error 500 Tecnología + Internet + Conocimiento

Actualización: ver ¿Crackeado el AACS de HD-DVD y BlueRay?

La nueva generación sucesora del DVD prometía algunas ventajas para el usuario (más capacidad, vídeo de alta definición) a cambio de un "candado" más potente que impidiese la aparición de "otro Decss" y por tanto la copia de películas en formatos Blu-Ray y HD-DVD.

Pues bien, en la revista alemana German CT ha descubierto que se puede capturar un frame de una película en Blu-Ray o en HD-DVD con sólo pulsar el "Impr Pant" (el botón para capturar la imagen de la pantalla) en Windows XP. Claro que capturar así una película completa es trabajo de chinos, pero se trata de un proceso automatizable construyendo un programa en absoluto complicado, aunque está por ver que esto permita reconstruir la imagen de l apelícula por completo (y del sonido todavía no hablamos). Los equipos en los que lo han conseguido son un Sony Vaio VGC-RC 204, con Blu-Ray, y un Toshiba Qosmio G30, con HD-DVD. En ambos casos mediante el software de reproducción WinDVD.

Una prueba de fuego para el AACS (Advanced Access Content System), el sistema criptográfico para impedir la copia en Blu-Ray y HD-DVD. Toshiba ya asegura que todos los portátiles que saque a partir de ahora vendrán con una actualización del driver de la tarjeta y de WinDVD que impedirán la función de "Impr Pant" durante la reproducción de una película Blu-Ray o HD-DVD. AACS en teoría podría exigir una actualización del software para ver las nuevas películas, revocando las claves que tiene WinDVD para desencriptar. Aunque WinDVD cumple el protocolo y habrá que ver si se atreven a dejar fuera a una versión de uno de los reproductores más populares y si es cierto que el esquema con una autoridad censora funciona.

¿El primer síntoma del fracaso de AACS y HDCP? ¿Serán este el hack que ya profetizaba DVD Jon para comienzos de 2007? La revista alemana se reserva bastante información para su edición escrita que saldrá mañana lunes, mientras dejan este artículo. Vía i4u. También lo comenta PixelChips.

Otras entradas relacionadas:

• Windows Vista, DRM y los monitores para el HD Video
• El Image Constraint Token y el agujero analógico

Hace tiempo que deje de llevar la cuenta de los fallos de seguridad en los navedores: era un ejercicio que ocupaba demasiado tiempo y ayudaba muy poco a sacar conclusiones. Si me preocupa más el tiempo de respuesta, cómo se gestiona la crisis y la duración del intervalo durante el cual el usuario del software es expuesto al riesgo. También entiendo clave la transparencia de cara al usuario, actualizarse sin que el usuario tenga que ser proactivo y leer páginas web sobre seguridad.

Hoy debería haber tocado hablar de la beta de Firefox 1.5, que por cierto trae algunas novedades interesantes pero nada del otro mundo (véase Genbeta), pero también ha sido descubierto un fallo de seguridad grave en todas las versiones de firefox, incluida ésta. Los detalles están en Secunia (sitio con una lista de distribución muy interesante para seguir este tipo de noticias), pero básicamente es un bug en el modo en que tiene este navegador libre de manejar las URL que contengan el carácter 0xAD, problema que puede derivar en un desbordamiento de búffer con ejecución de código malicioso en nuestros equipos.

En estos tiempos en que Firefox baja en el número de usuarios y Explorer 7 está a la vuelta de la esquina, muchos van a mirar con lupa la gestión de este problema por parte del equipo de este genial navegador. Históricamente han ofrecido tiempos récord en la solución de este tipo de incidencias (aunque la experiencia le ha enseñado a uno que muchas veecs es mejor tardar más y realizar el mayor número posible de pruebas de regresión), y Firefox tiene un sistema de "auto-actualización", que no cunda el pánico.

Actualización: Ya está disponible el patch y toda la información para estar seguros en mozilla.org. Se publicó ayer, cuatro días después del aviso original (día cuatro de septiembre) y uno después de que se hiciese público (día ocho de septiembre).

