Merece la pena dedicar unos minutos a esta conferencia TED de Mikko Hypponen sobre la evolución del mundo de los virus para PC: de un escenario creado por aficionados empujados por la curiosidad a toda una industria del cibercrimen en las antípodas de lo que hace años se entendía por "hacking". Hay quien quiere seguir viendo el lado "romántico e idealista" en quienes crackean, utilizan botnets o dictan quienes pueden estar en la red a base de ataques de denegación de servicio... pero la realidad es bien diferente a como se entendía este mundillo en los 80.

Y es interesante volver sobre estos temas - ya hablamos por aquí en "Cibercrimen y seguridad" - porque las herramientas que de las que disponen quienes luchan por la seguridad en la red están muy por debajo de lo que posibilita el lanzar los ataques desde cualquier rincón del planeta.

PD: tengo problemas con el vídeo embebido, basta con ir a la web de TED y poder verlo con subtítulos en español

Apple podría tolerar el "Jailbreak" de sus dispositivos siempre y cuando se tratase de un fenómeno marginal, utilizado sólo por una minoría de usuarios muy avanzados. Aunque la tienda de aplicaciones no es un gran negocio de forma directa, que un usuario decida evitar la tutela de Apple respecto a qué software puede instalar en su teléfono supone sobre todo una pérdida de control por parte de la empresa de la manzana y la erosión del ecosistema de pago que ha creado.

El Jailbreak no sólo permite descargar software de otras fuentes como Cydia, permite instalar también a aplicaciones "crackeadas", motivos ambos por los Apple no se puede permitir su generalización: con su control de la plataforma Apple ha construido un sistema de incentivos para los desarrolladores, enfocados a fomentar ingresos para los mismos (entorno con una fuerte cultura de pago, comercialización fácil y directa, integración de sistemas publicitarios), no competencia con los propios servicios de Apple y respeto a los acuerdos de ésta con las telecos.

Si te registraste en Spotify antes del 20 de Diciembre de 2008, te conviene leer este anuncio en su blog. Y es que hasta ese día, este servicio de música online tenía un fallo de seguridad que permitía el acceso a información de los usuarios. Como en Spotify pensaron que nadie había aprovechado el bug, no habían avisado hasta que "algo" les han indicado lo contrario.

Lo malo no es que alguien se haya podido hacer con nuestro usuario y contraseña en Spotify, el problema es que además se ha filtrado el correo electrónico y la mala costumbre de utilizar la misma password en otros servicios puede hacer el resto. ¿Consejo para estos casos? Correr y cambiar todas las contraseñas en otros servicios en los que compartiéramos el mismo correo o nombre de usuario. Después de eso, empezar a pensar en una estrategia por la cual no se siga con esta práctica, alguien podría llevar más de tres meses con nuestro usuario en cualquier otro sitio - correo, tienda online, red social - por un fallo de uno sólo de las webs que utilizamos.

Terrible el problema en el que se ha visto envuelto Christian Van Der Henst, que relata en su twitter la odisea que está sufriendo desde que se hicieron con su cuenta en GoDaddy, su registrador de dominios. Gracias a eso los "okupas" usurparon "maestrosdelweb.com" y "forosdelweb.com" (sin enlace hasta que se arregle), redirigiendo las DNS a otras máquinas sin control por parte de Christian. Ahora al legítimo dueño le queda la tarea de convencer a GoDaddy de que ha ocurrido así, algo nada fácil porque una de las primeras medidas de seguridad de este tipo de servicios es no atender sin el usuario debidamente identificado. Por suerte, y con campaña en Twittter mediante, parece que tiene visos de solucionarse pronto.

El problema se ha agravado cuando se han hecho con la cuenta de correo y el usuario de Facebook de Christian. Como comentábamos cuando hablamos de cibercrimen y seguridad, hace cinco años si se hacían con tu contraseña del correo tenías un problema, hoy puede incluso que se hagan con todos tus documentos, ingresos publicitarios, acceso a estadísticas y hasta medio de pago. En este escenario, los "malos" van muy por delante de los sistemas de identificación y de nuestra gestión de usuarios y contraseñas. Espero que más pronto que tarde, Christian vuelva pronto con su "maestrosdelweb.com".

También lo comentan en Alt1040 y en InfoSpyware añaden algunos consejos de seguridad bastante útiles.

Actualización de pago del iPod Touch, 20 dólares a cambio de poder instalar varias aplicaciones (Mail, Maps, Notes, Stock y Weather). ¿Dónde está el problema? Pues que tanto esas aplicaciones como otras muchas están disponibles para el iPod Touch saltándose el candado con el que Apple sacó su reproductor. No creo que nadie pueda decir que es una forma de "piratería" (estás metiendo gratis aplicaciones de pago), lo cierto es que estarán incluidas en las nuevas versiones de iPod Touch incluidas en el precio de compra y también vienen con el iPhone.

