de noviembre nos reuniremos todos los Colegios de España en Madrid para coordinar las medidas a tomar. De igual manera nos estamos coordinando con la CODDI (COnferencia de Decanos y Directores de Informática), con ALI, AII2 y RITSI. Las acciones que se barajan pasan por todas las posibles, desde acciones legales a movilizaciones.

Pero hay una actividad fundamental que hay que realizar y que está en mano de cada uno de nosotros. Hay que DIFUNDIR esta información entre nuestros compañeros. Ahora más que nunca pido tu colaboración para que dentro y fuera de tu entorno difundas esta información. Es necesario que todos sepamos lo que está pasando. La táctica que ha seguido el Gobierno ha sido la de la desinformación. De hecho la incredulidad ha provocado que muchos ingenieros en informática no hayan creido que esto se pudiera producir y estoy seguro que tú mismo puedes dudar ante semejante barbaridad. Te puedo garantizar que esta situación es real y está ocurriendo ahora mismo.

Te pido también que estés atento al portal del Colegio (http://www.cpiia.org) ya que en los próximos días iremos dando más información.

Un cordial saludo,

Gregorio Ambrosio Cestero
Decano del CPIIA
Presidente de la Comisión Gestora del CPITIA

Hay que difundir esta noticia, ya esta bien de marginar a los Ingenieros informaticos NO SOMOS PUTAS

¿Realmente soy informático? o quizás soy una puta
y no me he dado cuenta? A ver que piense…

1· Trabajas en horas extrañas. ¡Como las putas!.

2· Te pagan para mantener al cliente feliz. ¡Como las putas!.

3· El cliente paga mucho más pero tu jefe se queda con casi todo el dinero. ¡Como las putas!.

4· Cobras por hora pero tu tiempo se extiende hasta que termines. ¡Como las putas!.

5· Te recompensan por satisfacer las fantasías de tus clientes. ¡Como las putas!.

6· Es difícil tener y mantener una familia. ¡Como las putas!.

7· Cuando te preguntan en qué trabajas… no lo puedes explicar. ¡Como las putas!.

8· Tus amigos se distancian de ti y tú sólo andas con otros igual que tu.¡Como las putas!.

9· El cliente paga tu cuenta del hotel y por horas trabajadas. ¡Como las putas!.

10· Tu jefe tiene un buen coche. ¡Como las putas!.

11· Cuando vas a hacer una “asistencia” al cliente estás bien de ánimos… pero cuando vuelves pareces haber salido del infierno, vuelves reventado… ¡Como las putas!.

12· Evalúan tu “capacidad” con horribles pruebas. ¡Como las putas!.

13· El cliente siempre quiere pagar menos y encima quiere que hagas maravillas. ¡Como las putas!.

14· Cada día al levantarte dices “NO VOY A HACER ESTO TODA MI VIDA!!!” ¡Como las putas!.

15· Sin conocer nada de su problema los clientes esperan que les des el consejo que necesitan. ¡Como las putas!.

16· Si las cosas salen mal es siempre culpa tuya. ¡Como las putas!.

17· Tienes que brindarle servicios gratis a tu jefe amigos y familiares.¡Como las putas!.

… Realmente… ¿ESTAS SEGURO DE SER INFORMÁTICO?…

10 conceptos que todo Ingeniero de Software debe conocer

El futuro del desarrollo de software es de unos buenos artesanos. Con la infraestructura como Amazon Web Services y un gran número de bibliotecas básicas, ya no tiene un pueblo para construir una buena pieza de software.

