¿Que es y por que el firmado digital?

La firma digital es una herramienta tecnológica que permite garantizar la autoría e integridad de los documentos digitales, posibilitando que éstos gocen de una característica que únicamente era propia de los documentos en papel.

Una firma digital es un conjunto de datos asociados a un mensaje digital que permite garantizar la identidad del firmante y la integridad del mensaje.

La firma digital no implica asegurar la confidencialidad del mensaje; un documento firmado digitalmente puede ser visualizado por otras personas, al igual que cuando se firma holográficamente.

La firma digital es un instrumento con características técnicas y normativas. Esto significa que existen procedimientos técnicos que permiten la creación y verificación de firmas digitales, y existen documentos normativos que respaldan el valor legal que dichas firmas poseen.

[Fuente: www.mpd.gov.ar]

Para la firma digital usaremos RightSignature, ya que con una cuenta demo, de manera gratuita, nos permite enviar hasta 5 documentos firmados.

Crear una cuenta en RightSignature

Anotación: Se puede hacer click encima de las imagenes para agrandarlas.

Hay que acceder via web a www.rightsignature.com

Ahi tenemos que escribir nuestro nombre completo y email y hacemos click en “TRY IT NOW“.

Una vez cargada la web podremos observar una imagen que nos enseña las diversas posibilidades de firmado y manejo de la aplicación (La cerramos)

Ahora podemos observar la siguiente barra:

Esto quiere decir que necesitamos verificar la cuenta con el email que hemos indicado al principio del proceso, en caso de que en la bandeja de entrada de nuestro email no tengamos el email de confirmación, podemos hacer click en “RESEND ACTIVATION EMAIL”

En el email, hay que hacer click sobre el enlace. En caso de que no se abra, podemos copiarlo y pegarlo en la barra de dirección del navegador.

Ahora tenemos que establecer la contraseña que tendrá nuestra cuenta. Debe tener como minimo 6 caracteres. Una vez escrita la contraseña, hacemos click en “SAVE ACCOUNT INFORMATION”

Preparación del documento de alegación

Muy bien! Ya tenemos nuestra cuenta de RightSignature lista para poder firmar!

Ahora abrimos nuestro procesador de texto (en mi caso Microsoft Word 2010)

Copiamos dentro de nuestro procesador de texto el siguiente texto redactado por Alfredo Sanjaime Mendaña:

Estimados señores,

Yo, D. / Dña. <Nombre Completo> con D.N.I. <DNI> y domicilio en <Dirección> les remito el presente escrito en referencia al PROYECTO DE REAL DECRETO POR EL QUE SE APRUEBA EL REGLAMENTO DE ARMAS aquí la dirección del proyecto

http://www.mir.es/SGACAVT/seguridad/armas/proyecto_reglamento_armas.pdf

Tal como indican está abierto el plazo para realizar eventuales observaciones al proyecto y es por eso que me dirijo a ustedes en calidad de <Vinculo con el Paintball>

En el nuevo proyecto del Reglamento de Armas , se recoge la definición de armas de uso lúdico-deportivo en la SECCIÓN 2ª. DEFINICIONES ,Artículo 2: Definiciones.    copio aquí la definición:20. “Arma de uso lúdico-deportivo”: arma accionada por aire, o gas comprimido o por muelle, de ánima lisa, que dispara proyectiles de material plástico que pueden contener líquidos o geles en su interior, de un peso no superior a 0,40 g y de un diámetro igual o menor a 8mm, con una energía cinética en boca inferior a 3 julios. Las armas comprendidas en esta categoría deberán llevar una marca permanente de color amarillo y fosforescente que permita su rápida identificación.

Estas marcas deberán presentar una anchura de 5 cm alrededor del cañón e inmediatamente detrás del punto de mira. Quedan comprendidas dentro de la presente definición, tanto las armas de “airsoft” como las armas de “paintball”.Quiero hacerles constar que las armas que existen de paintball no se asemejan ni asimilan las características especificadas en dicha definición número 20, estas características son propias del airsoft. Para el paintball el diámetro internacionalmente reconocido es no superior a 18 mm con un peso no superior a 4 gr, esta medida es única y es la fabricada por todos los proveedores de estos proyectiles.