¿Qué está consiguiendo Apple al mantener el iPod Touch cerrado? Pues ser el distribuidor único de software para el dispositivo. El resultado para el usuario final es que no hay competencia, que sólo hay un software de mapas (el de Google) y que quien lo quiera tiene dos opciones: pagar los 20 dólares o apostar por hacer un "jailbreak" saltándose las protecciones del iPod Touch y, de paso, perdiendo la garantía. Como explica Sacha el trato para los usuarios de iPod Touch es incluso peor que el dispensado para otros productos cerrados de Apple.

Hace tiempo que anunciaron que facilitarían la creación de aplicaciones para el iPhone y el iPod Touch con un SDK oficial, pero visto este movimiento cabe preguntarse hasta que punto Apple se reservará la distribución y el control de estas aplicaciones con vistas a su explotación comercial. Desde luego, con este movimiento de la actualización del iPod Touch, han dado un nuevo paso hacia su universo cerrado, ¿hasta cuando sus usuarios seguirán felices en él mientras les intentan cobrar abusando del candado?

Una cafetera Nespresso Krups Essenza estaba entre los regalos que trajeron "los reyes" este año. Sin ser un experto en café, la verdad es que el brebaje que prepara no está nada mal. Claro que los "gourmets cafeteros" rechazan cafetera Nespresso y otras plataformas a base de cápsulas por aquello de limitarte el café que puedes utilizar, pero para perfiles menos exigentes la verdad es que mucho mejor que lo que tenía con mi vieja cafetera italiana.

El problema con las cafeteras Nespresso es el propio sistema de cápsulas. Sólo te las vende Nestlé, que es quien está detrás, y a un precio bastante alto: 0.32 euros la dosis. Teniendo en cuento que tomo dos cafés al día, el incremento de gasto no es trivial. Además las cápsulas para Nespresso no las venden en tiendas (ni siquiera donde comercializan las cafeteras), hay un número reducido de tipos (12, contando tres de descafeinado) y no parecen fáciles de reciclar. Por todo ello que lo primero que se pregunta uno cuando ha fulminado todas las cápsulas incluidas en el regalo es ¿cómo puedo reutilizar las cápsulas para utilizar otros tipos de café?

Y es que lo que Nespresso plantea es un "lock-in", la implantación de un estándar cerrado de cápsulas de café de manera que tenga a sus clientes cautivos y le tengamos que comprar el café sólo a ellos. Es lo que hacen los fabricantes de impresoras, de máquinas afeitadoras y que algunos intentan en dispositivos multimedia mediante sistemas DRM: venderte la máquina y que los repuestos sólo te los puedan servir ellos. Esto lo refuerzan intimidando ("la máquina puede dejar de funcionar") y amenazando ("perderá su garantía"). Ante esto, claro, lo que nace es un gran movimiento hacker contrario a esta práctica y presto a "liberar la Nespresso".

Hay montón de vídeos que muestran como reutilizar las cápsulas Nespresso con otro café. Claro que hay pérdida de calidad (dependiendo del café que se utilice será mayor o no), pero es que es como poder cargar canciones sin DRM en el iPod, un elemento imprescindible para sentirte dueño de la cafetera. Os dejo con un vídeo que lo muestra:

Un inciso en el 3GSM para rescatar un tema que hemos comentado varias veces. Hasta ahora venía sosteniendo que AACS, el sistema anticopia de HD-DVD y Blu-ray, no había sido superado realmente puesto que aunque se habían obtenido las claves de algunas películas, no había un sistema conocido para obtenerlas de forma automática.

Pero esto ha cambiado si lo que publica el usuario Arnezami en doom9 (vía Digg) es cierto, ha encontrado y publicado las "processing key" utilizadas para desencriptas las películas en HD-DVD y Blu-ray. ¿Qué significa esto? Que sería posible construir una herramienta capaz de realizar copias de las películas en cualquiera de los formatos y que funcionara con todos los títulos lanzados hasta ahora y que también será posible volcarlas en las redes P2P. Vamos, será posible hacer un software para ripear y copiar películas HD-DVD / Blu-ray como lo hay para DVD.

Que se superen sistemas creados para controlar lo que un usuario puede hacer con su contenido y que le impiden hasta hacer copios de seguridad del mismo siempre me ha parecido una buena noticia, pero en este caso me resulta especialmente grato, HDCP es una tecnología que perjudica a los usuarios que compran: si su televisor no lo soporta, no podrá ver los contenidos en alta definición. Una batalla perdida más por los que siguen apostando por las tecnologías anticopia y de control sobre el usuario.