En estos días, un par de ingenieros que saben lo que están haciendo puede suministrar sistemas completos. En este puesto, hablamos de las 10 principales conceptos de ingenieros de software debe saber para conseguirlo

El éxito de ingeniero de software conoce y utiliza patrones de diseño, código activamente refactors, escribe ensayos y unidad religiosa busca la simplicidad. Más allá de los métodos básicos, hay conceptos que la buena ingenieros de software conocer. Estos trascienden lenguajes de programación y proyectos – que no son patrones de diseño, sino más bien grandes áreas que usted necesita estar familiarizado con. The top 10 concepts are: Los 10 principales conceptos son los siguientes:

  1. Interfaces
  2. Convenios y plantillas
  3. Capas
  4. La complejidad algorítmica
  5. Hashing
  6. Caching
  7. Concurrencia
  8. Nubes de Computación
  9. Seguridad
  10. Bases de Datos Relacionales

10. Bases de Datos Relacionales

Bases de datos relacionales han sido recientemente recibiendo un mal nombre porque no pueden escalar bien el apoyo masivo a servicios web. Sin embargo, este fue uno de los logros más fundamentales de la informática que nos ha llevado durante dos décadas y seguirá siendo durante mucho tiempo. Bases de datos relacionales son excelentes para la gestión de pedidos de sistemas, bases de datos corporativas y P & L de datos.

En cada registro se añade a una tabla, que define el tipo de información. La base de datos ofrece una forma de buscar los registros utilizando un lenguaje de consultas, en la actualidad SQL. La base de datos ofrece una manera de correlacionar la información de múltiples tablas.

La técnica de los datos sobre la normalización es la manera correcta de particionamiento de datos entre las mesas para minimizar la redundancia de datos y maximizar la velocidad de recuperación.

9. Seguridad

Continuar leyendo “10 conceptos que todo Ingeniero de Software debe conocer”

Guia de Seguridad Windows 2008 Server

Aqui teneis la guia oficial para descargar del nuevo Windows 2008 Server esta en ingles pero es muy interesante para todos los que administramos servicios windows.

Descarga

Pregunta de Examen de Microsoft.

Un cliente que Stan había visitado recientemente le dijo que deseaba contratar los servicios de la empresa de Stan, pero que no podía permitirse las licencias originales del software de Microsoft. ¿Cuál de los siguientes argumentos debería evitar?

Con software original, su empresa no tendría que preocuparse en lo que respecta al servicio de asistencia.
Una vez que registre Windows Vista, las actualizaciones para mejorar su seguridad y rendimiento se realizarían de forma totalmente automática a través de Internet.
El software pirata es ilegal y el riesgo que correría su empresa no merece la pena. Considérelo una inversión con grandes beneficios que le permitiría concentrarse en la misión principal de su pequeña empresa.
Le recomiendo que utilice Linux porque es gratuito.
Con software original actualizado de Microsoft, estará más protegido frente a virus y piratas informáticos.
Escenario 5 de 5 – Pregunta 3 de 4
Stan es nuevo en el mercado de las pequeñas empresas y se ha unido a la organización de Jim hace sólo unos meses. Durante la mayor parte de su carrera, ha estado ofreciendo servicios a grandes corporaciones. Aunque ambos mercados necesitan servicios de TI, durante las últimas semanas ha comprendido que las necesidades y justificaciones de las licencias de tecnología son fundamentalmente diferentes. Por ejemplo, las grandes corporaciones disponían de contratos de mantenimiento y políticas de TI que les otorgaban ventajas de actualización y seguro de software. Muchas pequeñas empresas no disponían de ellos, por lo que el proceso de ventas tenía que ser distinto. En muchos casos, terminaba aconsejando a los clientes de pequeñas empresas acerca del mejor modelo de licencia, entre otras cosas.
– Sabeis cual es la respuesta correcta? ;-P

Elevación de privilegios en el kernel vs. ejecución de código en Adobe Reader

Reacción de los Antivirus

Durante el fin de semana se ha dado a conocer una nueva vulnerabilidad en el kernel de Linux que permite a los usuarios conseguir privilegios de root. El problema es que también se ha hecho público, al mismo tiempo, un exploit que permite aprovechar la vulnerabilidad de forma sencilla. Lo mismo ha ocurrido con un fallo en Adobe Reader, pues durante el fin de semana se ha detectado que una vulnerabilidad estaba siendo aprovechada de forma masiva. Como simple experimento curioso, hemos comparado la reacción de los AV ante estas dos nuevas amenazas.