Es muy importante para el colectivo de paintball hacerles constar que no existen proyectiles de paintball de 8 mm ni de menos medida, ni tampoco de 0,40 gr ni de menos peso esos pesos y dimensiones son de armas de airsoft otra modalidad completamente distinta y no compatible con las armas de paintball.

Así mismo la potencia de 3 Julios es incorrecta ya que actualmente las armas de paintball que están homologadas por la Comisión Interministerial Permanente de Armas y Explosivos con una potencia de 12.75 Julios.

Es decir aprobado tal como esta la definición no seria posible la practica del paintball en toda España, actividad ampliamente extendida y regulada actualmente en el actual reglamento de armas en vigor bajo la 4ª categoría de armas

Entiendo que la aprobación de este nuevo reglamento es para mejora de la reglamentación, definición y legislación de las armas y su uso y es por ello que queremos hacerles hincapié del error de definición de esas armas en concreto que existe en dicho articulo 2 (Pag 21)

Me pongo a su disposición en la medida que técnicamente pueda ofrecer mi experiencia y conocimientos escasos en cuanto a armas en general pero muy completos en lo que al paintball, sus armas y sus proyectiles se refiere, entiendo que no es posible por parte de ustedes conocer con exactitud todos los pormenores y detalles de las armas de paintball

Aunque estos detalles afectan a unas armas que solo forman una pequeña parte del reglamento, las de paintball, quiero hacerles conocer que en España están censados mas de 300 campos de paintball en donde semanalmente se practican actividades, tanto lúdicas como deportivas y que existen ligas de paintball en prácticamente todas las comunidades autónomas , así como a nivel nacional e internacional que toman España como sede de distintas competiciones, además de varias decenas de miles afiliados al deporte del paintball, si el reglamento se aprueba tal como esta , toda la practica del paintball se tendría que detener la práctica y uso de las armas de paintball que ahora mismo con el actual reglamento si esta recogida como categoría 4ª aunque no específicamente definida, como entiendo que el actual reglamento sí quiere recoger este tipo de armas y definirlas, precisamente por la importancia que la actividad tanto económicamente, como en el aspecto deportivo que desde hace mas de 20 años se realiza amparada en el actual reglamento, entendemos que el nuevo antes de incorporar imprecisiones debería recoger datos precisos de las armas de paintball al referirse a ellas

Les resumo los datos  que encontramos en el proyecto así como los datos correspondientes a paintball para que consideren la modificación del proyecto del Reglamento de Armas

Datos del  proyecto:  un peso no superior a 0,40 g y de un diámetro igual o menor a 8mm así cómo una potencia no superior a 3 Julios.

Datos reales del paintball: Un proyectil de paintball tiene un peso no superiror a 4 gr, un diámetro no superior a 18 mm con una potencia no superior a 13 Julios.

Limitar las armas de paintball a 8 mm de calibre y 0,40 gr de peso eliminaría el paintball como actividad deportiva y lúdica ya que no existen armas de paintball de esos calibres y por supuesto  dejaría fuera de la reglamentación todas las armas que actualmente hay de paintball que se cuentan por decenas de miles

Me gustaría que dentro de sus posibilidades  pusieran especial atención en que de aprobarse el proyecto del reglamento de armas con este error de definición del “Arma de uso lúdico-deportivo” varios miles de puestos de trabajo quedarían el día siguiente de su aplicación sin posibilidad de operar por ser ilegal su uso y afectaría a escuelas de paintball, torneos, ligas, empresas de multiaventura, campos de paintball, empresas de alquiler de equipaciones, distribuidores e importadores de material de paintball, fabricantes nacionales, tiendas, clubs, asociaciones y todos los profesionales que directa o indirectamente dependen de las actividades relacionadas con las armas de paintball, anualmente esto supone una cifra de negocio conjunta de mas de 30 millones de € que actualmente operan amparados en el actual reglamento de armas y que a fecha de la aprobación del nuevo reglamento incluyendo dicho error quedarían paralizadas y fuera de la legalidad.

Es de agradecer el interés puesto por el Ministerio del Interior en la actualización del reglamento de armas para adaptarlo a las nuevas armas, sus técnicas y tecnologías, espero que por medio de la presente en la que pueden sin duda encontrar el respaldo de la mayoría de jugadores de paintball españoles atiendan a modificar o permitirnos explicarles las características de las armas de paintball, curiosamente poco conocidas en detalle por las fuerzas de seguridad del estado precisamente por tener un carácter mas lúdico y no defensivo.

