Category: Barrapunto

Nuevo exploit para procesadores Intel

comentarios Comentarios (0)
Por , 19 marzo 2009 11:40

Leo en networkworld.com que hoy se presenta un nuevo exploit que se aprovecha de un error grave de los chips de Intel.

Los investigadores Joanna Rutkowska y Loïc Duflot van a publicar un articulo y código de ejemplo para un nuevo exploit del SMM que se instala a través de una vulnerabilidad del sistema de cache de los chips Intel. El exploit permite hacer una escalada de privilegios desde el anillo 0 hasta el SMM en muchas placas Intel modernas. Joanna, que ya era conocida por descubrir Blue Pill hace unos años, ha aclarado que no van a publicar un rootkit, pero que sin embargo seria posible usar este exploit para instalar rootkits de SMM ya existentes.

Lo preocupante de un exploit de este tipo es que el SMM tiene mas privilegios que el hypervisor y que no es controlable por ningún sistema operativo. Así que este no es capaz ni de interceptar ni de desactivar las interrupciones de este sistema. En la practica, no hay forma de saber que se esta ejecutando en ese nivel del sistema y no hay nada que el sistema operativo pueda hacer.

La razón de publicarlo ahora es que ambos investigadores avisaron a Intel hace un año y todavía no se ha resuelto. Es mas, la primera mención sobre la posibilidad de un ataque de este tipo es del 2005, de manos de los propios ingenieros de Intel. En resumen, esa vulnerabilidad lleva ahí años, y si tanto los ingenieros de Intel la conocían y estos dos investigadores la han descubierto, hay razones para creer que otra gente la conozca y que hasta la estén usando. En palabras de la propia Joanna:

Si hay un bug en alguna parte y se queda sin arreglar el tiempo suficiente, esta garantizado que otra gente la (re)descubrirá y la explotara, antes o después. Así que, no culpen a los investigadores que buscan y publican información acerca de estos errores, en realidad están haciéndole un favor a nuestra sociedad.

Entrada publicada originalmente en Barrapunto

categorías Barrapunto, Noticias

Microsoft pierde terreno en Islandia.

comentarios Comentarios (0)
Por , 10 marzo 2009 7:55

<disclaimer>
Aquí va un texto interesante que he encontrado en el blog de Smári McCarthy. El titulo original es “Microsoft Skull-fucks Iceland’s Economy, Contracts Syphilis”, que viene a significar algo así como “Microsoft jode la economía islandesa y contrae la sífilis”.

Personalmente no creo que las cosas salgan tan bien como este hombre parece creer, pero el simple hecho de que este pasando me parece un ejemplo para cualquier empresa de cualquier país.

A continuación, la traducción de parte del articulo.
</disclaimer>

Microsoft se ha creado un negocio a base de vender licencias para ejecutar un software que puede ser copiado con un coste marginal, eso es algo que todo el mundo sabe. Básicamente, crean software, pero su producto no es código de ordenador, es código legal. Contratos.

Hacen tratos con compañías, el trato mas común es una licencia de uso no exclusiva y no transferible para el uso del sistema operativo Microsoft Windows y la suite ofimática Microsoft Office durante tres años. También se vende una gran cantidad de licencias de uso de Microsoft Dynamics NAV (anteriormente llamado Navision Financials, me referiré a este programa como Navision).

Las compañías e instituciones que compran estas licencias generalmente no lo hacen directamente de Microsoft. En vez de eso Microsoft vende paquetes de licencias a los MCPs (Microsoft Certified Partners), que son empresas locales que promueven dicho software, generalmente perdiendo dinero con ello, porque saben que el cerrojo de Microsoft es tan fuerte que solo conseguirán vender esas licencias si ofrecen un importante descuento sobre los productos Microsoft.

La duración de la licencia es de tres años, pero el pago se hace anualmente. Aquí es donde empieza la diversión.

Pongamos, por ejemplo, que una economía se colapsa. Digamos que unas mil quinientas empresas en tu economía local quiebran. Ahora pongamos que Microsoft viene a cobrar su pago anual de los MCPs. Los MCPs argumentan, por supuesto, que “dado que las compañías a las que les vendimos el contrato han quebrado, nosotros no deberíamos pagar”.

“Aja!” dice el trajeado de Redmond. “Hicisteis un trato con nosotros y otro con ellos. El que las empresas clientes no puedan mantener su parte del trato no invalida el acuerdo al que llegasteis con nosotros”.

Esto es lo que he oído de colegas en la industria. Colegas a los que están puteando ahora mismo. En pocas palabras, los MCPs tienen que pagar las licencias de las compañías en quiebra.