Seguro que muchos recordaréis los graves problemas de seguridad en FireFox 1.0.3, subsanados en la la nueva versión FireFox 1.0.4. No vamos a descubrir nada nuevo al afirmar que todo software contiene errores y que un tema tan delicado como la seguridad en los navegadores web no es una excepción. Sin embargo cómo se gestionan estos errores y el tiempo que se tarda en proporcionar una solución si que nos puede servir para comparar dos navegadores. La gente de FireFox tardó cuatro días en tener disponible una actualización.

Todo esto viene a cuento por unas vulnerabilidades bastante graves encontradas por la compañía eEye en Internet Explorer. Los agujeros de seguridad descubiertos permitirían (al igual que en el caso de FireFox) que una página diseñada para explotarlos pudiese ejecutar código arbritario en nuestro equipo (vía eWeek). Lo más interesante de la noticia es que eEye avisó a Microsoft el 5 de Mayo sin que de momento los usuarios de Internet Explorer tengan un parche disponible para subsanar este problema. Es lo que tiene un sistema de seguridad basado en la oscuridad: "si nadie conoce el bug, no tenemos de qué preocuparnos", apostillado con algo así como "de momento no se conocen ataques basados en este agujero".

Cualquiera que haya resuelto incidencias en una empresa de mantenimiento software me puede espetar que dos problemas con síntomas similares pueden tener soluciones muy diferentes en cuanto a complejidad y que no son en absoluto comparables. Sin embargo, la facilidad para ser modificado es un parámetro importante en la calidad de un software y en esto la incrustación de Explorer en Windows puede estar jugándole una mala pasada a Microsoft, convirtiéndolo en un "mírame y no me toques" con unas pruebas de regresión descomunales para asegurarse de no estropear nada al arreglar cualquier bug.

En este caso, las fechas cantan y señalan un producto superior.

Con un negro pasado de agujeros de seguridad y con un presente marcado por el spyware, el mantra más repetido desde Microsoft no es otro que "mejoras en la seguridad de sus productos". Es lo que vendían con Service Pack 2 para Windows XP y el terreno en el que venían trabajando más intensamente en los últimos tiempos, como demuestran sus Malicious Software Removal Tools, su herramienta antispyware y la la compra de Sybari. Con estos precedentes, no es de extrañar la entrada de Microsoft en el mercado de la seguridad con su próximo producto OneCare. OneCare integrará firewall, antispyware, y antivirus, encontrándose ya en fase de pruebas para usuarios internos. Lo más destacado es que será un servicio de pago por suscripción, nada de integración "de fábrica" en Windows de momento y nada de servicio gratuito y universal a todos los usuarios de su sistema operativo. Al menos esto supondrá un respiro para los fabricantes de antivirus, que veían caer las acciones de sus empresas cada vez que surgía un rumos acerca de la entrada de Microsoft en su sector. La beta pública se espera para el verano (véanse M-W o PcMag).

Razonable movimiento el de Microsoft que supone un reconocimiento implícito de algo que ya sabemos casi todos: el enemigo número uno de los usuarios Windows poco expertos hoy día se llama spyware, el firewall de Windows XP es una broma y hay un negocio muy importante alrededor de la inseguridad en la plataforma Windows. Habrá que echarle un vistazo.

Malas noticias para todos los usuarios de FireFox 1.0.3 (aunque todo lo que sigue es válido también para cualquier FireFox 1.x), han aparecido dos vulnerabilidades críticas para este navegador. Una de ellas es una amenaza bastante grave: pinchar en un click una página especialmente diseñada para explotarla habilitaría a sus creadores a ejecutar código arbritario en el equipo de la víctima. Este bug está provocado por la ausencia de las suficientes medidas de seguridad la tratar las URL Javascript dentro de un IFRAME, aunque precisa que el sitio en cuestión tenga permisos para instalar extensiones. Hay más información acerca de este problema de seguridad y del otro en Secunia.

Para poder navegar seguros (anda circulando código para explotar esta vulnerabilidad) no hay más que cerciorarnos de que no permitimos la instalación desde páginas web (desmarcar Herramientas > Opciones > Características Web > Permitir que los sitios web instalen software).

