28 febrero 2014

Otra razón para no confiar en compañías “confiables”: Ahora Facebook puede leer tus SMS

¿Te suena familiar el escenario dónde una y otra vez se menciona la importancia de la privacidad? En mi caso personal puede que me tilden como un nerd con paranoias, tengo mis razones sólidas para serlo tanto como pueda. A fin de cuentas, estoy completamente seguro de que no vas a estar muy gustoso con la idea de tener a alguien husmeando en tus fotos y mensajes enviados a quién determines, solo por citar un par de ejemplos. Si realmente no te interesa cuidar la información personal de tu equipo y no eres receloso con ella, pues adelante, instala Facebook. Si, la aplicación de Facebook de Android. Si, la que habita totalmente gratis en Google Play. Pero espera… ¿por qué habría de subrayarla aquí? Si crees que es de tu incumbencia, debes saber que la más reciente versión puede acceder a leer una parte más de tu vida en tu equipo: SMS y MMS.

De acuerdo a un artículo de Reddit, un blogger encontró que la aplicación de Facebook de Android estaba a punto de actualizarse a sí misma cuando la misma le pidió aceptar algunos nuevos permisos que recién se habían agregado. El primero dice: “Leer tus mensajes de texto (SMS y/o MMS)”. No es un secreto para nadie que Facebook vive de recolectar información personal y la usa para para advertising. Ya tienen acceso a cuanta basura se publica en cada muro, cada vez que se hace un check in en cualquier lugar, todas las fotos/videos que subimos, y no nos olvidemos de nuestros contactos, lo que nos gusta y lo que no. La gran cuestión es ¿para qué necesitan más?

Los comentarios en el artículo de Reddit sugieren que los permisos han estado presentes desde finales de Diciembre, así que es totalmente posible que la actualización haya venido en forma de despliegue para prevenir a cualquiera de notar este cambio en el instante y causar un escándalo. Como podrás saber, ellos (Facebook) tienen una explicación oficial a semejante tontería, y es poder escanear códigos de confirmación vía SMS. El permiso permitido va mucho más allá como para creerle a una aplicación cuya compañía tiene como función principal la recolección de cuanta información personal puedan sobre ti. Es aquí dónde herramientas de permisos selectivos tales como App Ops y Xprivacy vienen muy a mano. Y basado en algunos de los otros permisos mostrados en la imagen, digamos que si usas cualquier aplicación en tu equipo, Facebook lo sabrá.

Los nuevos términos.

Así que, ¿qué opciones te quedan como usuario? Si encuentras algún disfrute en el uso de la aplicación de Facebook (no estoy seguro de por qué), puedes quedarte con ella y vivir con el hecho de que Facebook vava saber todo sobre ti, o simplemente trata de desinstalarla e instala una versión previa que no requiera de estos permisos. También puedes tratar de bloquear algunos de estos permisos con varias suites de privacidad. Y por ultimo pero no menos importante, puedes optar por otro cliente de Facebook como Fast. Por otra parte, desinstalar por completo la aplicación de Facebook puede brindarte un gran crecimiento en productividad, así como en vida de tu batería. Es que solo hay que mirar esos permisos. Yo he eliminado troyanos de mi PC que tienen alcance a menos permisos.

Honestamente ser social en la web no debería ser algo que nos ocasione temor. Pero compañías como Facebook están haciendo de dicha vivencia algo bien difícil con el día a día ya que no podemos tener privacidad alguna en los confines de nuestro propio dominio virtual.

Tomado de: http://desdeandroid.net/otra-razon-para-no-confiar-en-companias-confiables-ahora-facebook-puede-leer-tus-sms/

27 febrero 2014

Comunidad de software libre en Venezuela inicia petición a favor de la neutralidad en la red

La Comunidad de Software Libre en Venezuela ha iniciado una petición a favor de garantizar la libertad de expresión y la neutralidad en la red en el país después de repetidos y constantes reportes de bloqueo de webs y servicios en internet por medio de los cuales la ciudadanía se está comunicando e informando.

Ante constantes reportes de bloqueo de ciertos servicios, páginas web y dominios por parte del gobierno venezolano dentro del país, la comunidad de software libre en Venezuela ha iniciado una petición a favor de la neutralidad en la red y la libertad de expresión en internet.

Según ellos mismos explican, apoyan cinco principios básicos para la transparencia y regulación de internet:

  • Expresión: No se debe censurar internet. 
  • Acceso: Promover acceso universal a redes rápidas y asequibles. 
  • Apertura: Internet debe seguir siendo una red abierta donde todas las personas son libres de conectarse, comunicar, escribir, leer, ver, decir, escuchar, aprender, crear e innovar. 
  • Innovación: Proteger la libertad de innovar y crear sin permiso. No se deben bloquear las nuevas tecnologías, y no se debe castigar a los innovadores por las acciones de los usuarios. 
  • Privacidad: Proteger la privacidad y defender la capacidad de la gente para controlar como se utilizan sus datos y dispositivos."

Según se informa en la petición, el bloqueo de sitios dentro de Venezuela se extiende a unos 500 casos, entre los cuales están Bit.ly, twimg.com, que hospeda imágenes publicadas en Twitter, Pastebin usado como recurso para compartir información de manera anónima, Zello, la cual se usa para comunicación rápida de voz y varias webs de noticias.

La petición también recuerda que la ley de Infogobierno promulgada en Gaceta Oficial N° 40.274 establece que todo programa informático que se desarrolle, adquiera o implemente en el Poder Público debe ser Software Libre, con estándares abiertos, transparente y comunitario, salvo las excepciones expresamente establecidas en la ley.

La petición está en Change.org en caso que desees firmarla: Comunicado a favor de la libertad y neutralidad de la red https://www.change.org/es/peticiones/p%C3%BAblico-en-general-comunicado-a-favor-de-la-libertad-y-neutralidad-de-la-red

Tomado de: http://alt1040.com/2014/02/venezuela-peticion-neutralidad-en-la-red-libertad-de-expresion

26 febrero 2014

Ataque de fuerza bruta a SSH con Hydra

En esta entrada explicaremos, a través de un vídeo de demostración, cómo crear un diccionario de usuarios y contraseñas para, a continuación, lanzar un ataque de fuerza bruta contra un servicio SSH.
Para ello hemos preparado una máquina “víctima“, en concreto se trata de una máquina virtual de Vyatta, que emula el funcionamiento de un router, al que hemos activado varios servicios, entre ellos, el servicio SSH. Hemos creado varios usuarios con sus contraseñas correspondientes.
Para realizar el ataque, utilizamos nuestra máquina virtual con Kali Linux, que ya viene con Hydra instalado, herramienta que usaremos para lanzar nuestro ataque de fuerza bruta. Nosotros la usaremos para lanzar ataque contra un servidor SSH, pero puede ser usado para muchos servicios; rdp, ftp, smtp, imap o telnet entre otros.
Hemos creado de forma manual un diccionario de posibles usuarios. Para la creación automática de un diccionario de contraseñas hemos utilizado la herramienta crunch, a la cual le hemos indicado que queremos que se generen contraseñas con un tamaño de 6 caracteres y formado por los caracteres xyz789. Obviamente, se puede utilizar un código de caracteres más complejo, pero aumentaría considerablemente la duración de esta prueba de concepto.
A continuación os dejo el vídeo (está subido en HD) de demostración:

Como siempre, esperamos que la entrada y el vídeo sean de vuestro interés.


Saludos!

Tomado de: http://hacking-etico.com/2014/02/05/ataque-de-fuerza-bruta-ssh-con-hydra/

24 febrero 2014

Port knocking con un sólo paquete cifrado (SPA)

Tradicionalmente hablamos de port knocking o golpeo de puertos como un mecanismo para abrir puertos mediante una secuencia de conexiones preestablecida a otros cerrados. Por ejemplo, para abrir el puerto TCP 22 de SSH tendremos que intentar conectarnos primero al 7000, luego al 8000 y finalmente al 9000. Esto lo hemos visto recientemente con Knockd para securizar openssh en modo paranoico y hace tiempo en nuestra pequeña Raspberry Pi...

