Bash en una Mac (tomado de Engadget)

Aún no está solucionado el problema de la vulnerabilidad Heartbleed, y ahora tenemos una nueva vulnerabilidad llamada Shellshock que gracias a que a) está presente en Unix, Linux y Mac OS X, y b) es fácilmente explotable, supone un gran problema de seguridad que se viene encima. A diferencia de Heartbleed, que requiere un alto nivel técnico para explotarla, esta Shellshock no requiere de gran cosa para poder explotarla.

¿Qué es Shellshock?

La vulnerabilidad Shellshock ataca el shell bash, que para los que no sepan que es, les comento que es en esencia una aplicación que se usa para interpretar comandos del sistema operativo; la vulnerabilidad pertenece a la clase de ejecución remota de código, lo que significa básicamente que cualquiera que no esté logueado en la computadora puede “engañar” a bash para que ejecute comandos que no debería. Esta vulnerabilidad está documentada como CVE-2014-6271 y CVE-2014-7169.

Como mencioné antes, la peligrosidad de esta vulnerabilidad radica principalmente en la poca pericia que hay que tener para poder aprovecharse de ella: cualquiera con mediana experiencia en el manejo de bash podrá hacerlo.

¿Es vulnerable mi sistema?

Puedes verificarlo tecleando esta línea de comando (cortesía de Red Hat) desde bash:

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

Si tu sistema es vulnerable, verás la salida:

vulnerable
this is a test

Y en caso contrario, verás algo como:

bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
this is a test

¿Es una vulnerabilidad seria?

En realidad si lo es; por ahora hay sólo un parche incompleto pero por lo que he visto muchas empresas están trabajando a marchas forzadas para producir un patch completo. Sin embargo, es una vulnerabilidad seria por una razón adicional: actualizaciones. Pensemos en sistemas empotrados que dudosamente recibirán actualizaciones, y de estos como ustedes saben hay muchísimos. También están los sistemas ICS y SCADA, que igual representan un peligro potencial ante esta vulnerabilidad. Y para aquellos con un sitio web con cPanel, parece ser que son vulnerables también a través de algunas de las herramientas de este panel.

¿Qué puedo hacer al respecto para protegerme?

Actualizar tu sistema tan pronto como te sea posible, siguiendo las instrucciones correspondientes según tu distribución de Linux, o si es UNIX o si es Mac OS X, y si aún no hay actualizaciones, estar pendiente para cuando salgan éstas.

Según los investigadores de seguridad que están siguiendo el caso, esta vulnerabilidad pinta para estar con nosotros por un largo tiempo, dada su naturaleza. Sigan pendientes de este tema que apenas va empezando…

Etiquetado con:
 

Clippy en Minecraft...NOOOOOOOOOooooo....

Compré Minecraft en el 2010, cuando todavía era alpha, y lo compré después de jugar en el navegador y pensar que era genial; apelaba a mi nostalgia de gamer cuarentón, de gráficos pixelados y gameplay simple. En muchas ocasiones quise escribir un artículo sobre Minecraft y revisar su maravillosa historia como producto: como pasó de ser un juego indie a convertirse en algo generacional (creo que ya lo es), como fue vendiendo copias hasta llegar a los millones de hoy en día. Pero nunca lo hice, por alguna razón u otra. Y ahora, como todos lo saben, el mundo de Minecraft se ha convulsionado por las noticias de la compra de este juego por parte de Microsoft por unos 2,500 millones de dólares, un pelo de gato para la empresa de Redmond. Pero es inocente decir que compraron solamente un juego: lo que Microsoft compró en realidad es una comunidad gigantesca; Minecraft hoy está en consolas (sólo no hay para el Wii), móviles (iOS y Android), computadoras (muchos millones de copias); una comunidad que en su mayoría está compuesta de jóvenes, los mismos que han abandonado a Microsoft y sus productos en desbandada, y que éstos están desesperados por traer de vuelta y mostrarles que pueden ser cool. Es también una comunidad tremendamente apasionada; yo soy un gamer light de Minecraft, pero demonios, ¡hay algunos que verdaderamente han puesto tiempo y esfuerzo en este juego! sea en mods, gráficos, documentación, herramientas, etc., hay cosas verdaderamente asombrosas producidas sólo por la pasión de sus jugadores.