 

¿Cómo han reaccionado las casas antivirus ante este par de vulnerabilidades? Pertenecen a mundos distintos, una permite elevación de privilegios en el kernel (a través de una llamada a vmsplice) y otra ejecución de código en Windows con los privilegios del usuario que ejecute Adobe Reader. Una la sufren los kernel de Linux y otra los usuarios de Adobe en Windows, y los antivirus han reflejado esta disparidad en su capacidad y velocidad de reacción.

  Continuar leyendo “Elevación de privilegios en el kernel vs. ejecución de código en Adobe Reader”

¿Port Knocking… ofuscación o capa de seguridad?

Fuente: www.hispasec.com

El objeto de este artículo es recordar el concepto de “Port Knocking” y sus implicaciones de seguridad para en un posterior artículo reflexionar sobre “Single Packet Authorization” (SPA). “Port Knocking” no es un ingenio nuevo, lleva con nosotros desde 2003, pero es un tema recurrente en listas de correo y discusiones sobre seguridad.

 

¿Qué es “Port Knocking”?

 

Todos hemos visto películas en las que alguien golpea cierta secuencia en la puerta de una taberna y si la secuencia era correcta el tabernero abre una rendija para solicitar una clave verbal. Si la secuencia de llamada no era correcta, ninguna medida se toma y el interesado cree que la taberna se halla cerrada. El concepto de “Port Knocking” es exactamente análogo.

 

En informática, este concepto consiste en enviar paquetes a ciertos puertos en un orden específico con el fin de abrir un puerto en concreto. Este último puerto se halla cerrado por un cortafuegos siempre y cuando no se realice el barrido de puertos siguiendo la secuencia particular. De esta forma, si un atacante efectúa un escaneo del sistema, el puerto aparecerá cerrado aun estando el servicio asociado a él en funcionamiento, el cortafuegos hace un simple DROP si no se ha efectuado la secuencia de barrido previa.

  Continuar leyendo “¿Port Knocking… ofuscación o capa de seguridad?”

Servicios en Windows XP

En DudasInformaticas.com han publicado un PDF con los servicios que Windows XP gestiona, con una descripción de los mismos y su hutilidad, para poder desactivarlos e incrementar el rendimientos.

Articulo Servicios en Windows XP

Lista de Servicios de Google

Mirando los Foros de Hack Hispano, he encontrado este post muy interesante:

Lista de servicios de Google:

Añadir a Google:
http://www.google.com/intl/zh-cn/web…s/addfeed.html
Permite a un webmaster crear una imagen en su página web que si clickea el usuario añade la web a su Google Reader o a su página principal.

Bloggler:
http://blogger.com/
Ofrece un CMS para realizar blogs así como espacio para ellos. Uno de los servicios más populares.

Froogle:
http://froogle.google.com/
Servicio que sirve para comparar precios de distintos productos entre las tiendas de todo internet.

Gmail:
http://mail.google.com/
Servicio de correo electrónico que actualmente ofrece más de 2700 megas de espacio.

Google adsense:
http://www.google.com/adsense
Servicio que permite a webmaster incluir en su página web publicidad.

Google Adwords:
https://adwords.google.com/
Servicio que permite a empresas y usuarios poner publicidad de sus productos en las páginas que utilizan Adsense y en las búsquedas de Google.

Google Alerts:
http://www.google.com/alerts
Servicio de Google en el que te manda un email si encuentra lo que buscas en una búsqueda determinada. Muy usado para alertas de noticias.

Google Analytics:
http://www.google.com/analytics/
Contador de visitas a páginas web con unas extensas estadísticas.

Google Answers:
http://answers.google.com/
Para responder tus preguntas.

Google Base:
http://base.google.com/
Librería masiva de contenidos en la que cualquiera puede introducir datos.