Entiendo que un error de esta naturaleza e importancia no debe verse reflejado en el proyecto de un reglamento de la relevancia como es la el del reglamento de armas y mucho menos para ser llevado a un consejo de ministros con dichos errores.

Quedo a  su entera disposición, si es necesario presencialmente para hacerles llegar todos los ejemplos, informes, características, hojas de fabricación y normativas especificas del paintball que necesiten para que se pueda resolver este malentendido en la redacción del nuevo proyecto del reglamento de armas con respecto a la definición de las armas lúdico-deportivas

Estoy a su disposición mediante este correo <Correo Electronico> o bien a través de el / los siguientes números de teéfono: <Número de Telefono>

Quedo a su entera disposición y le agradezco la atención prestada, a la espera de poder resolver esta situación lo antes posible.

En <Población> a <Dia> de Diciembre de 2010

Fdo. D/Dña <Nombre Completo>

En ella debemos cambiar como minimo los siguientes campos:

• <Nombre Completo>
• <DNI> (En caso de no tener DNI, cambialo por el pasaporte)
• <Dirección>
• <Población>
• <Número de Telefono>
• <Correo Electronico>
• <Vinculo con el paintball> (Dueño de campo de paintball, Jugador de paintball… (En su defecto: Jugador de paintball))
• <Día>

Una vez cambiados los datos, guardamos el documento en el Escritorio (en mi caso).

Como firmar y enviar el documento

Accedemos a la pagina www.RightSignature.com

Hacemos click en “NEW DOCUMENT”

Hacemos click en “BROWSE” y seleccionamos el archivo que previamente hemos guardado (Documento de alegación), seleccionamos que nuestro usuario es el que firma y que el otro usuario será el que reciba el archivo firmado.

Ahora escribimos los datos del que recibirá el documento firmado, en nuestro caso en “NAME” escribimos “Secretaría General Técnica” y en “EMAIL” escribimos “secretaria.sgt@amador.mir.es”

Ahora en description escribimos “Alegación sobre el proyecto del Reglamento de Armas” y hacemos click en “Send for Signature”

PERFECTO! Llegado a este paso ya has enviado el documento a firmar, ahora cargará una web donde podrás revisar y firmar el documento.  En caso de que tengais iPhone o iPad tambien podeis dirmar desde ellos, solo teneis que instalar la aplicación “RightSignature” desde el appstore y acceder con vuestro nombre de usuario y contraseña.

En caso de no tener ni iPhone, ni iPad o simplemente no tener ganas de instalar programas… podemos proceder desde la pagina web que ha cargado despues de hacer click en “Send for signature” desde la que podemos revisar el documento.

Si pasamos el cursor del ratón por encima de la casilla blanca de la parte inferior del documento, podremos observar que se hace más grande. Ahí es donde nosotros debemos hacer nuestra firma.

En caso de que nos siga faltando espacio podemos hacer click en “Fullscreen” y se volverá considerablemente más grande.

En caso de que nos hayamos equivocado al escribir la firma, podemos hacer click en “Retry” para volver a intentarlo.

Una vez que tenemos nuestra firma lista para ser enviada, hacemos click en “SUBMIT SIGNATURE”

Felicidades! ya has enviado tu alegación firmada de manera digital. Recibirás una copia del documento firmado en tu email.

Para correcciónes o sugerencias sobre este manual, podeis contactar conmigo en abuse@abuseluvare.es o buscar otras vias de contacto en el apartado “Aviso legal” del blog.

Os agradecería a todos los que habéis alegado, que os unáis a nuestra página en facebook: http://www.facebook.com/pages/Yo-tambien-firme-para-la-rectificacion-del-proyecto-del-reglamento-de-armas/137886939599367

“El cloud computing es una modalidad de pago por uso de servicios de computación (IaaS) y servicios de valor añadido creados sobre los primeros (PaaS, SaaS e interoperabilidad SOA), con contratación y entrega inmediata de los mismos”.