La sorpresa de tener que hacer esto esta empezando a llegar a la economía islandesa, bastante dañada ya por el colapso de casi todas las empresas financieras privadas y la subsecuente quiebra de casi mil quinientas compañías. Y ahora le toca el turno a los MCPs de Islandia.

El diablo esta en los detalles. Microsoft solo esta cobrando lo que se le debe, forzando un caso que, en la mayor parte de lugares, seria perfectamente razonable. Bueno, no. Pero se podría decir así. Al final, todo es cuestión de beneficios.

Pero la respuesta ha sido sorprendente. Varios de los mayores MCPs de Islandia esta ahora luchando por sobrevivir en un mar ya revuelto por culpa de la depresión económica. La mierda ya ha llegado al ventilador, pero ahora, ademas, Microsoft les esta jodiendo.

Y que haríais vosotros en este caso? Bueno, mis fuentes me dicen que esta habiendo mucho movimiento. Varios MCPs están quitándose de problemas, migrando a Software Libre y re-estructurando su modelo de negocio. Mantener los beneficios dentro de Islandia, vender mejores servicios técnicos por menos dinero y, aun así, doblar sus beneficios. “Por que no hicimos esto antes?”.

Entrada publicada originalmente en Barrapunto

categorías Barrapunto, Noticias

Sarkozy acusado de violación de copyright

comentarios Comentarios (0)
Por , 2 marzo 2009 10:12
Esta puede ser la historia mas irónica del 2009 en lo que respecta al debate del copyright. La CBC ha informado que el partido en el poder en Francia ha sido denunciado por una banda independiente por violación del copyright.

El presidente y su administración son bien conocidos por tratar de fortalecer las leyes del copyright no solo en Francia sino también por toda Europa. Ha aprobado la primera ley de los “tres avisos” por la cual si un usuario recibe tres quejas oficiales por violación del copyright, es desconectado de internet. La ley de los tres avisos nació en Francia y se ha extendido por todo el mundo gracias a los intentos de la industria para que otros países adopten la misma ley. De hecho, la administración francesa ha presionado a la Unión Europea para que adopte esta política, aunque el proceso se ha topado con opiniones contrarias, incluyendo a los representantes de Suecia que argumentaron que la gente depende de internet para el intercambio cultural.

Seguro que el presidente francés desearía ahora que todo el asunto del copyright desapareciera. Ha admitido el uso de la canción varias veces durante la campaña electoral, un uso que esta mas allá de la licencia obtenida. Así que la administración ofreció solucionar el caso pagando un precio simbólico de 1€. La banda ha rechazado la oferta, calificándola de insultante.

Visto en The Daily Irrelevant, noticia original en “MGMT ‘insulted’ by €1 offer from Sarkozy’s party”

Entrada publicada originalmente en Barrapunto

categorías Barrapunto, Noticias

Funciones que hacen que Firefox cargue el plugin Java

comentarios Comentarios (0)
Por , 27 febrero 2009 12:16

El titulo del articulo original es “Here comes the sun” y lleva el subtexto: “Propiedades mágicas hacen que Firefox cargue de manera síncrona el plugin de java”. A continuación traduzco la nota:

Aqui hay un pequeño problema para desarrolladores web. Hay unas cuantas propiedades “mágicas” en el interfaz DOMWindow de Mozilla para soportar LiveConnect que lanzan el plugin de Java y todo lo que eso conlleva (en el caso de plugins modernos, lanzar java.exe como subproceso). Solo es necesario buscar estas propiedades en el objeto window.

Por ejemplo, veamos esta pagina de ejemplo:

<!DOCTYPE html>
<html>
<head>
<script type=”text/javascript”>
function sun() {}
</script>
</head>
<body>
</body>
</html>

Inocua, no? En realidad, no. Resulta que Firefox trata window.sun como una propiedad mágica de LiveConnect (Lo probé con Firefox 3.0.6 en Windows). Que es LiveConnect? Fue introducido en Netscape 4 para permitir controlar plugins a través de scripts. Acceder a cualquier propiedad mágica de LiveConnect lanzara el plugin de Java, incluso aunque tu codigo no tenga nada que ver con Java. Y usar el plugin de Java implica cargar la JVM. Ah! Y he mencionado que todo esto ocurrirá de forma síncrona? Y que Firefox dejara de cargar la pagina y se quedara esperando a que la JVM cargue? Y todo eso simplemente por acceder a la propiedad window.sun.

“Pero, pero, pero…” Te oigo tartamudear. “No estoy accediendo a la propiedad window.sun!”. Si, si lo estas haciendo. Declarar una función global es como asignar una propiedad al objeto window (el valor de la propiedad es la función en si). Y para asignar esa propiedad, Firefox la busca antes de reasignarla. Y cuando la busca… carga la JVM. De forma síncrona.