Pero "aporrear" varias veces la puerta para entrar es muy escandaloso y poco caballeroso ¿verdad?. Existe una forma más fina y elegante mediante Single Packet Authorization (en adelante SPA), una variante de port knocking con la cual sólo será necesario un sólo 'knock' mediante el envío de un único paquete cifrado.

Para ello utilizaremos fwknop (FireWall KNock OPerator), la herramienta de facto que implementa este esquema de autenticación y que por tanto nos permitirá, con un sólo paquete, abrir un servicio oculto detrás de un firewall que por defecto deniega su acceso (INPUT a DROP). Básicamente por defecto el cliente mandará al puerto UDP 62201 un paquete cifrado con Rjindael (simétrico) o GnuPG (asimétrico), no reproducible y autenticado por medio de HMAC. Mientras, el servidor fwknopd estará esnifando el tráfico de forma pasiva mediante libpcap y, si el paquete es válido, ejecutará el iptables, PF o ipfw de turno para permitir el acceso al puerto durante el tiempo especificado.

Además, la cantidad de información que puede ser incluída en el paquete sólo se encuentra limitada por su MTU, es decir, además de la información de acceso también podríamos incluir en el paquete comandos que sean ejecutados en el servidor SPA. Y al usar un único paquete será más difícil de detectar y mucho más rápido. Todo ventajas.

Vale, ya nos hemos convencido de las bondades de fwknop y ahora nos preguntamos cómo hemos podido ser capaces de seguir con nuestras mundanas vidas sin utilizarlo... vamos a ponerle remedio...

En nuestro escenario de ejemplo vamos a configurar port knocking con SPA entre un servidor fwknopd en una máquina virtual con Kali Linux y un cliente fwknop en Windows 7 (SO nativo). También y para más seguridad, usaremos cifrado asimétrico con claves GnuPG.

Lo primero que debemos hacer es generar un par de claves en cada máquina.

Generando las claves GnuPG en el cliente y en el servidor

En el caso del cliente, si ya tienes una clave GnuPG para el correo electrónico (o cualquier otro) la podrás utilizar con seguridad porque sólo se usará para la firma de mensajes de fwknop. Si por el contrario todavía no la tienes, puedes crearla fácilmente con la herramienta Kleopatra que viene con Gpg4win (puedes ver un tutorial en este enlace):



Una vez creadas las claves, no olvides exportar tu clave pública a un fichero ascii:

Ahora le toca el turno al servidor fwknopd. En este caso si tendrás que crear una clave de GnuPG que se utilice exclusivamente para las comunicaciones de fwknop. La razón es que la contraseña utilizada para desbloquear esta clave debe estar almacenada en texto plano en el archivo /etc/fwknop/access.conf porque fwknopd la utilizará para descifrar los mensajes que hayan sido cifrados por el cliente fwknop con la clave pública del servidor.

Es recomendable que el tamaño de la clave sea 2048 bits o menos porque os recordamos que los mensajes SPA deben caber en un sólo paquete IP.
root@kali:~# gpg --gen-key
gpg (GnuPG) 1.4.12; Copyright (C) 2012 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

gpg: directory `/root/.gnupg' created
gpg: new configuration file `/root/.gnupg/gpg.conf' created
gpg: WARNING: options in `/root/.gnupg/gpg.conf' are not yet active during this run
gpg: keyring `/root/.gnupg/secring.gpg' created
gpg: keyring `/root/.gnupg/pubring.gpg' created
Please select what kind of key you want:
   (1) RSA and RSA (default)
   (2) DSA and Elgamal
   (3) DSA (sign only)
   (4) RSA (sign only)
Your selection? 
RSA keys may be between 1024 and 4096 bits long.
What keysize do you want? (2048) 
Requested keysize is 2048 bits
Please specify how long the key should be valid.
         0 = key does not expire
        = key expires in n days
      w = key expires in n weeks
      m = key expires in n months
      y = key expires in n years
Key is valid for? (0) 
Key does not expire at all
Is this correct? (y/N) y

You need a user ID to identify your key; the software constructs the user ID
from the Real Name, Comment and Email Address in this form:
    "Heinrich Heine (Der Dichter) "

Real name: Vicente
Email address: hackplayers@ymail.com
Comment: 
You selected this USER-ID:
    "Vicente "

Change (N)ame, (C)omment, (E)mail or (O)kay/(Q)uit? O
You need a Passphrase to protect your secret key.

We need to generate a lot of random bytes. It is a good idea to perform
some other action (type on the keyboard, move the mouse, utilize the
disks) during the prime generation; this gives the random number
generator a better chance to gain enough entropy.

Not enough random bytes available.  Please do some other work to give
the OS a chance to collect more entropy! (Need 283 more bytes)

gpg: /root/.gnupg/trustdb.gpg: trustdb created
gpg: key 04E602A1 marked as ultimately trusted
public and secret key created and signed.

gpg: checking the trustdb
gpg: 3 marginal(s) needed, 1 complete(s) needed, PGP trust model
gpg: depth: 0  valid:   1  signed:   0  trust: 0-, 0q, 0n, 0m, 0f, 1u
pub   2048R/04E602A1 2014-01-20
      Key fingerprint = 4F3E 847C EE9B EB8C DFD4  F86E 467A CF40 04E6 02A1
uid                  Vicente 
sub   2048R/71374B8D 2014-01-20

Después de completar el proceso comprobamos que las claves se han generado con éxito:
root@kali:~# gpg --list-keys
/root/.gnupg/pubring.gpg
------------------------
pub   2048R/04E602A1 2014-01-20
uid                  Vicente 
sub   2048R/71374B8D 2014-01-20

Y también y al igual que con el cliente, exportamos la clave pública generada a un fichero ascii:
root@kali:~# gpg -a --export 04E602A1 > servidor.asc

root@kali:~# cat servidor.asc 
-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v1.4.12 (GNU/Linux)
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=pBiY
-----END PGP PUBLIC KEY BLOCK-----
root@kali:~#

Una vez que hayamos creado las claves necesarias en el cliente y en el servidor, tendremos que intercambiar las públicas por scp (o por donde quieras) y firmarlas.

En el servidor importamos y firmamos la clave pública del cliente:
root@kali:~# gpg --import cliente.asc
gpg: key 68E338DE: public key "Vicente2 (Cliente) " imported
gpg: Total number processed: 1
gpg:               imported: 1  (RSA: 1)

root@kali:~# gpg --edit-key 68E338DE
gpg (GnuPG) 1.4.12; Copyright (C) 2012 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.


pub  2048R/68E338DE  created: 2014-01-20  expires: never       usage: SCE 
                     trust: unknown       validity: unknown
[ unknown] (1). Vicente2 (Cliente) 

gpg> sign

pub  2048R/68E338DE  created: 2014-01-20  expires: never       usage: SCE 
                     trust: unknown       validity: unknown
 Primary key fingerprint: 9757 064C 2B1B 843C 4ACB  401E 1545 3B76 68E3 38DE

     Vicente2 (Cliente) 

Are you sure that you want to sign this key with your
key "Vicente " (04E602A1)

Really sign? (y/N) y

You need a passphrase to unlock the secret key for
user: "Vicente "
2048-bit RSA key, ID 04E602A1, created 2014-01-20

Y en el cliente importamos y firmamos la clave pública del servidor:

Instalando y configurando el servidor fwknopd

Una vez intercambiadas las claves, vamos a instalar y preparar fwknopd en el servidor:
root@kali:~# apt-get install fwknop-server libpcap-dev

Empezamos editando el fichero /etc/default/fwknop-server e indicamos que fwknopd se ejecute al inicio:
START_DAEMON="yes"

El siguiente paso será especificar el interface y el puerto a la escucha editando el fichero /etc/fwknop/fwknop.conf:
PCAP_INTF                   eth0; 
PCAP_FILTER                 udp port 62201;
 
