Google redobla la apuesta: hasta U$S 2 millones en premios en el Pwnium 2

Sorpresa, en el mes de febrero de 2012 se ofreció un muy interesante premio, dentro de un programa de recompensas en seguridad como parte de la competencia Pwn2Own, Google destinó múltiples recompensas por categoría, según la vulnerabilidad encontrada, hasta 1 millón de Dólares de límite por "hackear" Google Chrome.

Recordemos que el joven Sergey Glazunov logró con éxito ejecutar el navegador de Google a través de un "exploit", la técnica para lograr el "asalto" fue evitar la restricción de la llamada "sandbox" de Chrome. Glazunov obtuvo un premio de 60.000 dólares por la hazaña. En menos de 24 horas después Google presentó un parche para eliminar el problema de seguridad.

Ayer, el blog The Chromium Blog anunció que esa competencia Pwnium, celebrada a principios de este año, superó sus expectativas, con dos presentaciones de tal complejidad y la calidad que ambos ganaron premios Pwnie en el evento de Sombrero Negro de este año. En el blog señalan que lo más importante es, que han sido capaces de hacer Chrome mucho más fuerte, sobre la base de lo que han aprendido, y por lo tanto, se va a celebrar otra competencia Pwnium, llamado Pwnium 2. Se llevará a cabo el 10 de octubre 2012 en el Hack In The Box, y ésta vez, van a patrocinar hasta 2 millones de dólares en premios.

Post relacionados:

• Announcing Pwnium 2. The Chromium Blog. 15/08/2012.
• Estarían ofreciendo a la venta las vulnerabilidades descubiertas en Google Chrome. 21/03/2012.
• "Hackeado" y parcheado Google Chrome. 09/03/2012.
• 1 millon de dólares para quien pueda "hackear" Google Chrome. 28/02/2012.

Chau Flash, venga HTML5

Era una cuestión de tiempo nomas, para que pase ésto. Desde ayer los usuarios de Android que intenten actualizar Flash desde Google Play son recibidos por una notificación que informa que el software ya no cuenta con soporte en las versiones de Android 4.0.x o superiores.

Pero el tema no se limita a los usuarios de Android, desde hace ya unos años, más específicamente un año y medio después de que Steve Jobs la avalara en un inusual ensayo, una serie de técnicas de programación llamadas HTML5 está rápidamente ganándose a la web.

El hecho es que HTML5 permite que los navegadores de Internet desplieguen imágenes realzadas y efectos que reaccionan a las acciones de los usuarios, lo que produce una interactividad semejante a la de los videojuegos sin necesidad de instalar software adicional. Gran perdedor es Flash de Adove.

Ya en marzo de 2010 uno de los “cazadores de bugs” y experto en seguridad informática más famosos de todo el mundo, Charlie Miller, quien ha ganado dos años consecutivos el prestigioso certamen de seguridad Pwn2Own, también el primero en hackear el iPhone y un dispositivo con Android, ha recomendado no instalar Flash.

Miller, en una entrevista para OneITSecurity, reveló que aquellos que tengan Flash instalado no estarán para nada seguros, confirmando lo informado por él, en varias ocasiones, sobre Flash y sus problemas de seguridad. "Esta extensión, que es la meca de los crackers ya que está instalada en el 98% de los ordenadores, llenará de bugs a tu ordenador", dijo.

Los recientes problemas entorno a la seguridad, y más aún luego de unos resonantes casos, que aunque no tengan que ver con Flash, están pesando en la decisión de los que no lo han desinstalado aún a sacarlo de sus equipos.

Post relacionados:

• HTML5, la quinta revisión importante del lenguaje básico de la WWW. 25/11/2011.
• Recomiendan no tener instalado Flash. 02/03/2010

A 35 años de la “Señal WOW!”

Imagen original de la impresión de la Señal WOW!.
Visto en Wikipedia.

Repitiendo lo que dijo Ellie Arroway, interpretada por Jodie Foster, en la película Contacto: "El universo es un sitio muy, muy grande, más grande de lo que alguien en su vida haya concebido jamás, y si sólo estamos nosotros, cuanto espacio desaprovechado, ¿verdad?".

Hoy 15 de agosto, se cumplen 35 años de la “Señal WOW!”, el 15 de agosto de 1977 a las 23:16, el radiotelescopio Big Ear recibió una señal de radio de origen desconocido durante exactamente 72 segundos proveniente de la zona oeste de la constelación de Sagitario y alcanzando una intensidad 30 veces superior al ruido de fondo.

Días después, Jerry R. Ehman, un joven profesor de la Universidad Estatal de Ohio, voluntario en el proyecto SETI, revisando los registros descubrió la señal anómala más intensa que se hubiera detectado hasta entonces por un radiotelescopio. Ehman, sorprendido y emocionado marcó "Wow!" en la impresión que tiró la computadora, y la señal fue conocida como Wow! desde entonces.

Post relacionados:

• La Señal WOW!. 22/12/2009.
• Seguramente que no estamos sólos. 08/12/2009.

Gauss, un virus de espionaje bancario, un verdadero dolor de cabeza

The Mystery of the Encrypted Gauss Payload.- "There are many remaining mysteries in the Gauss and Flame stories. For instance, how do people get infected with the malware? Or, what is the purpose of the uniquely named “Palida Narrow” font that Gauss installs?". Por GReAT Kaspersky Lab Expert en Securelist.