Aunque se comprenda mejor el término “recursos de computación” que “servicios de computación”, prefiero la palabra servicio. Lleva implícito un acuerdo de nivel de servicio que engloba escalabilidad, seguridad, disponibilidad y gestión.

Los recursos de computación ya sabemos cuales son: CPU, RAM, almacenamiento y transporte de red.

Los servicios de valor añadido son los proveedores de Platform as a Service (PaaS) que ofrecen una plataforma para ejecutar tus aplicaciones, y los Software as a Service (SaaS) que te alquilan la utilización de aplicaciones sin adquirir nada.

La finalización de la definición hace referencia a la contratación on-line y entrega inmediata, lo que implica automatización de procesos y escalabilidad (computación elástica).

Opino que el mayor avance que veremos a corto plazo en el cloud es la interoperabilidad de las aplicaciones, automatizando los procesos productivos manuales de las empresas.

Me explicaré: Cuando un cliente me haga un pedido en sus sistema de compras, el pedido aparecerá en mi ERP y, de forma automática, ese pedido se subastará entre los proveedores que tengan sus sistemas conectados. El ganador de la subasta ingresará el pedido en su sistema y automáticamente el pedido aparecerá en el Order Entry del ERP del almacén logístico. Cargará el camión de productos, realimentará los sistemas de los clientes para seguir el estado del pedido, y todo eso con la intervención humana indispensable. La tecnología ya existe, conozco empresas que disponen de la misma, sólo falta que madure la necesidad y el cloud es un acelerador.

Basado en JoseMariaGonzalez.es

La eliminación de las dos licencias más económicas de la base de datos y las subidas de precios por parte de Oracle podrían minar su uso.

Los temores de los usuarios de la popular base de datos MySQL parecen irse confirmando poco a poco. Oracle parece decidida a ponerlas las cosas difíciles a sus clientes y ya ha anunciado varias medidas que harán menos atractivo su uso.

La compañía de software dirigida por Larry Ellison se comunicó recientemente con los usuarios de MySQL para advertirles de que suprimirían las dos licencias más económicas del programa (Basic y Silver), lo cual repercutirá en las PYMES que eran las que más usaban este tipo de concesiones. Aquellas que quieran seguir utilizando la base tendrán que desembolsar un 400% más, como consecuencia de estas medidas.

El mensaje enviado pone énfasis en que los derechos de licencia de MySQL no han aumentado en seis años.
Así, Oracle advierte de que hará una subida de precios en breve, aunque no ha especificado las cantidades.

Habrá que esperar la reacción a estos cambios por parte de los clientes tradicionales de Sun, acostumbrados a sus soluciones de bajo coste o gratuitas, una cultura empresarial que no le hace ninguna gracia a Oracle y que parece estar dispuesta a erradicar.

Autor: Alberto Payo
Fuente: ITespresso.es

La cantante estadounidense Beyoncé, quien acaba de protagonizar la exitosa película ‘Obsessed’, ha desarrollado el don de la ubicuidad y ha logrado estar en dos sitios al mismo tiempo: en un museo vienés y paseando por la calles de la ciudad.

Un prodigio de la física que la diva del ‘Rhythm and Blues’ logró gracias a la ayuda de una doble, a la que mandó a visitar el prestigioso museo Albertina mientras ella se dedicaba a otros menesteres.

Los medios austríacos informaron hoy de que el cambiazo fue tan perfecto que nadie en el museo se dio cuenta. La “cantante” fue recibida con todos los honores y conducida en una vista privada a través de la pinacoteca por el propio director de la institución.

Mientras su socia daba el pego mirando cuadros, la auténtica cantante se dio un paseo por una zona de compras y se dejó fotografiar e incluso firmó autógrafos.

Un ladrón de bancos fue convencido de solicitar un crédito en vez de asaltar la entidad financiera. Igual fue preso.

Mark Smith, de 59 años, le dijo a los cajeros de un banco en Watsonville, California, que tenía una bomba en la mochila y que la haría explotar a menos que le dieran dinero. En vez de ello, la gerente lo convenció de que pidiera un crédito para resolver sus problemas de liquidez.

Mientras Smith esperaba pacientemente a que la mujer trajera todos los papeles necesarios para el préstamo, la policía se presentó y lo arrestó. “La rapidez mental del personal logró calmar y distraer al asaltante con cierto papeleo mientras llegábamos al lugar”, explicó el teniente Darren Thompson.