Finalmente sólo nos queda configurar las directivas de /etc/fwknop/access.conf de tal manera que fwknopd use GnuPG para verificar y descifrar los paquetes SPA. Fíjate que el ID de la clave del servidor es 04E602A1 y el ID de la clave del cliente es 68E338DE:
SOURCE: ANY;
OPEN_PORTS: tcp/22;
DATA_COLLECT_MODE: PCAP;
GPG_REMOTE_ID: 68E338DE;
GPG_DECRYPT_ID: 04E602A1;
GPG_DECRYPT_PW: password123;
GPG_HOME_DIR: /root/.gnupg;
FW_ACCESS_TIMEOUT: 60;

Probando el acceso al servicio ssh mediante SPA

Si habéis seguido estos sencillos pasos ya tendréis todo el entorno montado. Para probarlo vamos a arrancar fwknopd y configurar el firewall del servidor con una política por defecto de denegación en la entrada:
root@kali:~# service fwknop-server start 
root@kali:~# iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
root@kali:~# iptables -A INPUT -i ! lo -j DROP

Como podréis comprobar, el acceso al puerto SSH desde el cliente está inicialmente cerrado:
C:\Users\vmotos>nmap -p 22 192.168.225.129

Starting Nmap 5.51 ( http://nmap.org ) at 2014-01-21 00:57 Hora estßndar romance

Nmap scan report for 192.168.225.129
Host is up (0.00s latency).
PORT   STATE    SERVICE
22/tcp filtered ssh
MAC Address: 00:0C:19:8D:52:DC (VMware)

Nmap done: 1 IP address (1 host up) scanned in 3.55 seconds

Ahora tendremos que generar y enviar desde el cliente el paquete SPA correspondiente. Para ello utilizaremos Morpheus, un IU para Windows escrito por Daniel López que además es de código abierto.

Como veréis en el siguiente pantallazo, su configuración no puede ser más simple. Especificaremos el puerto y la dirección IP que podrá acceder a fwknopd, el tipo de cifrado PGP y la ruta de la clave privada del cliente y la clave pública del servidor:


Al introducir la frase de paso enviaremos el paquete SPA y, casi por arte de magia, el puerto 22/TCP del servicio SSH se abrirá durante el perido de tiempo especificado:


Podéis comprobarlo volviendo a escanear el puerto:
C:\Users\vmotos>nmap -p 22 192.168.225.129

Starting Nmap 5.51 ( http://nmap.org ) at 2014-01-21 01:12 Hora estßndar romance

Nmap scan report for 192.168.225.129
Host is up (0.00038s latency).
PORT   STATE SERVICE
22/tcp open  ssh
MAC Address: 00:0C:19:8D:52:DC (VMware)

Nmap done: 1 IP address (1 host up) scanned in 3.23 seconds

C:\Users\vmotos>

Y bueno, para terminar verificamos el log en el servidor...
root@kali:~# tail -f /var/log/syslog | grep fwknop

Jan 20 19:00:47 kali fwknopd[13583]: SPA Packet from IP: 192.168.225.1 received.
Jan 20 19:00:48 kali fwknopd[13583]: Added Rule to FWKNOP_INPUT for 192.168.225.1, tcp/22 expires at 1390262508
Jan 20 19:01:48 kali fwknopd[13583]: Removed rule 1 from FWKNOP_INPUT with expire time of 1390262508.

... así como las reglas de iptables creadas:
root@kali:~# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
FWKNOP_INPUT  all  --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
DROP       all  --  anywhere             anywhere            

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FWKNOP_INPUT (1 references)
target     prot opt source               destination         
ACCEPT     tcp  --  192.168.225.1        anywhere             tcp dpt:ssh /* _exp_1390262645 */

Sencillo ¿verdad?

¿A qué hora llamaréis a las puertas de vuestros servicios más sigilosamente? ;)

Fuentes:
- Single Packet Authorization - A Comprehensive Guide to Service Concealment with fwknop
- fwknop: Single Packet Authorization y port knocking
- Firewall improvement with fwknop
- Fwknop versus Knockknock
- SinglePacketAuthorization

 Tomado de: http://www.hackplayers.com/2014/01/port-knocking-con-un-solo-paquete-spa.html#more

23 febrero 2014

Crean auto "Código Abierto" para armar en menos de una hora

El Urban Tabby creado por OSVehicle es un modelo con código abierto que permite ser mejorado en su diseño y en su construcción.

Hace tiempo que el formato Código Abierto se está extendiendo desde el software hacia la robótica y la industria automotriz.
La start-up OSVehicle desarrolló dos autos Código Abierto para construir en menos de una hora (puedes comprobarlo en el siguiente video), utilizando un chasis para dos o cuatro asientos, tres tipos de motores (combustión, eléctrico o híbrido), y el diseño exterior a gusto del usuario.
urban
Para comprar uno de estos autos hay que ingresar al sitio de OSVehicle, seleccionar la configuración más conveniente de acuerdo a tus necesidades, para luego recibir el kit en la puerta de tu hogar.
Asimismo, al ser un vehículo Código Abierto, es posible bajar los planos 3D, mejorar, crear y compartir nuevos diseños exteriores.
urban2
Lo más complejo es cómo usar este auto en la calle, puesto que habría que homologar cada modelo distinto. Claramente, la legislación resulta un obstáculo para un auto Código Abierto, aunque en el Reino Unido es legal circular en un Urban Tabby.
El kit tiene un costo entre 5.000 y 8.000 dólares aproximadamente.

Ver en Vimeo
Fuente: Wired

Tomado de: http://www.bolido.com/2014/02/crean-auto-open-source-para-armar-en-menos-de-una-hora/

22 febrero 2014

Pancitos de Queso

Una tarde lluviosa de domingo, todo gris y mojado y nos da paja para salir a comprar algo para comer... ¿Que mejor que hacernos nuestros propios pancitos de queso? Y nada mas facil

  • 350-400 grs. Harina 0000
  • 1 Cucharada de Azucar
  • 30 grs. de levadura fresca
  • 1 taza de leche tibia
  • 60 grs. de manteca blanda
  • 150 grs. de queso en hebras
  • sal y pimienta
  • 1 huevo (totalmente opcional)

En el bol de la procesadora, colocar la harina, el azucar, la levadura, la leche tibia, la manteca y el queso en hebras y procesar un minuto.
Salpimentar (poco para no matar la levadura) y procesar hasta formar un bollo tierno. No sobreprocesar. Colocar el bollo en un bol previamente enharinado, cubrir con un lienzo y dejar leudar hasta el doble de su volumen en un lugar calido, aproximadamente 30 minutos.
Sobre la mesada enharinada, colocar la masa y amasarla energicamente para desgasificarla.
Separar 24 bollitos de masa, darles buena forma e ir colocandolos sobre una placa enmantecada.
Hacer un corte en la superficie y cubrir con un paño.
Dejar leudar hasta que dupliquen, aprox 15 min.
Opcional: Pintar con huevo batido con leche y espolvorear con 2 cucharadas de queso parmesano rallado grueso y condimentar con pimienta.
Llevar a horno precalentado a temperatura moderada durante 15-18 minutos o hasta que esten doraditos. Ideal comerlos aun tibios acompañados de un buen vino tinto y una charla entre amigos.