BackupHDDVD funciona, pero no es realmente un "crack" del sistema HD-DVD, necesita que le demos las claves de cada película para poder funcionar, lo que constituye el principal problema para hacer copias (más sobre esta herramienta en ¿Crackeado el AACS de HD-DVD y BlueRay?).

En Genbeta comentan que muchas claves ya han sido publicadas, por lo que es de suponer que hay algún mecanismo automático para obtenerlas. Lo más probable es que se trate de aprovechar un error de algún software de reproducción (PowerDVD por ejemplo) que cargue las claves en memoria y sea posible obtenerlas, aunque tampoco descartaría que alguien las esté filtrando.

La buena noticia para la industria que desea mantener este sistema anticopia es que AACS no ha sido superado, la mala noticia es que el único modo de que no proliferen las copias de películas HD-DVD es revocar al software del que estén obteniendo las claves, lo que solo impediría la copia de nuevos títulos, pero no de los antiguos.

Por último, ya anuncian que hay algún título HD-DVD en un tracker de BitTorrent (hdtvblogger), se trata de Serenity. Permite ser visionada - una vez descargada - con PowerDVD y WinDVD.

El post original está en doom9 y ya está en la portada de Digg como noticia más votada y - ojo - en Estados Unidos no es el día de los inocentes. En la entrada enlazan al código fuente de BackupHDDVD una herramienta que presuntamente - no me quiero pillar los dedos, no la he probado - es capaz de superar el sistema de AACS y permitiría volcar una película en formato HD-DVD o Blu-Ray al disco duro (sólo en Windows) y poder verla con cualquier software adecuado para ello (WinDVD o PowerDVD, por ejemplo).

Ya hay un vídeo en Youtube que muestra el funcionamiento de BackupHDDVD.

De confirmarse la noticia estaríamos ante la repetición de la jugada que ya hizo Dvd Jon con la protección de los DVD y tendríamos que HD-DVD y Blu-Ray serían formatos que permiten la copia. Eso sí, por la naturaleza de ACCS mantengo mis dudas: la principal diferencia con respecto a CCS es que es posible revocar las claves para un reproductor en concreto. Así, si este BackupHDDVD las obtiene de WinDVD o PowerDvd porque éstos tengan un agujero de seguridad que permita hacerlo, sería factible revocar las claves de las versiones afectadas y dejar fuera al programa en concreto (y sus claves, claro).

Entradas relacionadas:

• Sobre ACCS: El Image Constraint Token y el agujero analógico.
• Copiar películas Blu-Ray y HD DVD
• Windows Vista, DRM y los monitores para el HD Video

PlayForSure es el nombre de la tecnología DRM de Microsoft que licencian a un buen montón de tiendas online de música y a dispositivos portátiles. Permite servicios tanto de venta de canciones como de "alquiler", impidiendo que sean reproducibles después del tiempo por el que han sido arrendadas. Esto se usa en servicios de tarifa plana de música como Napster, Yahoo Music Unlimited o Urge. También permite aplicar DRM a vídeos, pero con ellos su uso ha sido bastante menor.

La noticia la dan en Engadget, donde aseguran que el software FairUse4WM permite reproducir las canciones con DRM de PlayForSure en un Mac, lo que implica eliminar la protección que impide que el usuario haga con ellas lo que quiera. Ojo, este uso de FairUse4WM es legítimo (al menos desde un punto de vista moral, no entro en cuestiones legales de las condiciones de la tienda en la que se adquirieron las canciones), lo único que hace es permitir la reproducción de un contenido por el que se ha pagado en otro sistema, pero muestra a las claras - si es que funciona, en Engadget lo aseguran - que este DRM es vulnerable. Apple ya pasó por esto con PlayFair-Hymn.

Este tipo de hacks no deja de ser para usuairos de alto nivel, no todo el mundo va a ir a 9down para conseguirlo y después confiar en instalarlo y utilizarlo. Al igual que volcar el sonido del reproductor de música a fichero, es poco probable que sea una herramienta popular entre los usuarios... o no. ¿Y si mañana en lugar de exportar a Mac, exportan a mp3 u ogg directamente y construyen un desprotegedor puro de canciones con DRM de PlayForSure? ¿Y si los usurios "medios" lo adoptan como hicieron con Napster en su momento? El modelo de negocio basado en las limitaciones del uso que pueden hacer los usuarios tiene un riesgo crítico en la seguridad tecnológica y esta noticia no hace sino corroborarlo.

Entradas relacionadas: Microsoft Zune y PlayForSure.