Apple patenta prácticamente su propio lenguaje de gestos

Apple patenta prácticamente su propio lenguaje de gestos: "



Si creían ser unos connaisseurs a la hora de experimentar con los gestos multitáctiles del iPhone, tendrán que pensarlo de vuelta: Apple patentó un método para identificar una serie de movimientos sobre una superficie multitáctil por sobre el uso “natural” de la misma, e incluyó una serie de gestos que ya estarían reservados para acciones concretas, la mayoría dedicadas a la manipulación de archivos y textos.
La Oficina de Patentes y Marcas de EE.UU. le otorgó a Apple los derechos sobre el registro de un sistema que discierne los gestos multitáctiles que producidos con la mano abierta o sólo con un par de dedos. Para esto tiene en cuenta factores como la posición, velocidad, dirección y combinación de los puntos de contacto (la punta de nuestros dedos). No se especifica sobre que hardware podrán ser operados, por lo que se asume que serán el nuevo de facto para toda la familia táctil de dispositivos de la manzana, muy posiblemente incluyendo el trackpad de las MacBooks.
Como dijimos, existen por lo menos 24 gestos dedicados a la manipulación de texto, con acciones como seleccionar texto, copiar y pegar, buscar y reemplazar, y formas para desplazarse por el documento. Luego existen otros 19 dedicados a la manipulación de la interfaz, con acciones que nos permiten modificar las ventanas, cambiar la página activa, y abrir, guardar y cerrar un archivo.

Steve Ballmer habló sobre “la nube” en Buenos Aires

Steve Ballmer habló sobre “la nube” en Buenos Aires: "

Ayer, martes 27 de abril, Steve Ballmer se presentó en la Universidad Argentina de la Empresa en Buenos Aires, aprovechando una visita a Argentina por temas de negocios, y dio una breve charla sobre la computación de nube, cómo se desarrollará, y cómo puede integrarse a nuestras vidas.

Aunque no hizo ningún anuncio revelador, y “la nube” es algo con lo que estamos familiarizados, podemos recorrer brevemente los puntos clave de su exposición, para los que quieran ver un poco más de cerca la mirada de Microsoft sobre el tema (o quienes no sepan mucho del mismo).

El potencial de la nube: las oportunidades que crea y las responsabilidades que trae.

El trabajo en La Nube trae la oportunidad de crear software y contenido interesante, y el poder ampliar la forma en que nos comunicamos. Vamos migrando lo que hacemos hacia la nube. Ahora se construye desde Internet y hacia afuera, no al revés.

Y la responsabilidad que trae aparejada es tanto de los usuarios en su uso, como de los creadores de estas tecnologías.

“La nube” aprender de uno y lo ayuda a aprender, decidir y actuar.

Lo que se sube puede ser usado por cualquiera, pero además se sube una cantidad de información tan grande que la nube se va enriqueciendo, y haciéndose más “inteligente”. Y justamente por eso puede ofrecernos posibilidades de aprendizaje, información, y como tal, prepararnos para tomar mejores decisiones.

El software que se construye para la nube es diferente al tradicional. el tradicional estaba hecho para obedecer órdenes, mientras que el de la nube está preparado para interpretar y analizar los datos ingresados y el comportamiento de los usuarios, con lo cual se va enriqueciendo y ampliando su conocimiento (en calidad y relaciones).

La nube enriquece las interacciones sociales y profesionales.

Si logramos integrar estas tecnologías a nuestra vida cotidiana, puede no distanciar sino enriquecer las relaciones humanas, tanto sociales como profesionales, derribando límites geográficos y temporales.

La nube “quiere” mejores dispositivos

A medida que las cosas se mueven a la nube, los dispositivos deben ser más inteligentes. No porque sean complejos o difíciles de usar, sino porque deben poder procesar mucha información, realizar operaciones en tiempo real. Hace falta buenas redes, pero dispositivos inteligentes a ambos lados para aprovecharlas y que se pueda trabajar con esa información.