20 febrero 2014

Woof: construye tu propia distro Linux

Como parte de un proyecto personal y escolar he estado investigando un poco en maneras de crear tu propia distro Linux, con la intención de crear una distro para Ingenieros del área de Electrónica. Algo que sea tan sencillo como meter un disco en tu computadora e instalar, pocas complicaciones y máximos beneficios.
Como mi perfil si es de Sistemas, ha sido una cosa muy fácil. Por eso me agradó más encontrarme con un proyecto como Woof. Woof es del creador de Puppy Linux, y te permite crear una distro (obviamente basada en Puupy) en la que puedes agregar paquetes de repositorios de otras distros como Debian, Ubuntu, Arch, Slackware, T2 o el mismo Puppy.
La verdad lo que creas es un Puppy Linux personalizado, pero muy personalizado, cosa que nos puede dar mucha flexibilidad y muchas posibilidades. El ‘lado malo’ es que el proceso requiere cierto nivel de conocimiento de la línea de comandos (vamos, es un poco ‘no apto para newbies‘), pero fuera de eso no es difícil de crear.
Si están buscando una manera de tener una distro ligera, rápida y personalizada, esta es la solución.
Enlace: Woof

Basado en: http://identidadgeek.com/woof-construye-tu-propia-distro-linux/2010/05/

19 febrero 2014

El Juicio

Cuenta una antigua leyenda que en la Edad Media un hombre muy virtuoso fue injustamente acusado de asesinato. El culpable era una persona muy influyente del reino, y por eso desde el primer momento se procuró hallar un chivo expiatorio para encubrirlo. El hombre fue llevado a juicio y comprendió que tendría escasas oportunidades de escapar a la horca. El juez, aunque también estaba confabulado, se cuidó de mantener todas las apariencias de un juicio justo. Por eso le dijo al acusado: “Conociendo tu fama de hombre justo, voy a dejar tu suerte en manos de Dios: escribiré en dos papeles separados las palabras 'culpable' e 'inocente'. Tú escogerás, y será la Providencia la que decida tu destino”.
Por supuesto, el perverso funcionario había preparado dos papeles con la misma leyenda: “Culpable”.
La víctima, aun sin conocer los detalles, se dio cuenta de que el sistema era una trampa. Cuando el juez lo conminó a toma uno de los papeles, el hombre respiró profundamente y permaneció en silencio unos segundos con los ojos cerrados. Cuando la sala comenzaba ya a impacientarse, abrió los ojos y, con una sonrisa, tomó uno de los papeles, se lo metió a la boca y lo engulló rápidamente. Sorprendidos e indignados, los presentes le reprocharon.
—Pero, ¿qué ha hecho? ¿Ahora cómo diablos vamos a saber el veredicto?
—Es muy sencillo —replicó el hombre—. Es cuestión de leer el papel que queda, y sabremos lo que decía el que me tragué.
Con refunfuños y una bronca muy mal disimulada, debieron liberar al acusado, y jamás volvieron a molestarlo.

“Nunca dejemos de luchar hasta el último momento. En momentos de crisis, sólo la imaginación es más importante que el conocimiento”. Albert Einstein

18 febrero 2014

Un estudiante correntino crea un software para enseñar y aprender guaraní

Alejandro Berdaguez, un joven de la Universidad Nacional del Nordeste (UNNE), desarrolló un software que permite la enseñanza y el aprendizaje de la lengua guaraní a través de canciones, juegos y actividades interactivas. En una entrevista con educ.ar, el estudiante nos cuenta de qué se trata Jejaporâ Guaraní.

El software Jejaporâ Guaraní es un entorno de enseñanza y aprendizaje digital con recursos multimedia, destinado a alumnos entre 8 y 11 años que deseen conocer la lengua guaraní, su historia, lectura y escritura.

Diseñado por el estudiante Alejandro Berdaguez como proyecto final de la carrera de licenciatura en Sistemas de Información, la herramienta está diseñada para que los docentes de primaria la lleven al aula. Enseña a través de canciones, juegos y actividades interactivas para que los niños puedan conocer y aprender palabras, expresiones, saludos y cantos en lengua guaraní.

Existe un personaje dentro del software que se llama Arandú, que significa «sabio» en guaraní, que guía al alumno durante todo el recorrido. Los temas que enseña están organizados según secciones. Por un lado, los días de la semana, los meses y las estaciones del año, y, por otro lado, pronombres, expresiones de saludo, verbos y fonética, entre otras secciones.

Además, el proyecto trata de contribuir a la revalorización del guaraní, en el marco de la Ley Provincial N.° 5598 que establece al idioma guaraní como lengua oficial alternativa en Corrientes, así como el reconocimiento del Parlamento del Mercosur del Guaraní como idioma oficial del Mercosur.

«Esperamos que el software también ayude a incluir a los jóvenes de pueblos originarios ya que en la región del nordeste confluyen varios pueblos, siendo el más numeroso el de los guaraníes. Es una propuesta totalmente innovadora que, desde el punto de vista cultural, es un gran paso que se daría afianzando todo lo que desde las políticas educativas se promueve que es la inclusión cultural y socioeconómica en nuestra sociedad», explicó el desarrollador del proyecto.

El estudiante contó con el apoyo de un estudioso de la lengua guaraní, Anibal Diez, y la coordinación de la directora del proyecto, Raquel Petris.

«El programa, comparado con otros semejantes realizados para otras lenguas o para otras áreas, alcanza buen nivel de creatividad, dinamismo interno, variedad de ejercicios, plasticidad de imágenes y otras funciones», explicaron Petris y Berdaguez. Destacaron además el interés y la motivación que genera en los chicos ya que realizaron evaluaciones para probar el recurso informático.

La herramienta permite la enseñanza y el aprendizaje del guaraní a través de canciones, juegos y actividades interactivas.

A semejante proyecto no podían faltarle sus merecidas retribuciones. Luego de registrar el software, fue declarado de interés legislativo por la Cámara de Senadores de Corrientes y también por la Cámara de Diputados de Chaco. Además, en diciembre de 2013, la Universidad Nacional del Nordeste (UNNE) firmó un acuerdo con el presidente de Cultura de Corrientes, en la que acordaron la licencia del software de enseñanza del idioma guaraní para su difusión en el territorio provincial. «En este momento, nos encontramos trabajando en la impresión de copias para entregarlas gratuitamente en diferentes centros culturales de la provincia en el inicio del 2014», concluyó orgulloso Alejandro.

Fuente: Educ.ar

16 febrero 2014

¿Por qué Facebook Necesita Leer Tus SMS?

Una nueva versión de Facebook para Android atrajo la atención de los medios de comunicación en los últimos días, debido a que la aplicación solicita el permiso del usuario para leer sus SMS. Esto generó grandes preocupaciones sobre cuestiones de la privacidad de los usuarios. No obstante, los desarrolladores de la aplicación dieron una explicación razonable para esta solicitud, pero ¿es irrefutable?
sms
Todos los usuarios de Smartphones de Android saben que Google Play despliega una lista con los “permisos de las aplicaciones” antes de descargarlas al dispositivo. Cada permiso le otorga a cada aplicación la posibilidad de acceder a determinados recursos del teléfono. Si, por ejemplo, el usuario no desea que una app no utilice su GPS o acceda a su lista de contactos, puede fácilmente abandonar su instalación. No existen herramientas oficiales para revocar permisos específicos de una aplicación instalada. Además, la mayoría de los usuarios no se molesta en leer la lista de permisos (que suelen ser tan aburridas como los acuerdos de licencia) y sólo presionan en “instalar”. Aquellos que sí se toman el tiempo para leer esta lista, descubrirán que el acceso a los SMS es sólo la cereza en la punta de la torta. La aplicación de Facebook, en particular, busca acceder a cada uno de los aspectos y recursos de tu Smartphone.
Google advierte sobre estos permisos que solicita la aplicación de Facebook:
Grabar sonido, Tomar fotos y vídeos,
Realizar llamadas, Leer SMS/MMS,
Acceder al GPS, Agregar o modificar el calendario de eventos,
Leer los contactos, Leer los registros de llamadas,
Controlar la cuenta del usuario, Modificar el contenido de la tarjeta SD,
Usar las herramientas del sistema, Acceder completamente a la red,
Leer el estado del teléfono y la identidad. 
Facebook asegura que la solicitud de acceso a los SMS preserva la seguridad de los usuarios. Si un usuario activa la autenticación de dos factores para su cuenta, entonces tendrá que ingresar dos contraseñas y un código de seguridad, éste último es enviado por SMS durante el proceso de loggeo. En este punto, la nueva aplicación de Facebook intercepta el SMS con el código para que el usuario no tenga que acceder a su bandeja de entrada, memorizar el código y volver a la aplicación manualmente. Este tipo de comportamiento no es exclusivo de Facebook. La popular plataforma de mensajería instantánea, Whatsapp, actúa de la misma forma al vincular la aplicación con el número de teléfono.
La nueva aplicación de Facebook, que está causando grandes preocupaciones, intercepta el SMS con el código para que el usuario no tenga que acceder a su bandeja de entrada, memorizar el código y volver a la aplicación manualmente.
Sin embargo, existe una gran diferencia entre la aplicación de Facebook y la de Whatsapp –esta última tiene una póliza oficial de “no permitir la publicidad y no utilizar la información privada del usuario”, mientras que la primera gana grandes cantidades de dinero a través de las publicidades y del análisis de la información privada de las personas. Es entendible que los usuarios no estén muy entusiasmados con la idea de brindarles más datos a Facebook, especialmente si se tiene en cuenta la forma vaga en que Facebook detalla, en su página de ayuda, los permisos que solicita su aplicación. Los desarrolladores explicaron qué usos se les dará a tal o cual permiso, pero por otro lado admitieron que la lista de permisos no está completa y que cada permiso podría ser utilizado para otros fines no especificados.
Por supuesto, esto no es particularmente tranquilizador. David Emm, de Kaspersky Lab, manifestó su preocupación sobre esta situación: “La aplicación no tiene la necesidad de realizar el procedimiento de activación en forma automática. Facebook podría simplemente proponerme que escriba manualmente el código. O, al menos, brindarme esa posibilidad. Es posible que sólo se trate de un servicio inocente. Pero a la luz de la gran cantidad de violaciones que ha sufrido la privacidad en el último tiempo, esta pequeña modificación ayudaría un poco a disipar los temores de las personas”.