Por supuesto, está el tema del dinero; Minecraft produce carretadas de este: está el merchandising, la propia venta del juego, las apps, juguetes, y demás cosas; está el tema espinoso de los servers y la monetización de estos que Mojang no manejó bien, pero antes que estos temas creo que más que nada Microsoft está haciendo lo de Minecraft por su comunidad…como dije antes, es una comunidad muy especial; para muestra, la carta que mandó la niña Sabrina Lane (hija de una investigadora de Fortune), en la que le pide a Satya Nadella no “estropear” el juego que ella adora jugar con sus amigos. La carta fue respondida por el mismo Phil Spencer, la cabeza del departamento de XBox. Así están las cosas.

Por su parte, Notch (creador de Minecraft) encontró su punto de quiebre, y anunció que dejaba a Mojang. Esto creo que empezó a gestar esto desde la modificación de la EULA de Minecraft y el problema de monetización de los servidores, ciertamente mal manejado por Mojang, pero que a fin de cuentas fue donde Notch finalmente se dio cuenta que no podía con el estatus de estrella o símbolo que le habían dado, más bien, no lo quería, nunca lo quiso, y a decir verdad, respeto su decisión por ser honesta; el quiere seguir siendo como era hace años, y eso es muy respetable. Ojalá que encuentre la paz que necesita.

Microsoft por supuesto, llevará Minecraft a Windows Phone a la brevedad posible. Pero hay que pensar en las demás versiones de este juego: ¿que hay de las versiones para PlayStation, para Mac? yo creo que todo seguirá su curso como hasta ahora, por la siguiente razón: Microsoft tiene una oportunidad de oro con esta adquisición, pero a la vez tiene la responsabilidad de no echar a perder una de las comunidades más apasionadas de los últimos tiempos. No creo que nadie, ni siquiera Microsoft, quiera ser recordado como la empresa que arruinó Minecraft. Ya arruinaron Windows (varias veces), Office (igual varias) y otros productos, no pueden darse el lujo de volver a hacerlo, no con Minecraft. Así que me uno a millones de voces que piden lo mismo:

Microsoft: no la cagues con Minecraft. En serio.

Etiquetado con:
 

Limpieza de primavera en Google...

La escoba llegó como en otras ocasiones a Google, y esta vez le toca el turno de morir al que irónicamente es quizás su mejor intento de crear una red social: Orkut, que gozó de cierta popularidad en algunos países aquí y allá, como Brasil y la India. Por supuesto, creo que todos sabemos a donde querrá Google que se vayan todos los repatriados…a Google+, su otra red social que si quieren mantener pero que no saben como darle vida. Si eres usuario de Orkut, el cierre de esta red será para septiembre 30 del 2014, pero tienes hasta septiembre del 2016 para sacar tus cosas usando Google Takeout.

El otro caído en esta limpieza de verano será una app que ahora que lo pienso bien ya tuvo su oportunidad y ahora que lo veo fríamente su existencai ya no tiene sentido: esta es QuickOffice, que era apenas un substituto para Microsoft Office; QuickOffice fue adquirida por Google en 2012 y este continuó su desarrollo…pero entonces hace muy poco Google dijo que integraría QuickOffice en Google Docs, así que ya dejó de tener sentido. La aplicación será sacada dentro de poco de Google Play (en semanas próximas), así que si por alguna razón obscura la quieres tener y usar, aprovecha para descargarla de una vez; igual si ya la tienes, la podrás seguir usando.