Google Blog Search:
http://blogsearch.google.com/
Buscador que sólo busca en blogs.
Continuar leyendo “Lista de Servicios de Google”

Múltiples vulnerabilidades en JRE (Java Runtime Environment) de Sun

Sun han publicado actualizaciones para JDK, JRE y SDK debido a que se han encontrado numerosos problemas de seguridad no especificados que afectan a diferentes versiones. Estas herramientas también se engloban dentro del producto Java 2 Platform, Standard Edition

 JDK (Java Development Kit) y SDK (Software Development Kit) son productos destinados a los desarrolladores de programas Java. JRE (Java Runtime Environment) es un entorno que permite a las aplicaciones Java ejecutarse en el sistema e interpretar gran cantidad de contenido web.

 JRE es además un producto presente en la mayoría de clientes, que lo usan como plugin del navegador, de ahí la importancia de mantener actualizado el sistema. Se han dado bastantes casos de malware que ha intentado aprovechar vulnerabilidades en JRE para ejecutar código arbitrario en el sistema. Sin embargo, el hecho de que existan varias ramas en desarrollo (1.4.x, 5.x, 6.x…) con saltos de versiones y cambios en la nomenclatura, unido al hecho de que pueden convivir varias ramas en un mismo sistema de forma que necesiten actualización por separado, hacen que el mantenimiento de esta máquina virtual resulte confuso para muchos usuarios.

 Las vulnerabilidades, de los que no se han dado detalles técnicos, son:

 * Cuando los applets o aplicaciones no confiables muestran una ventana, Java Runtime Environment muestra además un mensaje de advertencia. Un defecto en JRE permitiría que un applet o aplicación especialmente manipulada mostrara una ventana con un tamaño mayor que ocultaría la advertencia al usuario.

  Continuar leyendo “Múltiples vulnerabilidades en JRE (Java Runtime Environment) de Sun”

Nuevo gusano se propaga vía Skype

 

El gusano WORM_SKIPI.A aprovecha el chat de Skype para enviar mensajes a los usuarios registrados en la lista de contactos incluyendo un enlace que descarga una copia de esta misma amenaza.

Una vez descargada en la máquina infectada, esta amenaza modifica el estado del usuario Skype de “Conectado" a “Ocupado" o “Invisible" e impide que dicha aplicación sea abierta. Asimismo, evita que varias herramientas anti-virus se actualicen desde Internet, infectando el sistema con direcciones falsas hacia distintos sitios de fabricantes de seguridad.
La mayoría de los reportes de infección de WORM_SKIPI.A provienen de los Estados Unidos y Asia (particularmente Taiwán). En Latinoamérica se han reportado muy pocos incidentes del mismo.

Trend Micro detecta esta amenaza en todos sus productos desde el lanzamiento de su patrón de virus número 4.709, liberado el pasado lunes 10 de Septiembre por la noche y previene el acceso a los sitios de descarga del gusano a través de sus servicios reputación por Internet.

Trend Micro recomienda a las empresas implementar políticas de seguridad para prevenir que los usuarios puedan descargar y ejecutar esta amenaza de Internet.

Trend Micro alerta a todos los usuarios de Skype a estar atentos ante cualquier invitación de cualquier usuario (especialmente de los desconocidos) de hacer clic en alguna liga. Adicionalmente, considera que debido al gran número de usuarios de Skype, que ronda cerca de los 220 millones, esta amenaza puede prevalecer y propagarse con mucha rapidez.

Fuente: www.diarioti.com

Troyanos “simples”: “Keep it simple, stupid!”

Fuente: www.hispasec.com  

Llevamos meses y meses hablando de lo sofisticado de las técnicas de los nuevos troyanos, de lo sutil y avanzado de sus métodos, siempre enfocados a pasar desapercibidos, engañar a usuarios cada vez más concienciados y entorpecer su propio análisis. ¿Evita eso que exista una corriente de "involución" en el mundo de los troyanos? Ni mucho menos. Técnicas simples (incluso chapuceras) siguen obversándose y no por ello con un menor "éxito" para el atacante. "¡Hazlo simple, idiota!" (conocida técnica KISS).