Un ejemplo de esto serían los smartphones, o el Proyecto Natal, que interactúa con el usuario de una forma más intuitiva (no solo con el cuerpo como control, sino por la forma de responder).

Microsoft

El punto final de la exposición giró en torno a Microsoft (esto no podría faltar, por supuesto), y Ballmer comentaba que la empresa se alimenta de La Nube, pero a la vez La Nube se alimenta de los aportes de la empresa.

La razón de la visita de Ballmer a Argetina (después de 10 años) tuvo que ver con la búsqueda de un entorno laboral y legal en el que puedan seguir desarrollando estas tecnologías, y con la convicción de que la comunidad IT de este país está lista para acompañarlos. Además, confía en que este desarrollo pueda enriquecer a la industria de la información, tecnología, y a la sociedad en su totalidad.

En todo caso, no fue nada que no sepamos o conozcamos de antes (y con un exceso de palabras como “nube” o “inteligente”), aunque poder escuchar la postura de una empresa como Microsoft directamente desde su CEO no deja de ser una experiencia interesante.

Consejos para contratar ADSL con garantías

Consejos para contratar ADSL con garantías: "Contratar ADSL cada vez es más difícil y en ocasiones muchos usuarios se sienten literalmente 'estafados' por los comerciales que llaman a todas horas con el objetivo de vender una conexión de banda ancha. A continuación vamos a explicar resumidamente lo más importante para contratar ADSL con garantías. Más información en ADSL Zone



La noticia completa, junto con trucos, tutoriales y más en www.faq-mac.com

Bad Behaviour: Un enfoque diferente del control anti spam

Bad Behaviour: Un enfoque diferente del control anti spam: "

Desde siempre el spam ha sido un problema para el buen funcionamiento de cualquier proyecto web. Tampoco es un secreto que uno de los mayores factores de generación de spam son los robots que recorren la totalidad de multitud de webs dejando huella de su paso en forma de, generalmente, comentarios y mensajes con contenido malicioso.

Pero, ¿qué medidas fiables tenemos para luchar contra el problema del spam? Muchos se basan en hacer que el usuario introduzca un texto o resultado de operación matemática, incluyéndolo de forma que una persona lo pueda procesar fácilmente pero no así un robot; estos son los conocidos Captchas. En este caso estamos dejando al usuario malintencionado (o robot de spam) entrar a nuestra web, e intentamos evitar que interactúe con ella.

Esta alternativa que les presentamos, llamada Bad Behaviour por razones obvias, partiendo de la base de la lucha contra el spam va un paso más allá, impidiendo a estos usuarios (o robots) maliciosos la entrada a su página web objetivo. Esto está muy bien pero, ¿cómo funciona Bad Behaviour? Es muy sencillo. La aplicación recibe cada petición realizada a su entorno web y comprueba diversos parámetros de la misma para detectar si la petición la ha realizado un usuario legítimo y no se trata de ningún robot ni usuario malintencionado. En caso de que encuentre una petición de este tipo, devuelve un simple error del tipo “403 Bad Behaviour”, en lugar del contenido original de la página solicitada.

Entrando más al detalle, este proceso se realiza de dos formas claramente diferenciadas. Por una parte la aplicación contiene un listado de posibles elementos o comportamientos que pueden convertir una petición en sospechosa de ser maliciosa (por ejemplo cabeceras erróneas, como la User-Agent, o peticiones que no respetan el contenido del fichero robots.txt en caso de que lo tengamos configurado), y por otra rechaza peticiones de orígenes maliciosos al conectarse a una base de datos pública de IPs maliciosas constantemente actualizada.

Este proceso puede parecer lento y su demanda de recursos alta, pero se ha demostrado que puede llegar a introducir una mejora en el tiempo de carga de las webs ya que al bloquear los accesos malintencionados se dejan de enviar páginas web completas (con todos sus elementos y contenido multimedia) y se envía un simple mensaje de error en su lugar, lo que reduce considerablemente el ancho de banda consumido por estas peticiones y la carga de los servidores.