El hombre será acusado de intento de robo y amenaza de bomba. Según informó Thompson, el detenido no llevaba ningún arma.

Esta noticia ya tiene unos días pero no puedo dejar de pasarla por alto por la controversia que ha provocado,Ryanair más barato pero a costa de volar… ¿sin copiloto?, es la nueva idea de Michael O’Leary el presidente de la aerolínea irlandesa de bajo coste. Pero, ¿qué piensan los usuarios?

La mayoría ha puesto el grito en el cielo y además ni corto ni perezoso afirma que con los adelantos informáticos que actualmente existen la figura del copiloto se limita a “acompañar al piloto para que no se duerma”. Pues sinceramente también saldría más barato ponerles música y alguien al lado tocando las castañuelas.

Otro apunte para ahorrar sería que una vez eliminado ese puesto al lado del piloto, y en caso de necesitar algún tipo de ayuda, se den cursos a los auxiliares de vuelo para que aterrizaran el avión. Lo cierto es que se me pone la piel de gallina y no será por que vuele mucho si no por que los que estamos al ras de suelo también nos parece una locura que intenten ahorrar tanto a costa de la seguridad de todos, a los que vuelan y a los que vamos de pie que corremos el riesgo de que nos caiga una avión encima. Vuestra sincera opinión será bienvenida cómo siempre.

Vía | Público

El nuevo DNIe alemán, a diferencia del español, usa un chip sin contactos basado en tecnología RFID/RIHD, tecnología que desde hace años viene acompañada de serias controversias y puede representar un claro riesgo para los usuarios. DNIe que está previsto que se comience a distribuir Alemania a partir del mes de noviembre próximo y que podrá ser utilizado, al igual que el español, para ofrecer seguridad a las transacciones en línea, firmar documentos, o para acreditar la identidad de los usuarios de forma remota.

No es la primera vez que se comentan los problemas de seguridad de los sistemas RFID, pero desde mi punto de vista, hay dos que son especialmente importantes; la debilidad de los algoritmos criptográficos que utilizan y la posibilidad de interactuar con ellos de forma remota y sin que lo sepa el usuario que lo porta despreocupadamente en su cartera…

El problema de la debilidad de los algoritmos criptográficos en los sistemas RFID se debe a la reducida cantidad de energía que pueden captar y manejar estos dispositivos, lo que limita seriamente su capacidad para realizar cálculos complejos, o que se demoren demasiado en el tiempo. Este hecho ya se puso de manifiesto como un claro riesgo con los pasaportes basados en RFID, así como en ciertas tarjetas RFID que usan cifrado.

El problema de poder interactuar con estos dispositivos a distancia y sin el conocimiento del usuario, es algo que también se debe tener en cuenta. Por lo general, los usuarios tienen una percepción muy equivocada de este riesgo y la mayoría de ellos, considera que el dispositivo debe estar muy próximo al lector para poder interactuar con él, lo que no es cierto. En la realidad se pueden leer dispositivos RFID pasivos a distancias que varían entre los 3 m y los 10 m, dependiendo de las frecuencias utilizadas por los “tags” y la ganancia de las antenas de los interrogadores y de los “tags”. De hecho, una vez conocida la clave de cifrado, se han podido leer los pasaportes RFID a una distancia máxima de 10 m. Es decir, que no estamos seguros en espacios reducidos y en los que pasemos cierto tiempo, ya sea de forma continua o frecuente, como vagones de tren o metro, autobuses, estaciones, lugares de trabajo, o en los aviones.

Sin embargo, la polémica que ha rodeado en fechas recientes al pasaporte alemán no se basa en estas dos preocupantes “prestaciones” de los sistemas sin contactos, más bien se centra en la seguridad del entorno en el que se use el DNIe, que si bien puede agravarse por sus características RFID, es algo que también afecta a otros dispositivos seguros de firma no basados en tecnologías sin contactos como el DNIe español.