 

Ya se habló en el blog de Hispasec

(http://blog.hispasec.com/laboratorio/) de troyanos sencillos que pasaban desapercibidos para (en aquel momento) la totalidad de los motores antivirus con los que trabaja VirusTotal.com (“Cuando 30 antivirus no son suficientes” se llamó la entrada). Hoy vemos como esta técnica sigue teniendo éxito con numerosas campañas.

 

La última de las campañas lanzadas corresponde a un supuesto correo proveniente de la rimbombante "Dirección General de Servicios de Cómputo Académico de la Universidad Nacional Autónoma de México a través del Departamento de Seguridad en Cómputo y UNAM-CERT". En un correo donde precisamente (y con fina ironía) se dan consejos útiles y reales para prevenir el phishing. El el mensaje se pide la descarga de un manual.exe que supuestamente contiene más información para prevenir este tipo de estafas.

 

Manual.exe está alojado en un servidor legítimo comprometido, perteneciente a una organización sin ánimo de lucro con dominio .au

(Australia) y resulta ser de lo más chapucero. Sin ningún tipo de ocultación ni ofuscación de código (de hecho, si se usan técnicas habituales de ofuscación comienza a ser detectado por los motores gracias a una herústica paranoide), modifica el archivo "hosts" del sistema (pharming local) redirigiendo al usuario que pretenda conectarse a un importante banco mexicano hacia una web fraudulenta que simula ser la banca online de la entidad.

 

Un simple vistazo al código desnudo del archivo (abriéndolo con cualquier editor de texto) permite conocer qué y cómo modifica el sistema. Es tan "simple" que ni siquiera utiliza la variable de entorno %systemroot% para encontrar el archivo de "hosts" (usa c:\windows, afectando sólo a las instalaciones por defecto de XP y 2003). Está escrito en VisualBasic y su vida útil es muy corta. De hecho, a las pocas horas de analizarlo, la web fraudulenta a la que redirigía al usuario era desactivada, con lo que el troyano queda ya inutilizado (esa dirección se encontraba incrustada en su código).

 

Sin embargo este malware pasaba desapercibido para la totalidad de los motores en VirusTotal.com. 24 horas después de nuestro estudio ya lo detectan 3 motores, pero en el momento de ser lanzada la "campaña", pasaba inmaculado cualquier análisis. Precisamente comienzan a detectarlo cuando ya no sirve para nada, pero eso es otro problema.

En cualquier caso, no todo es simple en este tipo de ejemplares: este tipo de troyano en concreto ofrece ciertas ventajas que permiten “saltarse” el sistema de OTP (one time password) específico de la entidad a la que ataca.

  Continuar leyendo “Troyanos “simples”: “Keep it simple, stupid!””

Malware 2.0

Aunque no deja de ser una etiqueta de moda sin una definición clara, el concepto de la Web 2.0 hace referencia a una segunda generación de aplicaciones web dinámicas e interactivas donde el usuario tiene un mayor protagonismo y participación, frente a las webs estáticas tradicionales donde el usuario era un receptor pasivo. ¿Existe también un nueva generación de malware 2.0?

Tengo que confesar que creía que iba a ser original hablando del concepto Malware 2.0, pero una búsqueda en Google me ha sacado de mi error. Hace menos de un mes la empresa de seguridad PC Tools utilizó el término en una nota de prensa donde hablaba de una nueva generación de malware:

PC Tools hace referencia a características que llevamos comentando tiempo atrás en Hispasec:

* La proliferación de nuevas variantes de malware ha crecido de forma brutal.

* Se utilizan técnicas automáticas para ofuscar las variantes y dificultar la identificación por firmas.

* La estrategia actual pasa por utilizar muchas variantes en vez de un único espécimen para llamar menos la atención y dificultar una respuesta rápida por parte de la comunidad antivirus (de ahí que llevemos bastante tiempo sin ver un gusano de propagación masiva como el ILoveYou y compañía).

A continuación, como era de esperar, utiliza este argumento para vender su producto antispyware, que utiliza técnicas adicionales para no depender en exclusiva de las firmas de detección.