Traducido por: Guillermo Vidal Quinteiro

Tomado de: http://blog.kaspersky.com.mx/por-que-facebook-necesita-leer-tus-sms/

13 febrero 2014

Agencias espaciales unen fuerzas para frenar la amenaza de los asteroides

Naciones Unidas impulsa una comisión de seguimiento de asteroides, formada por 13 agencias espaciales de todo el mundo y administraciones nacionales. Su labor servirá para evitar hipotéticos desastres futuros protagonizados por estos cuerpos rocosos.

Hace algo menos de un año, el conocido como bólido de Cheliábinsk se desintegró en los cielos rusos, creando un impacto mediático considerable. La vulnerabilidad del planeta ante la amenaza de los asteroides quedaba demostrada. ¿Cómo solucionarlo?

Naciones Unidas decidió entonces dar un paso al frente y convocar a las principales agenciales espaciales. ¿El objetivo? Crear un grupo de alto nivel que se encargara de vigilar la trayectoria de cuerpos rocosos que pudieran poner en peligro al planeta Tierra. Una iniciativa también seguida por la NASA, que se encuentra trabajando en proyectos relacionados con una hipotética captura de asteroides.

"Compartirán su know-how para evitar posibles amenazas de asteroides"La propuesta de Naciones Unidas está a punto de convertirse en realidad. Si ayer mismo se anunciaba el mapa más preciso hasta la fecha de 100.000 asteroides (muchos de ellos erráticos) en el Sistema Solar, hoy vemos cómo estos pequeños pasos pueden convertirse en gigantescos avances. La seguridad del planeta está en juego.

Con este objetivo, agencias espaciales de Norteamérica, Europa, Asia, África y Latinoamérica han impulsado un grupo cuyo objetivo será intercambiar información y capacidades. Su finalidad será aunar fuerzas para evitar posibles impactos de los cerca de 600.000 asteroides del Sistema Solar, de los cuales solo 10.000 son un verdadero peligro para la Tierra (conocidos como asteroides NEO).

El panel se llamará Space Mission Planning and Advisory Group (SMPAG) y coordinará esfuerzos entre las diferentes agencias. Acumular y compartir el know-how para evitar la amenaza de los asteroides será una prioridad principal para las entidades de exploración espacial."El seguimiento de asteroides se verá impulsado con esta iniciativa"

Durante los próximos dos años, el grupo definirá como prioritarias algunas de las misiones de seguimiento de asteroides. En primera instancia, las agencias definirán sus capacidades técnicas y conocimientos sobre asteroides que pudieran suponer un peligro para el planeta.

Una vez definidos los puntos fuertes de cada agencia espacial, el panel se encargará de coordinar a cada responsable de proyecto. Los treinta representantes de las 13 entidades participantes, 7 ministros de gobiernos nacionales y una persona por Naciones Unidas formarán parte de esta comisión técnica. Su trabajo, junto con el de la NASA, ayudará a evitar posibles desastres futuros, como el que pudo haber sucedido hace casi un año en Rusia.

Tomado de: http://alt1040.com/2014/01/agencias-espaciales-frenar-amenaza-asteroides

12 febrero 2014

DuckDuckGo como Herramienta para Generar y Crackear Hashes (md5, sha, sha512 y más)


Leyendo TheHackerNews.com me entero de las nuevas funcionalidades agregadas a DuckDuckGo que permite a los usuarios generar paswords seguras, generar un Hash en varios algoritmos de encriptación, identificar el algoritmo usado para generar el Hash y obtener en texto plano el Hash si se encuentra en leakdb entre otras funcionalidades.
A contienuación entraré a especificar las diferentes funcionalidades y como llevarlas a cabo:

1) Generar una contraseña segura: 
Es imprescindible hoy en día tener contraseñas robustas, y en caso de tener que identificarte en un sitio una sola vez o si cuentas con algún gestor de contrseñas, entonces te conviene generar diferentes contraseñas aleatorias para cada sitio web y con largo superior a 16, para evitar que la crackeen con facilidad.
password [largo] strong


2) Generar un Hash:
Siempre es útil generar un hash para por ejemplo remplazar un hash en una base de datos en la que tengamos privilegios de escritura, o para lo que se les ocurra.
md5 [cadena_de_texto]
sha512 [cadena_de_texto]
sha [cadena_de_texto]
sha224 [cadena_de_texto]
sha256 [cadena_de_texto]
sha384 [cadena_de_texto]


3) Identificar el Algoritmo del Hash
Sirve para poder saber en que tipo de algoritmo está encriptado un hash, para luego poder crackearlo por fuerza bruta, es algo parecido a la herramienta que desarrolle hace un tiempo Hash-ID (pero no tan completa ;P).
hash [hash]


4) Buscar en Texto Plano los Hashes
Sin duda no hay que explicar mucho esto ;P, es lo que todos queremos, encontrar el Texto Plano correspondiente al Hash que buscamos, para ello DuckDuckGo hace uso de leakdb.abusix.com:
leakdb [hash]


DuckDuckGo
Tomado de: http://www.blackploit.com/2014/01/duckduckgo-como-herramienta-para.html

11 febrero 2014

Guía práctica para entender y prevenir el acoso 2.0

Compartimos “Cyberbullying” un material elaborado por el equipo del Programa 'Con Vos en la Web', de la Dirección Nacional de Protección de Datos Personales.
El cyberbullying es el acoso a través de internet, aquellas situaciones en las que un o una menor atormenta, amenaza, hostiga, humilla o molesta a otro/a mediante Internet, teléfonos móviles, consolas de juegos u otras tecnologías.

En una época donde nuestras formas de comunicarnos han cambiado vertiginosamente, es necesario informarse sobre los riesgos que uno asume al estar conectado, por eso compartimos “Cyberbullying: Guía práctica para adultos”, pensada para que los padres entiendan y comprendan estos fenómenos, así poder hacer frente a las situaciones que nos rodean.

Para mas información sobre temas vinculados con las nuevas tecnologías y la protección de los datos personales, accedé a www.convosenlaweb.gob.ar un espacio para la comunicación y el asesoramiento.

http://www.entrerios.gov.ar/CGE/descargasaprender/guiacyberbullying.pdf

Tomado de: http://aprender.entrerios.edu.ar/recursos/guia-practica-para-entender-y-prevenir-el-acoso-20.htm

10 febrero 2014

ThingBot: un refrigerador para controlarlos a todos

Se denomina “Internet de las cosas” (IoT por sus siglas en inglés Internet of Things) [1] a la posibilidad de conectar cualquier tipo de aparato electrónico a una red y por lo tanto también a Internet.