Sin sacar las cosas de quicio (todo software tiene fallos y FireFox no iba a ser una excepción), no se puede restar gravedad a este bug. Ahora que FireFox está rondando el 10% del mercado de los navegadores, todos los ojos estáran fijos en cómo gestionarán este problema (está "solución manual" no deja de ser una chapuza además de no ser una solución oficial) y todos los cronómetos en marcha.

Si eres usuario de Winamp es muy recomendable que no tengas a este reproductor multimedia como el predeterminado para abrir ficheros con extensiones ".cda" o ".m3u". El problema es que se ha descubierto un problema de seguridad en las versiones 5.05 y 5.06 de Winamp. Merced a ese agujero, un sitio web programado para ello podría comprometer la seguridad del sistema. La información está en Secunia y aunque ya comentamos que el equipo de Winamp estaba desmantelado, AOL prometió dar soporte para este tipo de problemas de seguridad.

Esa es la decisión de Microsoft. Con el Service Pack 2 para Windows XP llegan numerosas mejoras de seguridad para el navegador Internet Explorer entre las que encontramos el bloqueo de pop-ups y la no ejecución por defecto de componentes ActiveX. Microsoft no introducirá estos desarrollos en sus anteriores sistemas operativos Windows 2000, ME, 98 o Windows 95, a cuyos usuarios insta a actulizar. Según cifras de
ZdNet esto supone dejar fuera de las mejoras en materia de seguridad que supone el Service Pack 2 para Windows XP a doscientos millones de usuarios en todo el mundo, para los que Microsoft propone como alternativa la de adquirir Windows XP por 99 dólares, con lo que podrían instalar este Service Pack2. Eso sí, para todos los sistemas a los que Microsoft sigue dando soporte saldrán los pertinentes parches de seguridad para Internet Explorer. Si aún tienes Windows 98 o Windows 2000 y se descubre un bug en el navegador de Microsoft, saldrá una actualización para corregirlo. Lo que no va a hacer Microsoft es trasladar las mejoras que provee Service Pack 2 a estos otros sistemas.

Por un lado no hay nada nuevo bajo el Sol. La política de Microsoft lleva siendo la de un nuevo sistema operativo cada tres años y sus esfuerzos se centran en conseguir vender el mayor número de copias posible. Quizás las cuentas en Redmon no vayan todo lo bien que quisieran, pero los movimientos en torno el impedir las actualizaciones de los Windows piratas apuntan a la misma dirección de conseguir ampliar las unidades vendidas de Windows XP.

Quizás, eso sí, la estrategia de la compañía de Gates yerra en el momento en que quieren capitalizar las mejoras de Explorer para vender más copias de XP. El ascenso de Mozilla y las millonarias descargas de FireFox no hacen sino reforzar la idea de que Explorer ya no es el bastión inexpugnable de hace unos años. Los problemas de seguridad y la ausencia de innovación han dado cancha a los navegadores libres de Mozilla y al de Opera que poco a poco van aumentando cuota de mercado. Mejorar Explorer ya no es imprescindible para un usuario de Windows.

Con la salida de la beta de MSN Music apareció también Windows Media Player 10, la ultima versión del reproductor multimedia de Microsoft. Este Windows Media Player 10 juega un papel esencial en su estrategia de negocio de venta de música online pues se convierte en el principal canal de acceso a la tienda. Pues bien dos días después de su aparición el pasado 2 de Septiembre ya han aparecido cuatro problemas en Windows Media Player 10 :

Cuando hace poco comentábamos la aparición de un importante bug en Mozilla y FireFox resaltábamos, como han hecho muchos medios, la rapidez con que aparecieron los parches tanto para Mozilla y FireFox como para el programa de correo ThunderBird, en apenas un día. Dato interesante ante la tardanza de Microsoft en parchear el Explorer ante problemas como el Download.JECT. Ahora bien, no todos los problemas de seguridad son igualmente difíciles de corregir, podría ocurrir que el problema de los productos Mozilla (error conocido como shell: protocol security issue que permitiría ordenar la ejecución de aplicaciones de Windows desde una página web conociendo su ruta en el sistema) fuese más sencillo de corregir que los de Explorer y ante un caso inverso en dficultad, intercambiarse el papel de más lento. Pues bien, ahora podemos comparar pues como informa InfoWorld, el mismo problema ha sido detectado en MSN Messenger y en Word.
Con esta vulnerabilidad un atacante podría iniciar programas en nuestro equipo usando enlaces embebidos en documentos Word o en mensajes de MSN Messenger. Una portavoz de Microsoft ha comentado que están investigando los informes de Secunia en los que se informa de estos problemas de seguridad.