La lista de estas propiedades mágicas de LiveConnect que matan el rendimiento está enterrada dentro de la documentación del código fuente de Mozilla. Son las siguientes:

* java
* Packages
* netscape
* sun
* JavaClass
* JavaArray
* JavaMember

En otras palabras, no defináis una función a nivel de ventana que se llame sun(). Matara el rendimiento de tu pagina porque al menos un navegador moderno pensara que quieres usar Java, gracias a una “característica” que invento Netscape en 1997.

Entrada publicada originalmente en Barrapunto

categorías Barrapunto

La camara del iphone

comentarios Comentarios (0)
Por , 21 enero 2009 11:48

Mirando blogs por ahí he encontrado esta fotografia de una hélice de avión hecha con el iphone. Esta es una de las veces que echo en falta la posibilidad de poner imágenes en barrapunto, porque la verdad es que merece la pena verla.

La foto no esta retocada ni se ha usado nada especial, simplemente es así como la ha tomado el sensor.

El autor de la foto achaca ese efecto a que el sensor es un sensor CMOS barato y que no escanea toda la imagen al mismo tiempo, sino que lo hace columna a columna. Sin embargo me parece que hay otra explicación, quizás mas plausible (sin meterme en la calidad del sensor del iphone, algo de lo que no tengo ni idea), y es la forma en que la cámara deja pasar la luz, usando lo que se conoce como rolling shutter (no encuentro ninguna traducción “oficial”, pero a mi me suena igual al obturador de cortina) y que deja pasar la luz columna a columna, con lo que cada columna correspondería a un momento en el tiempo ligeramente diferente.

A continuación mas imágenes así (todas tomadas con el iphone):
- Time Traveling Metra – Rodgers Park Stop
- Prop 1
- Prop 2

Entrada publicada originalmente en Barrapunto

categorías Barrapunto

Si te acusan de compartir en internet, eres culpable.

comentarios Comentarios (0)
Por , 7 enero 2009 3:41

Si te acusan de compartir en internet, eres culpable. Así, sin mas, sin juicios, sin comprobaciones, sin historias.

Esto es lo que ocurrirá en Nueva Zelanda a finales de febrero, cuando se ponga en marcha la seccion 92 del Acta de reforma del copyright. La medida dice, básicamente, que cualquier persona acusada de compartir archivos en internet sera considerada culpable automáticamente y se le desconectara de internet.

Reíros de los planes de “tres avisos” que se intentan aprobar en varios países.

Por eso la fundación Creative Freedom ha comenzado una campaña y una petición para que se retiren estas medidas.

No creo que a los que estemos aquí nos afecte demasiado, al menos no de momento (“cuando las barbas de tu vecino veas cortar…”), ni que realmente podamos hacer algo para evitar que esa medida llegue a ponerse en marcha (en todo caso, eso corresponde a los neozelandeses). Sin embargo si que creo que es un tema importante y que merece la pena hablar de el.

Entrada publicada originalmente en Barrapunto

categorías Barrapunto, Noticias

Accidente abre las puertas a camaras mas baratas y mejores.

comentarios Comentarios (0)
Por , 1 diciembre 2008 12:36
Los accidentes científicos han producido algunos de los descubrimientos mas importantes – goma vulcanizada, rayos X, penicilina – y ahora investigadores del UCLA han descubierto accidentalmente un material que podría hacer que las cámaras digitales tal y como las conocemos ahora sean obsoletas.

La estudiante Hsiang-Yu Chen estaba trabajando en una nueva formula para células solares cuando algo salio mal. En vez de crear electricidad cuando recibía luz, la conductividad del material con el que estaba trabajando cambio.

“El propósito original era hacer una célula solar mas eficiente” dice Chen. “Sin embargo, durante la investigación encontramos que el fenómeno de célula solar había desaparecido”. En vez de eso, el material usado mostraba una alta ganancia de fotoconductividad, indicando un uso potencial como sensor fotográfico.

Gracias a este error con suerte, podrían dar lugar a un nuevo tipo de sensores fotográficos que serian mas baratos, de mayor resolución y tener menor distorsión que los actuales.

El material en cuestión es un polímero con partículas nanométricas con propiedades parecidas a los semiconductores. Las principales ventajas de este material es que podría llegar a ser barato de producir y que, al ser flexible, produciría menos distorsión que los sensores actuales en los que, al estar hechos de silicio y ser planos, se produce mucha distorsión en los bordes al recibir la imagen esférica generada por las lentes.