Pero no todo son noticias malas en la tierra de Google: resulta que hoy anunciaron la compra de Songza, un servicio que en pocas palabras existe para ofrecerle música apropiada para ciertos escuchas al momento de usar el servicio. Esto por supuesto es para hacerle frente a todos los que están metidos en el turbulento mundo de la música online, en particular Apple (con su compra de Beats), Amazon con Prime y también porqué no, de Spotify. Google no tiene planes de cambiar Songza por el momento, pero yo creo que es probable que veamos empotrada la tecnología en alguna parte dentro de Google Music, lo cual no sería algo descabellado…justo ahora después de Google I/O en el que lo único remotamente interesante que anunciaron es que viene una invasión de Google en varios dispositivos, contar con un sistema predictivo de música quizás no suena del todo mal.

Etiquetado con:
 

Aquí les dejo el stream oficial del evento Google I/O 2014 en el que se espera se anuncien cosas interesantes como la siguiente versión de Android y quizás algún smartphone nuevo de Motorola, entre algunas cosas.

Etiquetado con:
 

Logo HeartBleed

A pesar de ser una de las peores vulnerabilidades de seguridad en la red que se han dado en años recientes, HeartBleed aún sigue dando de que hablar, pues según informes de la empresa Errata Security aún quedan poco más de 300,000 servidores que no tienen los parches adecuados; esta empresa encontró estos servidores haciendo un simple escaneo de puertos 443, y es consistente con el estudio que realizó antes y donde encontraron casi 310,000, de lo que sale una diferencia de apenas unos 9,000 servidores parchados en 30 días, lo cual pareciera que los responsables de aplicar dichos parches se están volviendo flojos. El método usado por Errata Security no es exactamente preciso, así que podrían ser menos…o quizás muchos más los servidores infectados. Y es que este problema del HeartBleed es particularmente peligroso porque habrá software que nunca será parchado, como el de los sistemas empotrados, teléfonos viejos con Android, cajeros automáticos y otros más que difícilmente verán actualizaciones. Como en veces anteriores, hay poco que se puede hacer al respecto; una de esas cosas es instalar un plugin en tu navegador para detectar sitios vulnerables y evitarlos en particular en el tema de solicitud de datos bancarios; usar características de seguridad de sentido común como passwords fuertes y únicos, habilitar esquemas de autenticación de dos factores y ser un poquito menos confiados de que no nos pasará nada mientras navegamos en la red, más aún cuando el panorama de recuperación de este HeartBleed no es bueno – los investigadores que proporcionaron las cifras de este estudio dicen que aún dentro de 10 años esperan encontrar miles de servidores sin parchar.

Etiquetado con:
 

Francamente las noticias del E3 2014 no me emocionaron mucho que digamos, excepto porque Sony anunció que traerá de vuelta un remake de uno de los juegos más queridos de todos los tiempos, y me refiero a nada mas y nada menos que Grim Fandango. Para aquellos que no lo conozcan, es un juego que fue producido por la excelente casa de juegos Lucas Games, que como ustedes recordarán de vuelta en el 2013 dejó de producir juegos pues ya tenía varios problemas relacionados con este mercado, situación que fuera anunciada por Disney en abril del año pasado. En aquel entonces transpiró que Lucas Arts sólo serviría para licenciar contenido, pero muchos temían que sólo se centraran en Star Wars y todo lo demás quedara en el olvido. Afortunadamente, por lo menos no será el caso de Grim Fandango, que llegará a las consolas PlayStation 4 (PS4) y PS Vita. Aún no se conocen detalles de nada acerca de este remake, pero sólo de pensar en lo que se puede hacer hoy en día respecto a gráficos es suficiente para empezar a babear. A todos aquellos que no lo hayan jugado en su momento, les recomiendo que lo hagan cuando este remake vea la luz del día; la versión original es algo difícil de correr actualmente dado lo vieja que es, y cada vez es más difícil hacerlo, así que aprovechen este remake, que seguramente será espectacular. ¡Excelente decisión de Sony!

P.D. ¡Escuchen la reacción de los que fueron a la conferencia!