Aunque en principio parece ficción, el concepto es del siglo pasado (1999), y nació con diferentes experimentos desarrollados por un grupo de investigación del MIT [2] (cuando no) que buscaban interconectar dispositivos a través de RFID. Pasados 15 años, recién hoy la madurez del mercado y de la tecnología han permitido la maximización y aprovechamiento de sus posibilidades.

Conocida como la Cuarta Revolución (agricultura, industrial, información) IDC predice que para 2020, habrá más de 200 mil millones de “cosas autónomas” conectadas a Internet [3]. En la misma línea, un reporte de Carbon War Room señala que en 2022 habrá 12,5 mil millones de conexiones “Machine to Machine” M2M a una tasa de crecimiento del 23% anual.

Las comunicaciones (M2M) avanzan a buen paso aunque el destino quizás parezca poco claro y una turbulenta “SkyNet” se perfile en él.

Sin llegar a exagerar y caer en un FUD, como es natural, la adopción de cualquier tecnología trae consigo nuevos riesgos; sucedió con las computadoras, el Wi-Fi, los móviles, BYOD y ahora está pasado con tarjetas de crédito, ascensores, televisores, consolas de juego, anteojos, automóviles, refrigeradores, cámaras de CCTV… El próximo paso natural serán las casas, edificios y ciudades inteligentes.

Así como las computadoras personales puede ser comprometidas para construir una botnet enorme, de manera similar, los electrodomésticos inteligentes y otros componentes pueden ser transformados en “esclavos” por los mismos delincuentes y ser utilizados contra el resto de Internet.

A mediados de enero, la empresa de seguridad Proofpoint detectó [4] el envío de más de 750.000 correos electrónicos masivos (spam) a través del uso (infección) de 100.000 electrodomésticos “inteligentes” conectados a routers hogareños vulnerables o sin una configuración apropiada. Además de laptops, entre los “gadgets” controlados de forma remota había principalmente teléfonos, tabletas, televisores y al menos un refrigerador.

El principio de una “botnet de cosas infectadas” también se viene barajando en laboratorios desde el nacimiento mismo del concepto de botnet allá por 2003, pero ahora se confirma la primera “Thingbots” In-the-Wild y ha sido utilizada para enviar spam desde diciembre de 2013 a enero de 2014.

Los aparatos inteligentes son vulnerables ya que se puede acceder a ellos fácilmente debido a su disponibilidad las 24 horas conectados a Internet. Además, suelen encontrarse en entornos hogareños mal protegidos, con configuraciones pobres y con contraseñas por defecto o sin ellas. Todo esto es potenciad por la inconsciencia del público en general sobre la importancia de proteger cualquier tipo de dispositivo; en última instancia todo es una computadora que puede almacenar información personal y sensible.

Un caso corporativo ocurrió en 2013 cuando dos expertos en seguridad de la empresa Cylance lograron acceder al sistema de gestión del edificio inteligente de Google en Australia. El experimento les permitió acceder a planos, diseños de tuberías, sistemas de alarma y horarios del personal. Los investigadores luego usaron el hack para señalar las graves vulnerabilidades del software empleado por la empresa desarrolladora del producto que, paradójicamente en este caso ya había solucionado el bug pero Google aún no había actualizado la aplicación.

Para confirmar la importancia de Internet de la Cosas, Google acaba de adquirir Nest [5], una joven empresa especializada en crear aparatos de diseño, impulsados por la inteligencia artificial y la robótica.

A medida que la Internet de las cosas se convierta en más “inteligente” y popular, en realidad se estará convirtiendo en un arma fácil de utilizar por los delincuentes y les permitirá lanzar ataques a gran escala contra ciudadanos, empresas y gobiernos.

Para comprender el problema es necesario saber que típicamente estos sistemas funcionan con chips especializados, muy baratos, y con bajos márgenes de beneficio. Sobre ellos se instalan drivers y software open source, gratuito y/o propietario, ensamblado con ingeniería barata que intenta asegurar el mayor rédito económico posible. Bajo estos términos es imposible pensar en un diseño ni en un desarrollo seguro de hardware y software y, mucho menos, en un procedimiento de patching adecuado que asegure la solución de posibles vulnerabilidades halladas en el futuro.

Este problema ya se vive en la actualidad con los teléfonos inteligentes y lamentablemente se está siguiendo el mismo camino con el resto de los electrodomésticos. Bruce Schneier se ha referido recientemente al tema diciendo “The Internet of Things is wildly insecure, and often unpatchable” (“La Internet de las Cosas es muy insegura, y a menudo no tiene parche”).

Esta vez ha sido sólo un ataque de spam, pero ¿cuánto daño podría generar un grupo de hackers (en la forma real del término y concepto) bien entrenados, motivados económica o políticamente?

[1] Internet de las cosas
http://es.wikipedia.org/wiki/Internet_de_las_Cosas
http://en.wikipedia.org/wiki/Internet_of_Things

[2] AutoID Labs
http://en.wikipedia.org/wiki/Auto-ID_Labs
http://en.wikipedia.org/wiki/Kevin_Ashton

[3] Internet of things: $8.9 trillion market in 2020, 212 billion connected things
http://www.zdnet.com/internet-of-things-8-9-trillion-market-in-2020-212-billion-connected-things-7000021516/
http://www.zdnet.com/m2m-and-the-internet-of-things-7000008219/

[4] Proofpoint Uncovers Internet of Things (IoT) Cyberattack
http://www.proofpoint.com/threatinsight/posts/your-fridge-is-full-of-spam-proof-of-a-Iot-driven-attack.php
http://investors.proofpoint.com/releasedetail.cfm?ReleaseID=819799

[5] Google Buys Nest Just As Internet Of Things Suffers First Global Cyber Attack
http://www.forbes.com/sites/anthonykosner/2014/01/18/google-buys-nest-just-as-internet-of-things-suffers-first-global-cyber-attack/
http://cnnespanol.cnn.com/2014/01/13/google-compra-nest-labs-por-3-200-millones-de-dolares/

Lic. Cristian Borghello
Dir. de Comunicaciones

Tomado impunemente de: http://issaarba.org/node/68

09 febrero 2014

Número De La Semana: 10 Millones De Aplicaciones Maliciosas Para Android

Hacia finales de enero, Kaspersky Lab acumuló alrededor de 200 mil muestras únicas de Malware para dispositivos móviles. Esto representa un 34% más que en noviembre de 2013, mes en el que se registraron 148 mil muestras de malware. Sin embargo, esto no es mucho comparado con el número de aplicaciones maliciosas para Android que nuestros investigadores encontraron en enero de este año: ¡10 millones!
apps
Aquellos usuarios que estén más familiarizados con los dispositivos Android y las estadísticas de Google, probablemente podrán decirnos que estamos equivocados: la tienda de Google Play ofrece sólo alrededor de 1,1 millones de aplicaciones. Entonces, ¿Cómo es posible que hayamos encontrado 10 veces más muestras maliciosas que aplicaciones en total? Pues, esto se puede responder muy sencillamente:
Lo importante es el gran número de tiendas no oficiales que existen en la red. Éstas contienen un número de aplicaciones mucho mayor a 1 millón y las aplicaciones que ofrecen tienen una mayor probabilidad de ser maliciosas.
Aquí lo importante es el gran número de tiendas no oficiales que existen en la red. Éstas contienen un número de aplicaciones mucho mayor a 1 millón y las aplicaciones que ofrecen estas tiendas tienen una mayor probabilidad de ser maliciosas. Si usas Google Play para descargar tus apps, las chances de que te infectes con Malware son relativamente bajas. Sin embargo, el problema surge cuando utilizas las tiendas alternativas: allí puedes ser estafado en cualquier momento. Dado que existen muchísimas personas que descargan aplicaciones gratuitas y crackeadas, los atacantes suben sus aplicaciones maliciosas y les colocan nombres de juegos famosos, herramientas útiles o aplicaciones bancarias.
El resultado es predecible: la información privada de los usuarios, sus credenciales bancarias y su dinero se dirigen directamente hacia las manos de los criminales. Aquí un ejemplo de una situación real: la versión móvil de Carberp Trojan, creada en Rusia y descubierta en 2012. Este malware es un ejemplo muy claro de cómo los atacantes pueden robar tu dinero a partir de una aplicación maliciosa. Las mala noticia es que existen alrededor de 10 millones de paquetes maliciosos para Android (archivos apk) en internet.
El mercado para dispositivos móviles crece constantemente y, por otro lado, es un mercado mucho más rentable que el de las PCs. Actualmente existen pocos softwares de antivirus que permitan proteger los Smartphones y las Tablets. Todo esto, en suma, provoca que los usuarios de dispositivos móviles sean los blancos perfectos para los atacantes: 10 millones de aplicaciones maliciosas ya están disponibles para que los criminales disparen.
De todas maneras, no es muy difícil mantenerse seguro y protegido. Simplemente sigue estas recomendaciones de los expertos:
- No actives el “modo desarrollador” en tu dispositivo
- No actives la opción de “instalar aplicaciones de fuentes de terceros”
- Instala aplicaciones sólo desde canales oficiales
- Cuando instales aplicaciones nuevas, estudia cuidadosamente los permisos que éstas requieren
- Utiliza algún software de protección
Y, por supuesto, visita nuestro blog regularmente para recibir las últimas noticias en seguridad informática.
Traducido por: Guillermo Vidal Quinteiro