Un dispositivo seguro de firma es un sistema seguro que se usa en un mundo inseguro, por lo que la seguridad del entorno es fundamental para que nuestras transacciones sigan siendo seguras. De hecho, un dispositivo seguro de firma no añadirá seguridad adicional a un sistema que sea inseguro. Sin embargo, garantizar la seguridad de nuestro sistema no es algo sencillo y puede que sea casi una utopía, cuando se pueden ver en las estadísticas una gran cantidad de sistemas infectados por malware, o se comprueba la elevada sofisticación del malware que circula actualmente por Internet.

Según han podido demostrar los expertos del CCC Chaos Computer Club en un programa de televisión, si se usa un lector que no tenga incorporado un keypad y el ordenador está infectado con malware, cabe la posibilidad de capturar el pin del usuario y luego, si se tiene acceso a la tarjeta (aunque sea remotamente y sin conocimiento del usuario), se podría usar de forma fraudulenta a una distancia entre 3 y 10 metros. Al menos, en el caso del DNIe español, se tendría que tener acceso físico al DNIe, ya que no existe la posibilidad de interactuar con ella a distancia y te tendrían que robar la cartera.

Desde el punto de vista de muchos expertos, los sistemas RFID son una seria amenaza por ellos mismos, por lo que mezclar sistemas RFID, con aplicaciones que deben tener una alta seguridad, no es una idea demasiado buena y nos puede acarrear serios disgustos en ciertos escenarios. Por ejemplo, en el caso del DNIe alemán la “prestación” de usar tecnología sin contactos puede agravar seriamente el escenario de seguridad, permitiendo su uso remoto y sin el conocimiento del usuario, en el caso de que alguien tenga acceso al PIN, por lo que si las cosas no cambian, recomiendo a los alemanes usar carteras con jaula de Faraday incorporada.

Curiosamente, el lector SCL011 de SCM Microsystems, homologado por la Federal Office for Information Security (BSI) alemana, no lleva incorporado un “keypad” para la introducción del pin y es compatible con Windows XP, Vista, Windows 7, MacOS X y Linux (Ubuntu, openSUSE y Debian).

Copyleft 2007 Fernando Acero Martín. Verbatim copying, translation and distribution of this entire article is permitted in any digital medium, provided this notice is preserved.

Via | kriptopolis

Tras la inoperancia de la limitación del endeudamiento de los ayuntamientos, en un entorno de descenso generalizado de los ingresos, las empresas públicas han recurrido en ‘execeso’ al endeudamiento, hasta superar la barrera psicológica de los 50.000 millones de euros, según los datos publicados el pasado viernes por la oficina estadística del Banco de España.

Lo que más preocupa, es el incremento que se ha experimentado en el período comprendido entre abril y junio, con un crecimiento de la deuda de 3,5 puntos porcentuales, alcanzando la cifra de 52.024 millones de euros, nada más y nada menos que un 16,6 % más que hace justo doce meses.

Si analizamos la cifra por comunidades autónomas, destacamos a Cataluña con una deuda de 28.769 millones de euros, Valencia con 16.280 millones, y Madrid con 12.592 millones de euros. Y si nos fijamos en los ayuntamientos, destacamos que Madrid por si solo ya supera los 7.000 millones de euros.

Por lo general estamos apreciando, que a pesar de que la ‘maquinaria de generación de ingresos públicos’ está a ralentí, los gastos, así como la deuda no paran de crecer. Esta situación no es sostenible durante mucho tiempo, y da la sensación de que se le está yendo de las manos a los gestores políticos, obcecados en ‘solucionar’ a corto plazo los problemas de su jurisdicción administrativa.

Me da la sensación de que el problema se está conviertiendo en una gran bola de nieve, que a medida que pasa el tiempo tiene más difícil solución. Tras pasar los meses y los años, y no alcanzarse ni los más mínimos resultados en cuanto al nivel de deuda, la única solución natural que cabe es la reducción del tamaño de la administración y el aumento de la disciplina financiera. Aunque esto último puede resultar una utopía, cuandolos gestores políticos no ven más allá de cuatro años.

Vía | Cinco días

Lo que hasta hace muy poco era algo bastante impensable en las últimas horas ha sucedido: el servicio del mastodonte de las búsquedas Google Voice (ese que entre otras cosas sirve para realizar llamadas internacionales a precios muy interesantes) ha vuelto finalmente a la App Store mediante la aplicación bautizada como GV Connect que permite a los usuarios disfrutar de Google Voice y todas sus características.