Unable to Crack Computer Virus, Security Firm Seeks Help.- "Among Gauss’s most puzzling components is an encrypted “warhead” that watches for a specific computer system with no Internet connection and installs itself only if it finds that configuration. The warhead has baffled security researchers at Kaspersky Lab, who first discovered the virus in June and have been unsuccessfully trying to crack its encryption code since". Por Nicole Perlroth para Bits - The New York Times.

El tema es, según lo que se cuenta en Bits que Gauss ha desconcertado a los investigadores de seguridad de Kaspersky Lab; "a pesar de nuestros mejores esfuerzos, no hemos podido romper el cifrado", escribieron los investigadores de Kaspersky en un blog ayer martes.

Uno de los componentes más misteriosos de Gauss es una “ojiva” encriptada que se activa una vez que encuentra una configuración de un sistema informático específico sin conexión a Internet y se instala sólo si comprueba la configuración.

En un escrito los investigadores de Kaspersky Lab señalan que consideran que el virus fue creado por los mismos que desarrollaron Flame y Stuxnet.

Hasta la fecha, los investigadores de Kaspersky han detectado a Gauss en 2.500 computadoras, la mayoría en el Líbano. Su objetivo parece ser la adquisición de log-ins para cuentas de mensajería de correo electrónico, mensajería instantánea, redes sociales y, en particular, las cuentas de algunos de los mayores bancos del Líbano como el Bank of Beirut, Blom Bank, Byblos Bank and Credit Libanais, junto con el Citibank y el sistema de pago en línea PayPal.

El dato interesante en toda ésta "intriga", casi de película, y siempre según lo informado por Bits, es que expertos en el Líbano, señalaron que una campaña de espionaje estadounidense dirigida a los bancos libaneses tendría sentido, dado la preocupación de los Estados Unidos que los bancos del Líbano se han utilizado para respaldar al gobierno de Siria y al el grupo militante libanés y el partido político Hezbolá.

El año pasado, Departamento del Tesoro de Estados Unidos identificaron un banco libanés, con sede en Beirut, el Lebanese Canadian Bank SAL, como principal centro de una gran operación de lavado de dinero procedente del narcotráfico en beneficio del grupo extremista Hezbolá.

Sobre Stuxnet en éste blog.
Sobre Flame en éste blog.

Sobre la basura electrónica (II)

El reciclado de basura electrónica sigue sin una ley nacional.- "Un proyecto de ley, que tiene media sanción en el Senado, espera hace más de un año su tratamiento en Diputados; mientras, un proyecto en La Plata ya recolectó 13 toneladas de residuos electrónicos desde 2009; en Europa será obligatorio reciclar el 45% de la chatarra electrónica para 2016". Por lanacion.com.

Post relacionados:

• Sobre la basura electrónica. 25/011/2011.
• Basura electrónica, todo un problema. 18/11/2011.

El lado oscuro de la informática e Internet

El boom de los mercenarios de la red.- "En el mundo de la informática existe un "lado oscuro" al más puro estilo de la Guerra de las Galaxias y a él pertenecen aquellos expertos que optan por usar sus habilidades para robar información a través de la red y luego venderla al mejor postor, ya sean miembros del gobierno, empresas o particulares". Por Anahí Aradas para BBC Mundo Tecnología.

Un par de comentarios. Primero, me hubiera gustado que el post de los 30 días y 30 noches en Queenstown, New Zealand - Trey Ratcliff sea el que cierre la edición de hoy del blog, una nota más colorida y agradable, pero así son las noticias, ésta llegó luego y me parece importante ponerla como lectura recomendada.

Finalmente, éste tema es muy serio, es para tenerlo muy en cuenta. Los mercenarios éstos son una realidad, componentes importante del cibercrímen.

Recientemente conocimos denuncias en Argentina sobre "tuiteros" pagos al servicio de ciertos poderosos para motivar o desmotivar temas alrededor de la política. A éstos personajes bien se los puede señalar de mercenarios y de sicarios.

En nuestra vapuleada Argentina, no pocos estamos convencidos que a los políticos lo único que les interesa es acumular poder, y bueno, a la vista han quedado las "herramientas" que utilizan.

30 días y 30 noches en Queenstown, New Zealand - Trey Ratcliff

Visto en YouTube, vía StuckInCustoms.

Un más que interesante time lapse editado a partir de las imágenes de los primeros primeros 30 días y 30 noches en New Zealand de Trey Ratcliff. El autor sugiere "ver este video 4K en pantalla completa en alta definición con unos buenos altavoces o auriculares".

Ratcliff, de quien mostramos varias veces aquí sus impresionantes trabajos, es un experto en fotografía HDR, y acaba de mudarse a la ciudad de Queenstown, en New Zealand. En su website nos cuenta como surgió ésta magnífica presentación, que también está en la versión Vimeo. Él está trabajando en un vídeo que se presentará próximamente, y que tiene más de 300 horas de trabajo. El lugar donde se instaló, según Ratcliff, tiene algunas de las mejores vistas de Queenstown, y además, cada disparo fue a menos de quince minutos de la casa donde se instaló.

La cámara usada para la mayoría de las tomas fue una Nikon D3S. La música es del conocido compositor Hans Zimmer. Para editar el time lapse, entre las herramientas utilizadas está el Photomatix Pro para la edición de las fotografías, el plugin Magic Bullet Looks para la graduación de color, Topaz Adjust, Nik Software, Adobe Lightroom, Adobe Photoshop, LRTimelapse, Twixtor Pro y Final Cut X para la edición del vídeo.

Hay más información sobre éste trabajo en el website StuckInCustoms de Trey Ratcliff.

Sobre Trey Ratcliff en éste blog.