Bueno, es difícil que nos encontremos con un escenario en el que comparar la rapidez y eficiencia de Microsoft y la gente de la fundación Mozilla. Si bien no es una vulnerabilidad en exceso crítica pues los atacantes sólo pueden arrancar un programa conociendo su ubicación en el sistema sin pasarle parámetros, si es un error en Messenger y Word. Ahora bien, si se me permite una baza en favor de Messenger, en este la actualización se podrá hacer a través del propio programa, sin tener que estar informado por los medios ni tener que visitar la web de Microsoft. Aunque FireFox incluye esta posibilidad desde la versión 0.9 no fue aprovechada para subsanar este último bug de seguridad. Aparte de eso, pongan su cronómetro en marcha.

Doscientos correos diarios infectados. No es que llegue spam o que en un arrebato de locura me haya suscrito a la lista de correo sobre la boda del príncipe y Letizia Ortiz, nada de eso. Se trata de los efectos que el gusano MyDoom está teniendo sobre mi cuenta y que mi proveedor de correo comparte con llenados de buzones y sobrecarga en el sistema. Y no sólo eso, la cantidad de recursos consumidos por MyDoom supera con creces lo ofertado como recompensa si se captura a los autores.

Eso no es todo. Al navegador más utilizado, Internet Explorer, se le ha encontrado un nuevo agujero de seguridad. Unido a los que ya tenía, lo convierten en la mejor arma de nuestros enemigos, la pléyade de crackers que está deseando tentarnos con páginas y descargas que, lejos de dar lo que prometen, esconden virus y dialers con los que arruinarnos el sistema, espiarnos o conseguir que conectemos a través de un 806, generándoles ping�es beneficios.

El problema así presentado, podría interpretarse como la inseguridad de Internet o la necesidad de un mayor control sobre los contenidos y mecanismos que en ella operan. Pero la realidad no es esa. Se trata de la inseguridad de ciertos productos y tecnologías cuya utilización generalizada ha desembocado en que la red sea más noticia por sus peligros para los usuarios que por las posibilidades que ofrece. �y de quién son esos productos? Microsoft, sede en Redmon, desarrolla muchos de ellos.

Nunca había estado el gigante tan débil. Ciudades y países enteros se plantean migrar el software de sus administraciones a software libre, LongHorn, su próximo sistema opeartivo, se retrasa y en la red, Explorer y OutLook son un homenaje a los fallos en seguridad. En este último aspecto, la transición sin trumas está cada vez más fácil, gracias a la magnífica evolución del navegador Mozilla; en el tema del sistema operativo, ya no es tan sencillo. Aún lejos de la aceptación por el gran público, Linux en el escritorio se plantea como uno de los debates tecnológicos más interesantes del 2004.

Dejando esos debates para mejor ocasión y volviendo al tema de la seguridad, Microsoft ha perdido el norte. Sus últimas recomendaciones ante los continuos problemas de seguridad llegan al extremo de recomendar no hacer clic en los enlaces. Uno, que en su vida ha leído numerosas estupideces y majaderías, se sigue quedando de piedra ante la caradura de semejante recomendación. Viene a ser el equivalente a que un fabricante de coches solicitara conducir por línea recta si su vehículo tuviese fallos en los mecanismos de dirección.

Muchas veces se afirma que la tecnología Windows es la más atacada por los hackers y crackers, detalle cierto, todo sea dicho. Pero eso no debe valer como excusa si se quiere ser el líder de software para Internet y el sistema más utilizado del mundo. Microsoft necesita mejorar de forma urgente en seguridad si no quiere asistir a una fuga de usuarios, los más avanzados y que arrastarán al resto, los primeros. Tiemblo ante la idea de que sus productos sean adoptados por la industria del móvil.