Etiquetado con:
 

Quizás hayas escuchado esta historia en semanas pasadas: un usuario de YouTube llamado Webdriver Torso (un nombre que no sé porqué me resulta perturbador) ha subido unos 80,000 vídeos, todos ellos de 11 segundos, y que contienen rectángulos de color azul y rojo, así como algunos tonos a manera de música de fondo, y todos ellos con nombres que a todas luces son generados al azar. Como te habrás de imaginar, no pasó mucho tiempo antes de que esto se volviera un misterio de Internet, y muchos se dedicaron a investigar que pasaba con estos vídeos; y como seguramente se están imaginando, no tardaron en salir toda clase de conjeturas como que si fueron aliens, una prueba secreta del gobierno, y demás teorías conspiracionistas. Bueno, la realidad de lo que es Webdriver Torso fue mucho más simple, y quizás divertida también.

Uno de los que investigó los vídeos fue un italiano, quien descubrió que la cuenta de Webtorso Driver era parte de una red de cuentas que a su vez tenían vídeos similares, e incluso llegó a una cuenta de Google+ ligada a la red de cuentas, así como a cuentas ligadas de Facebook y Twitter. En la cuenta de Facebook dió con un empleado de Google amigo de otro que a su vez resultó ser el nombre que aparece en uno de los dos vídeos que se salen del molde de todos, y que muestra una torre Eiffel. El mismo investigador italiano llegó a comparar las imágenes de las oficinas de Google Zurich a unas que se ven en vídeos que ya fueron retirados. Aparte de todo esto, el mejor indicador de lo que estos vídeos son en realidad quizás sea el vídeo tmpRkRL85, el cual contiene una imagen que seguro conoces:

A menos que hayas vivido bajo una roca y no sepas que es lo de arriba, felicidades, has sido rickrolleado…ya saben, ese meme de Internet que nunca morirá en el cual te engañan para que escuches o veas a Rick Astley y su canción “Never gonna give you up”. Ya de ahí las cosas estaban más claras que el agua, e incluso al preguntarle a Google esto es lo que dijo:

We’re never gonna give you uploading that’s slow or loses video quality, and we’re never gonna let you down by playing YouTube in poor video quality. That’s why we’re always running tests like Webdriver Torso.

Independientemente de si sabes inglés o no, verás que respondieron usando la letra de la canción de Astley. Así que amigos, no hay tal conspiración, es apenas un simple test de calidad de subidas de Google para probar su propio servicio. En este caso en particular, es una prueba que nunca pensaron que llegara a manos de los usuarios y crear controversia.

Etiquetado con:
 

Puerta trasera abierta...

Seis nuevas vulnerabilidades se han encontrado en OpenSSL, librería que todavía se está recuperando del desastre de HeartBleed; esta vez las vulnerabilidades son variadas, y permiten, por mencionar uno, un ataque del tipo “hombre en medio” que dan pie a que se pueda “escuchar” las comunicaciones encriptadas, así como también poder introducir malware en los sistemas comprometidos. Las versiones de OpenSSL afectadas son varias, que van desde la 0.9.8 hasta la 1.0.2-beta1. Un dato que llama la atención es que una de las vulnerabilidades descubiertas data de la primera versión de OpenSSL en 1998…es decir, hemos vivido 16 años con esos errores en el software. Quizás lo único positivo es que estas nuevas vulnerabilidades no son tan fáciles de explotar, a diferencia de HeartBleed. Lo que hay que hacer a la voz de ya es parchar sus servidores o cualquier otro software o hardware que haga uso de OpenSSL; en particular, los que usen la red Tor deberían actualizar su software pues son particularmente vulnerables a ataques del tipo “hombre en medio”. Reflexionando sobre los diversos problemas de seguridad que han habido respecto a OpenSSL, habría que preguntarse: ¿es esto bueno o malo? yo creo que es bueno pasar por este episodio problemático, en particular porque desde el problema de HeartBleed las miradas de todos están puestas en el desarrollo (y apoyo en consecuencia) de OpenSSL, así que creo que es el mejor momento para arreglar los problemas que pueda tener esta librería tan usada por todos.

Etiquetado con:
 

Mientras tanto en Twitter...

Set your Twitter account name in your settings to use the TwitterBar Section.