El articulo original (con mas información y fotos), en wired.com

Entrada publicada originalmente en Barrapunto

categorías Barrapunto, Noticias

Un millon de libras para un material 100% libre de quimicos.

comentarios Comentarios (0)
Por , 27 noviembre 2008 12:26
La Sociedad Real de Quimica (Royal Society of Chemistry, RSC) acaba de poner en marcha para recuperar la palabra “químico” de las industrias del marketing y la publicidad.

Esta palabra ha sido robada y malinterpretada como sinónimo de “veneno”. La Autoridad de Estándares en Publicidad (Advertising Standards Authority, ASA) defendió recientemente un anuncio en el que se perpetuaba el mito de que las sustancias naturales están libres de químicos.

La verdad, como cualquier persona cabal dirá, es que todo lo que comemos, bebemos, conducimos, jugamos y vivimos en esta hecho de sustancias químicas – sustancias que, tanto naturales como sintéticas, son esenciales para la vida tal y como la conocemos.

Si, como la ASA dice, el publico cree que los materiales pueden ser “100% libres de químicos”, entonces la RSC pronto se vera inundada de ejemplos de gente intentando hacerse con la recompensa de un millón de libras anunciada hoy por la RSC.

El doctor Neville Reed, un director del RSC, dijo hoy: “Estaré encantado de darle un millón de libras al primero que me de un material que yo pueda considerar 100% libre de químicos.”

“Si alguien llegara a hacer eso, veríamos como miles de años de conocimientos se evaporarían ante nuestros ojos. Tendríamos que romper los libros de texto, quemas los certificados y re-educar a los profesores.”

Los creadores de un fertilizante “orgánico” popular atrajeron la atención del publico cuando anunciaron en su material promocional que el producto no contenía absolutamente ninguna sustancia química.

Este producto se anuncia con la increíble afirmación de que es “100% libre de sustancias químicas” tanto en los anuncios como en el paquete. La parte trasera del paquete lista los ingredientes “libres de químicos” que incluyen, entre otros, pentóxido de fósforo y oxido de potasio.

Traducido de £1,000,000 for 100% chemical free material?

Entrada publicada originalmente en Barrapunto

categorías Barrapunto, Noticias

Se vende: Base secreta subterranea

comentarios Comentarios (0)
Por , 17 octubre 2008 12:19
En los años 40 el gobierno ingles construyo unos refugios subterráneos a unos 100 metros de profundidad bajo Londres, hoy se pone uno de ellos a la venta.

Los túneles de Kingsway fueron construidos como refugios subterráneos contra ataques aéreos y han sido usados desde entonces como cuartel general en tiempos de guerra, una biblioteca y el intercambiador telefónico que conectaba a EEUU y a la URSS durante la guerra fría.

La oficina de correos se hizo cargo de los túneles después de la segunda guerra mundial y ahora su sucesor, BT, los ha puesto a la venta. Con mas de 7.000 metros cuadrados disponibles debajo del centro de la capital, se espera que las ofertas lleguen a los 5 millones de libras.

El acceso al sistema de túneles horizontales y verticales de una milla de largo es a través de puertas sin marcar en la zona de High Holborn y el sitio esta equipado con electricidad, agua corriente y equipos de ventilación.

La oficina de documentos públicos uso estos túneles durante un tiempo para almacenar 400 toneladas de documentos secretos, antes de que el complejo se usara para conectar llamadas de larga distancia.

Podia refugiar a 8.000 personas durante los ataques aereos y luego, cuando fue usado como intercambiador, trabajaban allí unas 80 personas, con cantina y salas de recreo.

Traducido de www.timesonline.co.uk

Fotos de los túneles en news.bbc.co.uk

Entrada publicada originalmente en Barrapunto

categorías Barrapunto, Noticias

Ruby on Rails: dudas

comentarios Comentarios (0)
Por , 30 junio 2008 10:12

Buenas!

El caso es que llevo unas semanas con un proyectito personal hecho con este framework: Me apetecía aprender a usarlo (para ver por que estaba todo el mundo tan emocionado), tengo poco que hacer en el trabajo y un amigo me comento una idea para hacer una aplicación que encaja bastante bien dentro del objetivo de RoR.

Ahora, después de tres semanas dedicadas por entero a esto, tengo el proyecto casi listo para producción (aunque me quedan muchos detalles y cosas por añadir) y creo que tengo un conocimiento básico suficiente tanto de Ruby como de Rails… En estas tres semanas he encontrado muchas cosas que me han gustado y varias que no (si acaso, ya escribiré otra bitácora al respecto).

Pero aun tengo unas cuantas dudas (y no consigo encontrar respuestas por internet) así que lanzo unas preguntas al tendido a ver si algún alma caritativa me contesta o me apunta en la dirección correcta.

1. Rendimiento y escalabilidad (esta es larga, lo siento).

La gente se mete mucho con el rendimiento de Rails, sobre todo después de lo de Twitter, pero no es eso lo que me interesa ahora mismo. Mi interés va mas bien por la conexión con la base de datos, me explico con un ejemplo (encontrado en el libro RailsSpace, que es uno de los que he ido siguiendo en mi aprendizaje):

Tenemos tres modelos: User, Spec y Faq, User es la información básica del usuario (nickname, contraseña), Spec es la información sobre la persona (Nombre real, sexo, dirección) y Faq contiene la información sobre los gustos del usuario. Evidentemente, cada usuario (User) tiene un objeto Spec y un objeto Faq asociados, la cosa seria así:

class User < ActiveRecord::Base
has_one :spec, :dependent => :destroy
has_one :faq, :dependent => :destroy
end

class Spec < ActiveRecord::Base
belongs_to :user
end

class Faq < ActiveRecord::Base
belongs_to :user
end

Hasta aquí bien, fácil y sencillo (por cierto, el cómo se definen las relaciones es una de las cosas que mas me han gustado de Rails), a partir de ahí, se puede acceder al Spec asociado a determinado usuario diciendo “user.spec”, eso lazara una query por detrás que recuperara el objecto Spec asociado a ese usuario… y aquí es donde entra mi pregunta.

Si hacemos una búsqueda por nombre real (como se hace en el libro), primero tendremos que lanzar una consulta a BBDD con el texto que queremos buscar (parte o todo el nombre real), en el resultado se muestran, sobre todo, datos contenidos en el Spec, así que una query nos da casi todos los datos que queremos, sin embargo en la lista de resultados ira un link a la pagina del perfil del usuario, con lo que necesitaremos también esa información (en el libro se hace con spec.user, que lanza otra select).

Eso implica que se hace una query por búsqueda mas N queries mas donde N es el numero de resultados(!), Si los resultados son dos usuarios, se hacen tres consultas a la BBDD, pero que pasa si se devuelven 1000 resultados? Se hacen 1001 consultas? Eso es algo que se podría hacer tranquilamente con una sola. La parte de la BBDD en este caso es fácil de arreglar, son relaciones 1:1 así que se pueden juntar en una tabla o hacer una vista con los datos que necesitamos, pero que pasa con ejemplos mas complejos, o que pasa con el lado de Rails? Se pueden rellenar varios modelos con solo un find? Como se podría evitar este problema?

2. Mantenimiento de sesiones

Otra de las cosas que me ha gustado de Rails es la libertad a la hora de elegir como se van a manejar las sesiones, en Java dependes básicamente de como lo haya implementado el servidor de aplicaciones (que, generalmente, consiste en mantenerlas en memoria o en el sistema de archivos). En general recomiendan usar el ActiveRecord Store, que almacena las sesiones en una tabla en BBDD y es muy fácil de configurar (descomentar una linea) y poner a punto (rake db:sessions:create).

Pero que pasa con el mantenimiento? En las pruebas que estoy haciendo solo hay una o dos sesiones en la tabla, se crean bien, mantienen el estado del usuario bien, etc, etc… Y como se borran? Se hace automáticamente? Se debe de configurar de alguna manera? Como? Lo único que he encontrado al respecto es rake:sessions:clear, que borra todo el contenido de la tabla de sesiones, pero eso “echaría” a todos los usuarios que estén conectados en ese momento… No hay una forma mejor?

3. Gems

Esta es una duda que me ha surgido en relación con mi hosting: Dan soporte básico para RoR pero no tengo acceso por SSH y no puedo instalar gems por el método tradicional (por linea de comando).

Esta claro que si continuo haciendo cosillas en este entorno tendré que cambiar de hosting a uno en el que tenga mas libertad, pero, de momento, hay alguna forma de instalar gems como Ferret, hpricot y demás de alguna manera sin tener que usar la linea de comandos? He leído algo sobre hacer “Freeze” de plugins e incluso algunas entradas de blogs sobre instalar dichas gems en el directorio “vendor”, pero en general son poco mas que comentarios sin instrucciones especificas y/o dependen de otros plugins. Seria factible en mi caso? Alguien me puede señalar donde encontrar información sobre esto?

En fin, siento el tostón y agradezco el esfuerzo a cualquiera que llegue hasta aqui leyendo. Gracias! :D

Entrada publicada originalmente en Barrapunto

categorías Barrapunto

Panorama Theme by Themocracy