Aunque ya se podía utilizar Google Voice en el iPhone por medio de una aplicación web (tras un encarnizado conflicto entre los del buscador y Apple que inició cuando estos últimos sacaron de la App Store la aplicación Google Voice), la reciente y sorpresiva reducción que Apple hizo en sus polémicas restricciones de la tienda de aplicaciones ha permitido ahora la reaparición del servicio de Google en la misma. Concretamente GV Connect cuesta 2,39 euros y “nos permite” – con el siguiente párrafo entenderéis a que vienen las comillas – desde realizar llamadas a través de Google Voice hasta mandar SMSs o utilizar directamente los contactos almacenados en el dispositivo.

Y dicho todo esto, que nadie tire las campanas al vuelo ya que aún falta lo más importante: que Google extienda de una vez Google Voice más allá de las fronteras estadounidenses (a día de hoy el servicio solamente está disponible para ese país). En cualquier caso la vuelta de Google Voice a la App Store sin duda son buenas noticias y pone punto y final a una polémica iniciada por Apple que principalmente perjudicaba a los de siempre, los usuarios.

Vía: IntoMobile

Quién sabe si continúa la fiesta en Argentina, pero formalmente la EkoParty terminó ayer a la noche, más tarde de lo que se suponía, en el Centro Cultural Konex. El evento de seguridad informática contó con muchas conferencias interesantísimas, pero desde el inicio se sabía que habría una estrella: Juliano Rizzo y Thai Duong presentarían una vulnerabilidad 0 day para ASP.NET.

ASP.NET es el entorno creado por Microsoft para competir conJava y es utilizado aproximadamente por el 25% de los sitios de Internet. Por otra parte, una vulnerabilidad es calificada como “0 day” cuando es, hasta el momento del anuncio, completamente desconocida: es decir, ni Microsoft ni ninguna otra persona en el mundo conocían esta vulnerabilidad, por lo que no hay manera de evitarla o detenerla.

La conferencia fue muy curiosa, ya que comenzaron explicando las cuestiones más técnicas sobre criptografía que hacen posible el ataque. Los conceptos eran fascinantes, pero había tensión en el aire: todos querían conocer, ver la vulnerabilidad. De todos modos, antes de hacerla pública, dedicaron unos minutos a comentar algunos de los problemas de seguridad más notables de ASP.NET. En principio, remarcaron el hecho de que viola la “regla dorada” del desarrollo web: no almacenes ningún dato de importancia crítica en el directorio raíz, ya que Web.config, el archivo de configuración más importante dentro del framework, se encuentra justamente en el directorio “root” y contiene información de usuarios y claves.

Además, la API de criptografía de ASP.NET no autentica los mensajes por defecto y no hay manera sencilla de generar las llaves: algunas veces son creadas en línea, nunca se cambian durante la vida de una aplicación y son utilizadas para todo. Con respecto a la vulnerabilidad, es explotada mediante el Padding Oracle Attack y permite al atacante (según el caso) pues bien, hacer prácticamente lo que desee.

Finalmente Juliano Rizzo y Thai Duong mostraron en una demo cómo funciona el ataque, llevado a cabo mediante POET, una herramientra creada por ellos y, como el código todavía no fue liberado, arrojaron al público al final de la conferencia tres pendrives con la herramienta cargada. Para estas horas, no quiero imaginar cuánta gente ya tiene en sus manos a POET (ni cuántos están experimentando con la vulnerabilidad por su propia cuenta).

Absolutamente todos los sitios desarrollados en ASP.NET son posibles víctimas y no hay nada que puedan hacer todavía para evitarlo. Microsoft, por su parte, publicó un Security Advisory en el que se hace eco de la vulnerabilidad, minimizando su gravedad y asegura que la está investigando, tras lo cual hará lo posible por ayudar a sus clientes. Microsoft dice que la vulnerabilidad “sólamente” permite que se filtre información, cuando depende de las aplicaciones que estén instaladas en el servidor, siendo posible que se comprometa el sistema por completo. De acuerdo a Microsoft todavía no ha sido reportado ningún ataque, pero aunque sea verdad no deberían hacerse esperar.

Fuente: alt1040.com