En lo que respecta a la instalación, esta aplicación se creó inicialmente como una extensión para Wordpress (motor que da vida a este mismo blog), pero su diseño modular le permite adaptarse a prácticamente cualquier aplicación basada en PHP. Actualmente existen instrucciones de instalación para otras de las aplicaciones web más comunes como MediaWiki, Drupal, DokuWiki y Geeklog, e incluso algunos CMS lo incluyen en su instalación por defecto (es el caso de LifeType).

Si no la conocían, espero que la prueben y nos dejen sus comentarios sobre la funcionalidad de esta aplicación y su funcionamiento.

False friends

Apr 26, 2010 (yesterday)False friendsfrom Security Art Work by Damià Soler


Siguiendo con la entrada sobre la inseguridad de sentirse seguro, me gustaría ahora describirles 3 tecnologías de uso habitual que dan una falsa sensación de seguridad:



- Antivirus: Siempre que le explico a algún no especialista que es un antivirus, le explico que no es un “antivirus”. Es muy sencillo; un antivirus es la forma abreviada (o comercial) de decir que es un antivirus de virus conocidos. Sí, existen módulos heurísticos y otras historias de ciencia ficción, pero la realidad es que los virus nuevos no son detectados por los antivirus hasta que son conocidos. Esto implica que si tenemos la mala suerte de toparnos con un virus de relativa novedad no conocido por nuestro antivirus, éste será de poca utilidad. Obviamente, aunque el antivirus que utilizamos lo reconozca, si el nuestro no se encuentra actualizado, la consecuencia es la misma, de ahí la importancia de actualizar las firmas del AV.



- IDS de red: Los IDS tienen el mismo problema que los antivirus: son “IDSs de patrones conocidos”, pero son mucho peores que los AV ya que por lo general no toman medidas inmediatas, sino que se limitan a registrar e informar. Además, existen numerosas ocasiones en las que están “ciegos”, como por ejemplo en el tráfico cifrado en el que funcionan todas nuestras web corporativas importantes. Además únicamente registran intrusos en base a patrones “técnicos”, pero no a nivel de “negocio”, de modo que alguien puede estar haciendo transferencias bancarias de forma masiva, y el IDS sólo vera un usuario utilizando la aplicación de transferencias.



- Los auditores de vulnerabilidades (Nessus / OpenVAS / etc): Volvemos a lo mismo. No podemos estar tranquilos con haber pasado un scanner de vulnerabilidades y ver que todo queda corregido, dado que éstos únicamente lo son de vulnerabilidades conocidas y en su gran mayoría de software conocido, por lo que todos los desarrollos adhoc pueden ser completamente vulnerables a ataques de todo tipo y pasar inadvertidos. Es cierto que en este campo las herramientas están evolucionando y cada vez son mas capaces de analizar desarrollos desconocidos, pero cualquier auditoria automática de este tipo debería incluir un disclaimer en el que se indique que la herramienta sólo comprueba vulnerabilidades en versiones y configuraciones de programas conocidos, por lo que no incluye la detección de problemas en desarrollos propios, programas no conocidos o partes no públicas que pueden ser facilmente explotables por usuarios maliciosos. De aquí la necesidad e importancia de que una auditoría de este tipo sea complementada con auditorías manuales, tanto de los desarrollos a nivel de código, como a nivel de interacción con el usuario final.

Dicho esto, ¿cómo actuar en estos casos? El planteamiento es muy sencillo: se debe trabajar con el supuesto de que las herramientas no existen:


- Antivirus: Debemos actuar como si no se dispusiera de antivirus. En un entorno de oficina, por ejemplo, no ejecutar programas de los que no se conozca el origen, limitar la ejecución de binarios y código externo, eliminar los ejecutables que llegan por correo electrónico, restringir la descarga de ejecutables a través del proxy web, y deshabilitar el acceso a programas en unidades CD/USB.


- Detección de intrusos de red: Al IDS de red le pasan desapercibidas muchas cosas, y potencialmente puede generar un gran número de falsos positivos. No obstante, si conoce su negocio y sus aplicaciones seguro que sabe dónde mirar para detectar cosas extrañas; trate de añadir IDS de host, o integrados dentro de la lógica del negocio, ya que serán mucho más efectivos. Y por supuesto no los utilice como excusa para no tener en perfecto estado de revista la seguridad de sus servidores.



- Auditorías de vulnerabilidades: Como se ha comentado, no es suficiente con los análisis que se limitan a los datos de la caja negra. Debemos revisar de manera no exclusivamente automática las actualizaciones de versiones de los programas, su funcionamiento cuando interactúan con el usuario, la configuración de las aplicaciones con respecto a la seguridad (usando guías de buenas practicas, o mediante el análisis de todas sus funcionalidades), y por supuesto controlar el desarrollo desde su orígenes, incluyendo la seguridad en todo el ciclo. La idea es que el hecho de que la herramienta de auditoría que utilizamos no haya encontrado un problema de seguridad no significa que no exista, e incluso puede estar más cerca de lo que pensamos.

Entonces, ¿dejamos de utilizar estas incompletas e imperfectas medidas de seguridad? Repasemos de nuevo los tres puntos:
- Antivirus: Hoy en día, en ninguna cabeza cabe el no disponer de antivirus en cualquier entorno Windows, así que además de aplicar las prácticas seguras descritas previamente, hay que asegurarse de su correcta actualización de este, para que al menos esté al día de los virus conocidos. Es decir, que obviamente sí lo debemos de tener.


- IDS: Mi opinion sobre los IDS (no compartida por muchos miembros de este blog) es que son bastante inútiles (esta entrada que va un poco en esa línea), y si no tienen funcionalidad automática de IPS sirven para muy poco (aunque eso puede generar otro tipo de problemas diferentes). En todo caso, la mayor utilidad que le veo a un IDS es la de detectar malware interno poco sofisticado, es decir intrusos internos, con lo que sí pueden ser positivos, aunque el objetivo debería ser que no llegaran dentro. También puede ser útil como herramienta de diagnóstico, para buscar algún patrón concreto en difusión amplia de malware. En definitiva, para ciertas finalidades contar con un IDS es sumamente interesante.


- Auditor de vulnerabilidades: Aunque sean herramientas imperfectas, por su bajo coste de ejecución (se realiza de manera centralizada) pueden ser un primer paso para auditar una red. Aunque es verdad que cada vez son mas inteligentes y son mas capaces de auditar desarrollos genéricos (sqlmap es una maravilla), siguen siendo potencialmente peligrosas en cuanto a que la visión de auditoria de caja negra dista mucho de ser todo lo completa que la puede realizar un “humano” y puede generar una percepción de seguridad inexistente, además de ser infinitamente mas incompleta que una auditoria de caja blanca.


Como creo que era de esperar, usen todas ellas, pero tengan en cuenta siempre los disclaimers correspondientes y no se queden tranquilos con estos “false friends“. En una entrada posterior veremos qué pasa con las certificaciones: ¿”false friends“, o no?

De la inestabilidad del formato NTFS sobre Mac

De la inestabilidad del formato NTFS sobre Mac: "César nos pregunta: Muy buenas. Lo primero daros la enhorabuena a todos los que haceis Faq-Mac, es un sitio fantástico para todo.

Os cuento mi problema: hace cosa de 2 ó 3 semanas me cambié a MAC (tengo un MacBook Pro de 15 pulgadas, pero no de los últimos que acaban de sacar) y me ha pasado algo grave. En windows todos los archivos importantes que manejaba como series, películas, documentos word, fotos, etc los salvaba en un disco duro portátil de Lacie de 1 TB (con formato NTFS), así tenía el disco duro prácticamente vacío y el ordenador iba mejor. Pues bien, una vez en MAC, conecté el Lacie y me di cuenta de lo que tanto me habian avisado, que solo lee el formato NTFS pero no deja la escritura.

Así que busqué alguna utilidad para poder pasar datos al Lacie, y lo primero que instalé...



La noticia completa, junto con trucos, tutoriales y más en www.faq-mac.com

Steve Jobs dice "no" a la certificación de aplicaciones en Mac OS X 10.7

Steve Jobs dice "no" a la certificación de aplicaciones en Mac OS X 10.7: "Este viernes pasado, un artículo concebido como una broma, saltó de la web de Rixtep a Internet. El artículo, relacionado con un nuevo sistema de trabajo entre los desarrolladores y Apple que implicaba la certificación de aplicaciones a través de una tienda de software para Mac, era una noticia importante y mientras una parte de esta redacción preparaba la noticia y la publicaba, debido a su importancia, otra parte trataba de confirmar la veracidad de la noticia contrastándolas con otras fuentes y contactando con personas familiarizadas con los asuntos de desarrollo de Apple. Mientras se confirmaba la noticia, la publicamos con una nota al final indicando que estábamos tratando de confirmar con terceros la veracidad del asunto. Media hora después, tras no obtener ninguna confirmación y...



La noticia completa, junto con trucos, tutoriales y más en www.faq-mac.com

¿Cuán gratis es un antivirus gratuito?

¿Cuán gratis es un antivirus gratuito?: "El siguiente post es una traducción del texto realizado por Urban Schrott, Analista de Seguridad de ESET Irlanda, y publicado en el blog de ESET en inglés sobre el software de seguridad gratuito. Les recuerdo que ESET pone a disposición de los usuarios ESET Online Scanner como servicio gratuito a la comunidad.

Si puede no pagar, [...]"

Troyano para Mac OS

Troyano para Mac OS: "El objetivo principal del malware actual es obtener dinero, y por ende, el desarrollo del mismo se focaliza en las plataformas de Microsoft por ser masivo. Sin embargo, el malware forma parte de una industria donde constantemente se busca ampliar el campo de cobertura, y en función de esto cada vez es más habitual encontrar códigos maliciosos desarrollados para otros sistemas operativos.



Este es el caso de un troyano desarrollado en lenguaje de programación RealBasic para Mac OS, detectado como OSX/HellRTS o Pinhead.



El troyano está constituido por cuatro partes:

• Un servidor: que es el propio troyano, el que infectará el equipo víctima


• Un cliente: que es utilizado para controlar y manipular el equipo víctima


• Un configurador: mediante el cual se establecerán los parámetros del servidor


• Un SMTP Grabber: un motor SMTP que permite enviar correos electrónicos con la información obtenida desde el cliente

Cuando el troyano se activa en la computadora víctima, inicia un proceso llamado ATSServer que monitorea cualquier actividad, hasta que el atacante decide ejecutar remotamente alguna acción. A continuación podemos observar una imagen donde se aprecia algunas de las acciones maliciosas que el atacante podría realizar.



Contenido completo en ESET

http://www.segu-info.com.ar/

Health Care Reform Infographic – Changes Coming!

Health Care Reform Infographic – Changes Coming!: "

While I rarely try to comment on politics, I was recently sent this graphic which outlines the impending changes to the Health Care reform that was signed into law a few months ago.

For most people, health insurance plays a big role in personal finances (sometimes good and sometimes bad). Courtney and I currently paid $138/month for high-deductible insurance (it’s either $2,000 or $3,000 deductible). We basically just want to cover catastrophic-type events.

Personally, I’m not really for or against these changes. I won’t be at any tea parties, but I didn’t cheer in victory when Obama signed it into law. The biggest concern for me is children. I think minors under 18 should be fully covered no matter what. No pre-existing condition garbage. This includes pregnant women, as well.

Beyond children, I’m not such a fan of mandated health insurance. I think adults should have that responsibility fall upon themselves. I would be in favor of having a government sponsored option and very strict penalties on abuse from insurance companies, though.

What are your opinions on the Health Care reform changes?

Leave the sensational politics on the sideline please. I don’t want to hear about socialism, communists, or racism.

I’m more interested in the specific changes and how they may/may not affect you. Do you see these changes affecting your finances (besides a potentially increased tax burden)? Would you personally take advantage of any of the above?

Interested to hear your thoughts!

Note: Thanks to HealthInsuranceProviders.com, a site where you can compare health insurance options, for allowing their infographic to be shared!