Aunque esas características son una realidad evidente desde hace bastante tiempo, mi idea del concepto de Malware 2.0 tiene más analogía con la Web 2.0: el uso de la web como plataforma para la distribución, personalización del malware, y uso inteligente de los datos obtenidos por parte de los usuarios para propocionar “nuevos contenidos”.

Para desarrollar la idea voy a utilizar un ejemplo de ataque real, de los muchos que están sucediendo a día de hoy, destinado a los usuarios de banca electrónica:

* Los atacantes diseñan un servidor web que hospeda el código malicioso.

* Para atraer a potenciales víctimas anuncian su URL a través de spam, en foros, comentarios en blogs, etc. con cualquier excusa (bien una noticia de actualidad, curiosidades, imágenes eróticas o cualquier otro contenido potencialmente atractivo que lleven a los usuarios a visitar el servidor web de los atacantes).

* Cuando un usuario accede al sitio de los atacantes, la web comprueba la versión del navegador del visitante y, si es vulnerable, devuelve un exploit específico para su versión del navegador que provoque la descarga automática y ejecución del troyano.

* Si el usuario tiene un navegador actualizado, utiliza la ingeniería social para que el usuario descargue y ejecute por si mismo el troyano (por ejemplo, mediante un ActiveX, decirle que es un vídeo, o una utilidad que requiere con cualquier excusa).

* Este primer troyano que se descarga es un “downloader”, que lo que hace es instalarse en el sistema y descargar e instalar la última versión del troyano bancario, así como sucesivas actualizaciones que pudieran aparecer en el futuro.

* El troyano “downloader” también puede personalizar la versión del troyano bancario que descarga en función del sistema. Por ejemplo, si el usuario tiene una versión de Windows en español, el “downloader”
instalará en el sistema un troyano bancario diseñado específicamente para entidades españolas.

* El troyano bancario puede estar destinado a unas entidades específicas o ser más genérico. En el caso de que tenga unas entidades predefinidas, si el usuario accede a las webs de banca electrónica reconocidas por el troyano, envía los usuarios y contraseñas de acceso del usuario al servidor web para que los atacantes puedan suplantar su identidad y realizar transferencias a otras cuentas.

* En el caso de un troyano bancario más genérico e inteligente, envía a un script del servidor web de los atacantes todas las URLs por las que el usuario navegue y que comiencen por https. En el servidor web tienen un listado de URLs de bancos, si alguna de las URLs que envía el troyano corresponde con el listado, entonces el servidor web devuelve al troyano una orden concreta: redirigir al usuario a un sitio de phishing de esa entidad, modificar en local la página web de la entidad para que pida la clave de operaciones, etc.

* La información de las URLs de páginas seguras (https) por la que los usuarios navegan, y que envían al servidor web, sirve a los atacantes para diseñar nuevos ataques y actualizaciones de su troyano bancario.
Por ejemplo, imaginemos que en un principio los atacantes contemplaban a Banesto, pero no al BBVA. Los usuarios que visitaban la web de Banesto eran afectados, mientras que los del BBVA no porque el servidor web no devolvía ninguna orden concreta al no tener un ataque específico preparado. Los atacantes estudian periódicamente las estadísticas de las URLs que se centralizan en su servidor, y comprueban que hay muchos usuarios infectados que visitan la web del BBVA. Entonces deciden crear una nueva versión del troyano bancario específico o una página de phishing a la que redirigir a los usuarios infectados que la próxima vez visiten la web del BBVA.

Este último punto tiene cierta analogía con servicios web 2.0 como digg.com o meneame.net, si muchos usuarios visitan una página de un banco se contabiliza en el servidor de los atacantes como votos positivos y termina por aparecer en portada (en este caso en la lista negra de entidades para las que desarrollan un ataque concreto).

Cómo podemos ver, esta nueva generación de malware utiliza la infraestructura de la web para comunicarse con los sistemas infectados de los usuarios y realimentarse con la información que estos proporcionan, aprovechando esta inteligencia colectiva para ofrecer nuevos contenidos dinámicos en función de los perfiles de los usuarios.
¿Estamos ante el malware 2.0?

Opina sobre esta noticia: