Yo creía que a estas santas alturas de la evolución de los lenguajes de programación todo estaba ya más que trillado. La teoría de compiladores que estudiábamos en la Universidad permitía que un autómata programable pasara de un estado a otro al encontrarse con la siguiente entrada. Todo parecía indicar que el autómata tiene que estar siempre en algún estado, aunque dicho estado sea el "estado de error", que puede ser causado por un fallo en la sintaxis o en los valores autorizados de una entrada.
Hoy he descubierto que esto no es cierto para el lenguaje ActionScript 3 (AS3)
En este lenguaje, como en muchos otros, una variable puede tener un valor conocido, o bien un valor null que indica que el valor es desconocido.
Esperaba que un valor null se evaluara a falso en una asignación a una variable booleana.
Esperaba que un valor null se evaluara a falso en una expresión condicional.
Esperaba que un valor null, evaluado a falso, se pudiera comparar con otro valor constante o con otra variable, dando como resultado una falsedad.
...
Esperaba en vano, quizá confiado en los resultados de otros lenguajes como el C.
Y debo admitir que AS3 tiene razón: NO ES EVALUABLE A VERDADERO O FALSO UN VALOR NULO, NO ES ASIGNABLE UN VALOR NULO A UNA VARIABLE LOGICA, NI SE PUEDE CONOCER EL RESULTADO LOGICO DE UNA COMPARACION CON UN VALOR NULO.
Pero, por favor, LOS PROGRAMADORES NECESITAMOS QUE NULL Y SUS COMBINACIONES EN EXPRESIONES LÓGICAS SE EVALUEN A "ALGO", A LO QUE SEA, A NULL, POR EJEMPLO.
Me parece increíble que, al día de hoy, el Flash Player 11 (la última versión) y el plugin para todos* los navegadores se quede parado, sin emitir ningún mensaje de error, cuando se necesita evaluar una comparación con un valor null. No puedo creer que cosas como ésta sucedan hoy en día.
Enfin, paciencia. Ahora que ya lo sé, o mejor dicho, ahora que ya lo sabemos, podremos escribir mejores códigos.
* (he probado con las últimas versiones de Internet Explorer, Firefox y Google Chrome, y algunas otras versiones anteriores de éstos)
sábado, 2 de junio de 2012
jueves, 19 de enero de 2012
GENERADOR DE CONTRASEÑAS SEGURAS
Por supuesto que 2000, José Antonio, Almería, Madrid, tu nombre o el nombre de tu pueblo, o una palabra que exista en el diccionario, o una palabra corta que contenga solo letras minusculas son ejemplos de contraseñas inseguras. Eso ya lo sabemos. También sabemos que es inseguro usar la misma contraseña para todos los sitios. ¿De qué servirá que Google, Facebook o algun otro de los "grandes" tengan complejos sistemas para gestionar tus contraseñas, si luego usas la misma para otro sitio web que no dedica tanto esmero en mantenerlas a salvo? Como una cadena es tan fuerte como el más débil de sus eslabones, cualquier ataque que consiguiera romper la seguridad de ese sitio web débil conseguiría dar acceso al atacante a los otros sitios más fuertes.
Pero es que en los momentos actuales tenemos que recordar tantas contraseñas que nos tienta a usar siempre la misma, o a usar la misma con leves diferencias, como JOSEANTONIOFACEBOOK, JOSEANTONIOGMAIL, JOSEANTONIOCAJAMAR, ... Al final hay tantas que se torna difícil recordarlas todas.
Usar un programa para recordarlas... va a ser que no. Es como tener una caja fuerte para guardar todas las llaves. Pasaría a ser el primer lugar que intentarían atacarnos. Máxime si resulta que el programa es de fuente abierta. ¡Encima con pistas sobre cómo está hecha la caja fuerte!. (-Es que el código fuente lo que implementa es Rijndael, que incluye dentro de sus características el ser un método de cifrado de fuente pública ¿Qué más dá que dejemos ver el código? -Pues que los códigos fuente son pistas innecesarias como las que daba el entorno de desarrollo de fuente abierta de Flex para facilitar los ataques XSS del pasado mes de diciembre. A pesar de ello sigo recomendando el software libre y el Flashdevelop como entorno de desarrollo AS3 para Flash. El agujero de seguridad ya ha sido corregido en la versión actual.)
Para mí siempre será más práctico usar las iniciales de una frase que tenga que ver con el sitio web. Por ejemplo, FaceBook es importante para mi porque me permite leer lo que publica mi hermano que está en Barcelona. La contraseña podría ser MPLLQPMHQEEB, que son las iniciales de las palabras "Me Permite Leer Lo Que Publica Mi Hermano Que Está En Barcelona". Lo podemos combinar con un par de números, por ej. el ordinal de la ultima letra de la contraseña (2 para la B de Barcelona) y el ordinal de la primera letra del sitio web, (6 para la F de Facebook). Quedaría PLLQPMHQEEB26. Le ponemos un simbolo gráfico por medio, por ejemplo un dólar $, un guión - o un porciento %, y quedaría MPLLQPMHQEEB$-%26. Esto daría la friolera de 13 trillones de años para encontrar la clave usando la capacidad de cómputo de un ordenador personal, según dicen en http://howsecureismypassword.net/ .
Incluso la simple clave MPLLQPMHQEEB llevaría 12 años para encontrarla, y con solo añadirle un guión al final, MPLLQPMHQEEB-, llevaría 117 mil años.
Es importante la longitud porque JOSE- llevaría 0.46 segundos, pero JOSEANTONIO- llevaría 2000 años.
Es obvio que ésto son solo ejemplos, válidos claro está, siempre que sea fácil recordar la frase de la que se obtienen las iniciales. Espero vuestros comentarios.
Pero es que en los momentos actuales tenemos que recordar tantas contraseñas que nos tienta a usar siempre la misma, o a usar la misma con leves diferencias, como JOSEANTONIOFACEBOOK, JOSEANTONIOGMAIL, JOSEANTONIOCAJAMAR, ... Al final hay tantas que se torna difícil recordarlas todas.
Usar un programa para recordarlas... va a ser que no. Es como tener una caja fuerte para guardar todas las llaves. Pasaría a ser el primer lugar que intentarían atacarnos. Máxime si resulta que el programa es de fuente abierta. ¡Encima con pistas sobre cómo está hecha la caja fuerte!. (-Es que el código fuente lo que implementa es Rijndael, que incluye dentro de sus características el ser un método de cifrado de fuente pública ¿Qué más dá que dejemos ver el código? -Pues que los códigos fuente son pistas innecesarias como las que daba el entorno de desarrollo de fuente abierta de Flex para facilitar los ataques XSS del pasado mes de diciembre. A pesar de ello sigo recomendando el software libre y el Flashdevelop como entorno de desarrollo AS3 para Flash. El agujero de seguridad ya ha sido corregido en la versión actual.)
Para mí siempre será más práctico usar las iniciales de una frase que tenga que ver con el sitio web. Por ejemplo, FaceBook es importante para mi porque me permite leer lo que publica mi hermano que está en Barcelona. La contraseña podría ser MPLLQPMHQEEB, que son las iniciales de las palabras "Me Permite Leer Lo Que Publica Mi Hermano Que Está En Barcelona". Lo podemos combinar con un par de números, por ej. el ordinal de la ultima letra de la contraseña (2 para la B de Barcelona) y el ordinal de la primera letra del sitio web, (6 para la F de Facebook). Quedaría PLLQPMHQEEB26. Le ponemos un simbolo gráfico por medio, por ejemplo un dólar $, un guión - o un porciento %, y quedaría MPLLQPMHQEEB$-%26. Esto daría la friolera de 13 trillones de años para encontrar la clave usando la capacidad de cómputo de un ordenador personal, según dicen en http://howsecureismypassword.net/ .
Incluso la simple clave MPLLQPMHQEEB llevaría 12 años para encontrarla, y con solo añadirle un guión al final, MPLLQPMHQEEB-, llevaría 117 mil años.
Es importante la longitud porque JOSE- llevaría 0.46 segundos, pero JOSEANTONIO- llevaría 2000 años.
Es obvio que ésto son solo ejemplos, válidos claro está, siempre que sea fácil recordar la frase de la que se obtienen las iniciales. Espero vuestros comentarios.
miércoles, 4 de enero de 2012
ROOTKITS Y LA LUCHA DEL BIEN CONTRA EL MAL
Un rootkit es un programa que está oculto o enmascarado en el sistema, y puede acceder a partes de éste de un modo privilegiado de modo que es difícil de detectar y más difícil aún de eliminar mientras está en ejecución.
Hasta este momento nada he dicho sobre su naturaleza o sobre su comportamiento. Este recurso puede ser empleado para bien y para mal, como las armas, internet, los libros, las palabras y tantas otras facetas cotidianas.
Por ejemplo, lo ideal es que un programa antivirus permanente funcione como un rootkit benigno:
Para conseguir estar activo y en ejecución, un rootkit debe formar parte del sistema operativo como si se tratara de un servicio o módulo en ejecución del núcleo del sistema. Y claro, ésto solo se consigue arrancándose y poniéndose en ejecución con el propio sistema, es decir, arrancando con el nucleo del sistema. El núcleo es la primera parte que se carga en memoria cuando una partición formateada y activa toma el control del arranque de la máquina. Lo primero que se carga son los drivers o controladores de dispositivos, en particular el driver del disco duro. Si enmedio de alguno de esos códigos estuviera un trozo de código rootkit (infectado e insertado por algún medio vírico, troyano, gusano, etc...) este código permanecería activo y en ejecución todo el tiempo que la máquina estuviera encendida. Porque el driver del disco duro siempre está usándose. Si mientras que está activo se le intentara detectar o eliminar mediante otro programa, pongamos un antivirus, este propio antivirus tendría que usar el driver del disco duro para borrar el rootkit, pero el código del rootkit está enmedio del código del driver del disco duro, así que podría enmascararse para ser detectado, o aparentar su borrado. En efecto, el antivirus trata de ver el mundo con unas gafas pero las gafas le dejan ver todo menos lo importante: las propias gafas.
Hasta este momento nada he dicho sobre su naturaleza o sobre su comportamiento. Este recurso puede ser empleado para bien y para mal, como las armas, internet, los libros, las palabras y tantas otras facetas cotidianas.
Por ejemplo, lo ideal es que un programa antivirus permanente funcione como un rootkit benigno:
En general, no obstante, se asocia un rootkit con un comportamiento maligno.
- oculto, que no se pueda detectar, o sea, que los programas virus no puedan detectarlo
- enmascarado en el sistema, o sea, que el sistema siga funcionando y que el antivirus aparentemente sea como cualquier otro programa residente y activo del sistema
- que pueda acceder a partes del sistema de modo privilegiado, es decir, que se ejecute con más privilegios que cualquier programa virus, para que pueda imponerse a éstos, pararlos, borrarlos de memoria, borrarlos de disco duro, sin tener que pedir constantemente permisos para hacer estas tareas privilegiadas.
- que sea muy difícil de eliminar, para que los programas virus no puedan borrarlo de disco duro, parar su ejecución o borrarlo de la memoria.
Para conseguir estar activo y en ejecución, un rootkit debe formar parte del sistema operativo como si se tratara de un servicio o módulo en ejecución del núcleo del sistema. Y claro, ésto solo se consigue arrancándose y poniéndose en ejecución con el propio sistema, es decir, arrancando con el nucleo del sistema. El núcleo es la primera parte que se carga en memoria cuando una partición formateada y activa toma el control del arranque de la máquina. Lo primero que se carga son los drivers o controladores de dispositivos, en particular el driver del disco duro. Si enmedio de alguno de esos códigos estuviera un trozo de código rootkit (infectado e insertado por algún medio vírico, troyano, gusano, etc...) este código permanecería activo y en ejecución todo el tiempo que la máquina estuviera encendida. Porque el driver del disco duro siempre está usándose. Si mientras que está activo se le intentara detectar o eliminar mediante otro programa, pongamos un antivirus, este propio antivirus tendría que usar el driver del disco duro para borrar el rootkit, pero el código del rootkit está enmedio del código del driver del disco duro, así que podría enmascararse para ser detectado, o aparentar su borrado. En efecto, el antivirus trata de ver el mundo con unas gafas pero las gafas le dejan ver todo menos lo importante: las propias gafas.
jueves, 15 de diciembre de 2011
MENTIRAS EN INTERNET - HOAX
Nos conectamos a internet, usamos nuestro navegador favorito, nuestro buscador de contenidos favorito y tecleamos lo que buscamos. Como respuesta encontramos gran cantidad de información.
Todos esperamos que dicha información sea confiable, fidedigna, clara, concisa, que no cause confusión ni sea susceptible de ser malentendida. En definitiva, que sea VERDAD.
Buscamos la verdad, la necesitamos, es una característica humana que ya nos enganchó algún filósofo de la antigüedad. Tan deseable que su omisión aparece en los escritos bíblicos como un pecado que ofende a Dios. Pero en internet lo que se publica no obedece siempre al octavo mandamiento.
Circulan mediante correo electrónico ciertos bulos y falsedades que confunden y perjudican a todo el mundo que se los cree y los redistribuye, y benefician de algún modo a quienes los crean. Son los HOAX. Todos hemos recibido alguna vez alguno, y muchos hemos recibido y recibimos habitualmente muchos.
Aquí voy a daros unas recomendaciones, tan importantes como simples, para distinguir la verdad entre tantas mentiras:
- lo primero, un hoax nunca irá firmado. Será anónimo o identificará como origen a una organización, que puede ser que exista, pero no a una persona concreta y real de dicha organización.
- lo segundo, no llevará fecha. Así parecerá válido en cualquier momento.
- lo tercero, el correo electrónico pedirá que sea a su vez reenviado masivamente. Así se espera lograr su amplia difusión. Un hoax es como un virus, pero necesita nuestra colaboración para reproducirse y duplicarse. Un poco de observación nos facilitará la desinfección simplemente porque no lo reenviaremos.
- lo cuarto, no fiarse más de una noticia porque sean varias las páginas en donde aparece. Puede que sea un bulo que está consiguiendo difusión.
- lo quinto, informarse sobre los responsables de la publicación. Si la noticia la leemos en una página web, mirad si es un periódico o revista online, o por el contrario es un foro donde cualquiera puede participar sin siquiera identificarse.
Todos esperamos que dicha información sea confiable, fidedigna, clara, concisa, que no cause confusión ni sea susceptible de ser malentendida. En definitiva, que sea VERDAD.
Buscamos la verdad, la necesitamos, es una característica humana que ya nos enganchó algún filósofo de la antigüedad. Tan deseable que su omisión aparece en los escritos bíblicos como un pecado que ofende a Dios. Pero en internet lo que se publica no obedece siempre al octavo mandamiento.
Circulan mediante correo electrónico ciertos bulos y falsedades que confunden y perjudican a todo el mundo que se los cree y los redistribuye, y benefician de algún modo a quienes los crean. Son los HOAX. Todos hemos recibido alguna vez alguno, y muchos hemos recibido y recibimos habitualmente muchos.
Aquí voy a daros unas recomendaciones, tan importantes como simples, para distinguir la verdad entre tantas mentiras:
- lo primero, un hoax nunca irá firmado. Será anónimo o identificará como origen a una organización, que puede ser que exista, pero no a una persona concreta y real de dicha organización.
- lo segundo, no llevará fecha. Así parecerá válido en cualquier momento.
- lo tercero, el correo electrónico pedirá que sea a su vez reenviado masivamente. Así se espera lograr su amplia difusión. Un hoax es como un virus, pero necesita nuestra colaboración para reproducirse y duplicarse. Un poco de observación nos facilitará la desinfección simplemente porque no lo reenviaremos.
- lo cuarto, no fiarse más de una noticia porque sean varias las páginas en donde aparece. Puede que sea un bulo que está consiguiendo difusión.
- lo quinto, informarse sobre los responsables de la publicación. Si la noticia la leemos en una página web, mirad si es un periódico o revista online, o por el contrario es un foro donde cualquiera puede participar sin siquiera identificarse.
viernes, 4 de noviembre de 2011
¿ES LO MISMO UN CERTIFICADO DIGITAL QUE UNA FIRMA DIGITAL?
Simplificando todo lo que puedo, un certificado digital contiene dos claves, una clave pública y una privada, ambas relacionadas por un algoritmo de cálculo que no permite en tiempo computacionalmente aceptable el obtener la clave privada (información confidencial y sensible) a partir de la publica (información no sensible).
La clave publica se la puedes entregar a cualquier persona (si sabes cómo hacerlo, claro, de lo contrario no lo intentes). Si esta persona escribe un mensaje y lo cifra con tu clave publica, entonces sólo tú, utilizando tu clave privada, podrás descifrarlo y leerlo en claro. Esto le asegura a tu amigo que nadie más aparte de tí va a poder leer el mensaje. Esto también te asegura a tí que nadie ha podido leer ni cambiar el mensaje que te envió tu amigo.
La clave privada no debes entregársela a nadie (eso se generaliza, obviamente, a que tu certificado digital no debes entregárselo a nadie). Si le escribes un mensaje a tu amigo y lo cifras con tu clave privada, entonces cualquier persona incluyendo tu amigo, utilizando tu clave publica, que como es publica la puede tener cualquier persona incluyendo tu amigo, puede descifrar el mensaje y leerlo. Esto le asegura a cualquier lector que has sido tú, y solo tú, quien ha escrito ese mensaje. Como esta seguridad es como la de tu firma, al proceso de cifrar tu mensaje con tu clave privada se le llama Firmar Digitalmente y se dice que tu mensaje cifrado con tu clave privada contiene tu firma digital.
Más información en http://es.wikipedia.org/wiki/Certificado_digital
La clave publica se la puedes entregar a cualquier persona (si sabes cómo hacerlo, claro, de lo contrario no lo intentes). Si esta persona escribe un mensaje y lo cifra con tu clave publica, entonces sólo tú, utilizando tu clave privada, podrás descifrarlo y leerlo en claro. Esto le asegura a tu amigo que nadie más aparte de tí va a poder leer el mensaje. Esto también te asegura a tí que nadie ha podido leer ni cambiar el mensaje que te envió tu amigo.
La clave privada no debes entregársela a nadie (eso se generaliza, obviamente, a que tu certificado digital no debes entregárselo a nadie). Si le escribes un mensaje a tu amigo y lo cifras con tu clave privada, entonces cualquier persona incluyendo tu amigo, utilizando tu clave publica, que como es publica la puede tener cualquier persona incluyendo tu amigo, puede descifrar el mensaje y leerlo. Esto le asegura a cualquier lector que has sido tú, y solo tú, quien ha escrito ese mensaje. Como esta seguridad es como la de tu firma, al proceso de cifrar tu mensaje con tu clave privada se le llama Firmar Digitalmente y se dice que tu mensaje cifrado con tu clave privada contiene tu firma digital.
Más información en http://es.wikipedia.org/wiki/Certificado_digital
jueves, 3 de noviembre de 2011
DROPBOX (DISCO DURO REMOTO, 2 GB GRATIS)
http://www.dropbox.com
Esta aplicacion te genera un disco virtual de 2 Gb al que puedes acceder desde cualquier ordenador conectado a internet. Te registras con un correo electronico y una contraseña y allí puedes guardar lo que quieras. Puedes instalar el programa en multiples ordenadores, incluso en smartphones con el sistema operativo ANDROID como el Galaxy 3, y cualquier cambio desde cualquier equipo se sincroniza en todos ellos. Recuerda que la información está físicamente guardada en el servidor y en cada equipo PC. No ocurre así con la versión para android, que solo guarda en la scard los archivos a los que accedas realmente, aunque puedes visualizar el directorio completo. Enfin, es una opción de disco duro remoto muy práctica y aconsejable.
Esta aplicacion te genera un disco virtual de 2 Gb al que puedes acceder desde cualquier ordenador conectado a internet. Te registras con un correo electronico y una contraseña y allí puedes guardar lo que quieras. Puedes instalar el programa en multiples ordenadores, incluso en smartphones con el sistema operativo ANDROID como el Galaxy 3, y cualquier cambio desde cualquier equipo se sincroniza en todos ellos. Recuerda que la información está físicamente guardada en el servidor y en cada equipo PC. No ocurre así con la versión para android, que solo guarda en la scard los archivos a los que accedas realmente, aunque puedes visualizar el directorio completo. Enfin, es una opción de disco duro remoto muy práctica y aconsejable.
LA NUBE CONTRA LA FILOXERA (UN CUENTO DE ANTIVIRUS)
Hay muchos que todavía usan programas antivirus. Ya es bastante seguro tener internet en tu equipo de casa a través de un router ADSL con todos los puertos de entrada cerrados. Pero aun así es conveniente pasarle el antivirus a algún programa que nos descarguemos o que nos pasen en un CD o DVD. Esta conveniencia aumenta exponencialmente cuando el programa es "gratuito". Ya me entendéis. Tanto si es freeware descargado de una web privada particular, como si es software de pago descargado junto a un crack o un serial que no caduca porque estará crackeado, estamos metiendo en nuestro sistema una potencial amenaza. Pasarle el antivirus por lo menos nos permite quedarnos tranquilos y no tener que formatear el disco duro principal cada 3 meses y reinstalarlo todo. Que deberíamos. Yo a estos programas que tienen dudosa reputación los llamo "programillas". Así que aconsejo pasarle un antivirus a los programillas, antes de instalarlos y después.
Hay quienes todavía usan la económica técnica de descargarse un antivirus crackeado o con un serial que no caduca, o que caduca en el año 2480. Que viene bien saber que mi obsoleto equipo y sistema operativo van a estar defendidos en el 2480, no como mis huesos que estarán para esa fecha ya bastante desnutridos y deshidratados. Y con ese antivirus tendrán la osadía de comprobar si un programilla de nueva adquisición está desinfectado o no. jejejeje. Un programilla testeando a otro programilla... enfin ... tiene que haber de todo en esta viña del Señor, incluso filoxera.
Afortunadamente ya existe solución. Existen antivirus gratuitos, que no son cortafuegos, que funcionan solo cuando estás conectado a internet, que no son pesados en ejecución y no frenan tu sistema, y que se ejecutan, descargan y actualizan desde la nube. Son los cloud antivirus.
Un cloud antivirus que funciona bien es el Panda Cloud, que podéis descargar de http://www.cloudantivirus.com/es/ y usar gratuitamente hasta que Panda decida convertirlo en software de pago, cosa que dudo.
Hay quienes todavía usan la económica técnica de descargarse un antivirus crackeado o con un serial que no caduca, o que caduca en el año 2480. Que viene bien saber que mi obsoleto equipo y sistema operativo van a estar defendidos en el 2480, no como mis huesos que estarán para esa fecha ya bastante desnutridos y deshidratados. Y con ese antivirus tendrán la osadía de comprobar si un programilla de nueva adquisición está desinfectado o no. jejejeje. Un programilla testeando a otro programilla... enfin ... tiene que haber de todo en esta viña del Señor, incluso filoxera.
Afortunadamente ya existe solución. Existen antivirus gratuitos, que no son cortafuegos, que funcionan solo cuando estás conectado a internet, que no son pesados en ejecución y no frenan tu sistema, y que se ejecutan, descargan y actualizan desde la nube. Son los cloud antivirus.
Un cloud antivirus que funciona bien es el Panda Cloud, que podéis descargar de http://www.cloudantivirus.com/es/ y usar gratuitamente hasta que Panda decida convertirlo en software de pago, cosa que dudo.
Suscribirse a:
Entradas (Atom)