Tomado de: http://blog.kaspersky.com.mx/numero-de-la-semana-10-millones-de-aplicaciones-maliciosas-para-android/

07 febrero 2014

Fing, la aplicación para detectar intrusos en una red WiFi

La principal ventaja de las redes WiFi, la posibilidad de conectarse a Internet de forma inalámbrica, es al mismo tiempo también su mayor peligro. Si bien es cierto que ya existen claves seguras que de alguna manera garantizan que nadie perderá el tiempo en intentar conectarse a nuestra red (véase por ejemplo las claves WPA2), muchos usuarios siguen utilizando redes abiertas a todo el mundo o redes con una seguridad básica que cualquier persona con experiencia podría romper para acceder a todos los datos que pasen por esa conexión. Además de cambiar y mejorar la seguridad del router, existe otra forma infalible de saber si alguien se está conectando a nuestra red WiFi: la aplicación de Fing para Android.
Fing para Android
La aplicación de Fing realiza una análisis rápido de todos los dispositivos que están conectados a nuestra red inalámbrica del router. Podremos ver las direcciones IP y MAC de estos dispositivos, así como el nombre asignado -en el caso de que tuvieran alguno, véase por ejemplo “Ordenador de Manuel”-. También podremos asignar nombres específicos para determinados equipos, lo que nos ayudará a diferenciar nuestros propios terminales de cualquier intruso que pudiera aparecer en la red.

En resumen, se trata de una aplicación realmente útil y recomendable para todo aquel que quiera tener su red WiFi constantemente vigilada sin necesidad de andar modificando y revisando la configuración del router.

Tomado de: http://www.puntogeek.com/2014/01/29/fing-la-aplicacion-para-detectar-intrusos-en-una-red-wifi/

06 febrero 2014

Y seras feliz...

Un hombre va conduciendo por la carretera cuando de pronto ve que en dirección contraria viene una mujer conduciendo su auto como loca y que al acercarse, baja la ventanilla y le grita:
¡PUEEEEEEEEEERCOOOOOOOOOO!
El hombre que obviamente no se pudo quedar callado, baja la ventanilla y le grita:
¡MUUUUUUUUUULAAAAAAAA!
En eso, al doblar la curva, ¡pum! se estrella con un gran cerdo que estaba en medio de la carretera.
Moraleja de la historia:
Los hombres nunca logran comprender lo que las mujeres tratan de decirles.

05 febrero 2014

Tin Can: La red social para teléfonos que funciona sin servicio celular y sin conectarse a Internet

La idea es complicada pero innovadora de por sí: Armar un servicio de mensajería para teléfonos que no use todas las ventajas tecnológicas que Internet o las redes móbiles ofrecen.

Tin Can http://hubski.com/ (Se puede descargar desde aquí http://play.google.com/store/apps/details?id=com.hubski.com.kvh.tincan) es una red de teléfono a teléfono que no requiere conexión a Internet o red celular. La idea es replicar la potencia de dos latitas conectadas por un hilo. Esta aplicación puede funcionar conectandose a otro teléfono que esté ubicado solo a unos metros de distancia.

Esta discapacidad que tiene esta aplicación puede servir como motor para la utilización de la misma en casos de situaciones complicadas como por ejemplo víctimas desastre naturales participantes una protesta que no quieran ser rastreados o gente que esté dentro de una misma área de cobertura bajo un evento como puede ser un recital.

Utiliza la misma lógica del Wi-Fi y cada teléfono funciona como un punto de distribución de mensaje. El mensaje pasa de un teléfono pero si no hay teléfonos cerca que puedan ir transmitiendo, el mensaje no llegará a destino.

Es decir los mensajes no llegan de un segundo a otro como estamos acostumbrados. Si un mensaje tiene que ir desde Argentina a España un teléfono debería cruzar el océano para llevar ese mensaje de un lugar a otro.

Esta innovación se basa en la no utilización de la innovación. Veremos como resulta.

Tomado de: http://www.listao.com.ar/2013/11/tin-can-la-red-social-para-telefonos-que-funciona-sin-servicio-celular-y-sin-conectarse-a-internet/

04 febrero 2014

Curiosidades del cuerpo humano que probablemente ignorabas

Muchas de estas curiosidades te dejarán con la boca abierta:

  1. Un tendón ausente: El 15% de las personas no poseen el tendón asociado al músculo flexor radial del carpo, un músculo del antebrazo que tiene como función la flexión de la muñeca. Para comprobar si se posee, basta con unir los dedos pulgar y meñique y tratar de doblar la muñeca. Si se pertenece al 85% de la población que lo posee, en la parte interior del antebrazo se apreciará cómo sobresalen dos tendones. En el caso de pertenecer al 15% restante, solo se apreciará uno.
  2. Algunas personas se desmayan después de orinar: Esta incómoda afección, conocida como «síncope vasovagal», se produce debido a que al miccionar se estimula el nervio vago, lo que puede causar un descenso de la presión sanguínea y, a consecuencia de ello, un desvanecimiento.
  3. La estrecha relación entre riñones y órganos reproductores: Durante la gestación, los ovarios y testículos se desarrollan en el mismo lugar que los riñones, aunque antes del nacimiento «bajan» hasta su lugar definitivo. Este es el motivo por el que cuando un hombre sufre un golpe en los testículos siente también un intenso dolor en la parte inferior de la espalda.
  4. La limitada movilidad del dedo anular: Si colocas la mano sobre una superficie plana doblando el dedo corazón o medio de forma que quede bajo la palma e intentas levantar los otros cuatro dedos, uno a uno, podrás hacerlo con todos, salvo con el anular. La explicación a este extraño fenómeno, es que índice y meñique poseen sus propios músculos extensores independientes, mientras que los dedos medio y anular comparten el mismo, lo que impide extender un dedo cuando el otro se encuentra doblado.
  5. Un riñón más alto que el otro: Aunque se suelen representar a la misma altura, el riñón izquierdo se encuentra situado un poco más arriba que el derecho. La explicación de este equilibrio está en la presión que ejerce el hígado en el espacio situado sobre el riñón derecho. Algo similar ocurre con los pulmones, donde el izquierdo posee un tamaño menor, debido al espacio que ocupa el corazón.
  6. Azúcar en sangre: Si no se realizan esfuerzos físicos, es posible mantener el nivel de azúcar en la sangre durante dos o tres días aunque no se ingiera alimento. Esto es posible ya que el nivel de azúcar normal en la sangre es muy pequeño. De forma aproximada, equivale a una cucharadita disuelta en el todo el volumen de sangre. Una vez que esta se agota, se inicia un proceso llamado cetosis, en el que el hígado descompone las reservas de glucógeno para suplir la carencia de glucosa en la sangre.
  7. Los adultos tienen menos huesos que un bebé: En el momento de su nacimiento, el ser humano cuenta con más de 300 huesos. Sin embargo, a medida que se crece, algunos se fusionan hasta acabar con 206 en la edad adulta.
  8. Es imposible tragar y respirar al mismo tiempo: El retroceso evolutivo del paladar y el ensanchamiento de la faringe ayudó al ser humano a mejorar su capacidad de emitir sonidos, pero también aumentó las posibilidades de atragantarse con líquidos y comida. La epiglotis es la estructura encargada de evitar que la comida acceda a las vías respiratorias y, por tanto, impide tragar y respirar a la vez.
  9. Tres gramos de anticuerpos al día: Un cuerpo sano produce alrededor de tres gramos de anticuerpos IgA cada día. Estas células son de vital importancia para proteger al cuerpo de microorganismos externos y pueden ser encontrados en la saliva, lágrimas y mocos, así como en la leche materna.
  10. Miles de billones de átomos: El cuerpo de una persona de 70 kilogramos de peso está formado por unos 7000000000000000000000000000 átomos —un 7 seguido de 27 ceros— y cada uno de ellos posee billones de años de edad.

Alrededor del 9,5 por ciento del cuerpo humano es hidrógeno, creado en la gran explosión que dio origen al universo. Los átomos más pesados como el carbono, que constituye el 18.5 por ciento del cuerpo, o el oxígeno (65 por ciento), se formaron en las estrellas y se esparcieron por el universo tras la extinción de las mismas.

03 febrero 2014

Cómo elegir una agenda

La agenda ideal será aquella que mejor se adecúe a nuestras necesidades y uso. Aquí una guía para saber cuál escoger de entre toda la variedad disponible.

Elección de la agenda

La agenda es un elemento imprescindible para la organización del trabajo, el estudio, o la vida cotidiana. En ella podemos conservar, con seguridad, datos de lo más útiles, como direcciones y teléfonos, o notas recordatorias. También podemos planificar nuestras acciones, para no olvidar ninguna ni sobre-ponerla con otras. Por ello, la elección de la agenda es casi vital para un correcto desempeño social. A continuación, veremos la manera de diferenciarlas entre sí, para elegir la más adecuada a nuestras necesidades.
 
La agenda ideal: Por horas, por días, por semanas

La agenda puede tener una grilla que diferencie los meses del año, las semanas del mes, o los días de la semana en cada hoja. Dependiendo de lo cargada que sea tu actividad, puedes elegir una agenda que distinga los 7 días semanales en cada hoja, o bien una que distinga las horas del día en cada hoja.

A mayor distinción, mayor detalle tendrá tu agenda. Si tienes citas muy establecidas y fijas, elige mejor una con las horas establecidas. Si tan sólo tienes uno o dos eventos diarios, puedes elegir una con los días de cada semana a la vista.
 
La agenda ideal: Los datos de mis contactos

Las agendas pueden incluir un sector de contactos. Allí podrás almacenar en copia rígida los contactos telefónicos, laborales, sociales y demás.

Elige la agenda que te proporcione el espacio necesario, según los datos que quieras conservar sobre tus contactos. Algunas poseen el espacio en blanco, y otras poseen una grilla pre impresa sobre tales datos, incluyendo nombre, teléfono, fax, celular, radio, fecha de cumpleaños, dirección y datos anexos, como anotaciones, servicio que provee, ocupación y demás.

Si quieres guardar contactos simples, elige una agenda que distinga las letras del alfabeto y posea lugar libre. Si quieres conservar más datos, elige una que posea estos espacios aumentados, para dar orden a los datos de guarda.
 
Otros anexos de una agenda ideal

Señalador: Las agendas, luego, pueden contar con anexos. El señalador de página es uno de ellos. Algunas agendas tienen un señalador independiente y móvil, mientras que otras poseen una cinta o cordel adherido al lomo de las páginas. Esta última es ideal, pues nunca se sale, haciéndonos perder el recuento de la fecha actual.

Anotaciones: También hay agendas que cuentan con un sector de anotaciones, incluyendo un lapicero que se mantiene dentro del cuerpo de la misma, para tenerlo siempre a mano. Esta idea es especial para quienes deben diseñar planes y estrategias o ideas creativas y funcionales. Este sector te permite dejar plasmadas tus observaciones e ideas sencillamente, para no perderles el rastro.

Finalmente, un consejo: siempre conserva una copia escrita de tus contactos. Recuerda que una falla eléctrica o un desperfecto técnico pueden arruinar la memoria de tu ordenador o de tu móvil, arruinando tu agenda virtual. Es siempre una gran idea conservar estos útiles datos por escrito, en un lugar seguro.

Tomado de: http://trabajo.comohacerpara.com/n6597/como-elegir-una-agenda.html

02 febrero 2014

Diez grandes frases de George Orwell

George Orwell es el sobrenombre de Eric Arthur Blair, el célebre novelista autor de “1984” y “Rebelión en la granja”, y acuñador del coetáneo concepto político de “neolengua”. Nacido el 25 de junio de 1903 en una colonia británica situada en Asia del Sur y en el seno de una familia sin recursos, sus primeras obras ya eran de marcado carácter antiimperialista. A la edad de 33 años se unió a las filas republicanas en la Guerra Civil española a través de las Brigadas Internacionales, y se vio envuelto en el cisma de 1937 entre anarquistas y comunistas proclives a la guerra, por un lado (entre los que se encontraba Orwell), y los comunistas estalinistas y socialistas por otro, que velaban por mantener el orden burgués de la República. Al poco de regresar al frente en Huesca, recibió un disparo en el cuello que casi le cuesta la vida y se decidió a abandonar físicamente el conflicto, aunque encontró en este la razón de ser de todas sus obras literarias y artículos periodísticos anteriores y posteriores: la lucha contra el totalitarismo y la defensa del socialismo democrático.

"En tiempos de engaño universal, decir la verdad se convierte en un acto revolucionario".

"El pensamiento corrompe el lenguaje y el lenguaje también puede corromper el pensamiento".

"Toda la propaganda de guerra, todos los gritos y mentiras y odio, provienen invariablemente de gente que no está peleando".

"Yo no querría ver a la URSS destruida y pienso que hay que defenderla si es necesario. Pero quiero que la gente se desilusione de ella y comprenda que debe construir su propio movimiento socialista sin las injerencias rusas".

"Doblepensar significa el poder de mantener dos creencias contradictorias en la mente simultáneamente, y aceptar ambas".

"Todos los animales son iguales, pero algunos son más iguales que otros".

"En principio, el fin de la guerra es mantener a la sociedad al borde de la hambruna. La guerra la hace el grupo dirigente contra sus propios sujetos y su objetivo no es la victoria, sino mantener la propia estructura social intacta".

"Hasta que no tengan conciencia de su fuerza, no se rebelarán, y hasta después de haberse revelado, no serán conscientes. Ese es el problema".

"La guerra es la guerra. El único ser humano bueno es el que ha muerto".

"Lo importante no es mantenerse vivo sino mantenerse humano".

01 febrero 2014

CERVEZA - Nunca se sabe cuando te puede salvar la vida

Tres brasileños se salvaron de ahogarse despues de un naufragio frente a la costa del noreste del pais agarrados a la tapa de una caja isotermica repleta de cerveza, informaron hoy fuentes oficiales.

El accidente ocurio el pasado martes en el litoral sur del estado de Alagoas (noreste), a tres kilometros de la costa, frente al municipio de Barra de Sao Miguel, segun informo hoy el Centro de Apoyo Aereo de la region.

Los tres naufragos, dos mujeres y un hombre, se agarraron a la tapa de la caja de cerveza, fabricada en espuma de poliestireno, y flotaron a la deriva "algunas horas", de acuerdo con varios medios, hasta que fueron rescatados por un helicoptero de la Policia Militarizada, que estaba haciendo una patrulla de rutina.

Dos barcos que pasaban por el lugar, uno de ellos de un pescador, ayudaron en las labores de rescate de los naufragos, que no necesitaron ser hospitalizados porque no presentaban lesiones graves.