En el día de ayer (27 de febrero), como es costumbre en nuestro país, el presidente se dirigió a la nación para decirle a todo el mundo lo que ha hecho y lo que piensa hacer.
Pero ayer note algo, que en su momento note también con el ex - presidente Hipolito Mejia, todos los porcentajes y estadísticas presentadas (igual que en las 2 rendiciones de cuentas anteriores) son con relación al año 2004; entonces yo pregunto ¿De que hablo el presidente? ¿Cuidado si nos han leído el mismo discurso unas 3 veces?
Esta bien que en el primer año de gestión tu te compares con tu anterior, pero ya para un segundo año debemos ver que se ha hecho desde el año pasado a este, tal vez como no soy político este hablando basura, pero si ya estamos en el 2007 ¿para que usted me dice que a crecido la economía en un “X%” con relación al 2004? Dígame cuanto creció del 2005 al 2006 que es el dato que estamos esperando.
28 de febrero de 2007
22 de febrero de 2007
¿Se puede confiar en el UAC de Windows Vista?
Ollie Whitehouse de Symantec ha descubierto una forma de burlar el código de colores que utiliza UAC (User Account Control) de Windows Vista. Esta nueva funcionalidad en Vista, destinada a reforzar el control de los privilegios de los usuarios y por tanto las aplicaciones que ejecutan, ha sido duramente criticada en las últimas semanas.
El sistema de ventanas de aviso que utiliza UAC está basado en la toma de decisiones según la firma del ejecutable, reforzada con un código de colores. Si Vista pide permiso para ejecutar en modo privilegiado una aplicación cuyo firmante está bloqueado, aparecerá un aviso en color rojo alertando sobre la potencial peligrosidad de la ejecución. Si la aplicación está firmada por Microsoft, el aviso aparece en un tono verde. Si es de terceros en un tono gris neutro y si la aplicación no está firmada por nadie aparece en un amarillo chillón. Esto, visualmente, ayuda al usuario a identificar de forma rápida la firma de una aplicación que pretende elevar privilegios y supone una cierta garantía de que la aplicación ha pasado unos mínimos controles (la firma no indica nada sobre su actividad pero sí sobre su integridad y autoría). En definitiva, el usuario podrá decidir mejor quién quiere elevar privilegios en Vista.
Lo que ha descubierto Ollie Whitehouse es que ayudándose del ejecutable RunLegacyCPLElevated.exe (y posiblemente otros en Windows Vista) se podría hacer aparecer una alerta "verde" ante cualquier programa, lo que indicaría visualmente (y de forma errónea) al usuario que lo que pretende elevar privilegios está firmado por Microsoft.
RunLegacyCPLElevated.exe tiene la función de proporcionar compatibilidad hacia atrás para los antiguos plug-in de Windows Control Panel (archivos CPL) para que funcionen con privilegios de administrador. Este programa admite una librería (DLL) arbitraria como parámetro. Según Whitehouse, el siguiente escenario es posible:
* Un usuario sin privilegios se infecta por código dañino que es ejecutado también sin privilegios.
* Este código descarga un fichero CPL especialmente manipulado en cualquier parte del disco donde este usuario pueda escribir.
* El código llama a RunLegacyCPLElevated.exe con el archivo CPL especialmente manipulado como parámetro.
* Se le presenta al usuario la advertencia (verde) de que intenta ejecutar código firmado por Microsoft. Lo admite y el código dañino obtiene privilegios de administrador. La confusión se basa en que mientras que RunLegacyCPLElevated.exe sí que es una aplicación firmada por Microsoft, la librería que carga y ejecuta por parámetros puede no estar firmada e incluso localizarse en un lugar no confiable del sistema operativo. Con esta "técnica" también se puede burlar la directiva "User Account Control: Sólo elevar privilegios de ejecutables que estén firmados y validados".
La respuesta a esto por parte de Microsoft ha sido que según sus "Security Best Practice Guidance for Consumers", es necesario recordar que los cuadros de diálogo UAC no suponen una frontera de seguridad, no ofrecen seguridad directa, sino que dan la oportunidad de verificar una acción en el sistema antes de que ocurra.
Whitehouse advierte que si la información presentada por la UAC no es de fiar, se presenta un verdadero dilema. Según él, Microsoft habla de UAC y "confianza" y también de tomar decisiones por parte del usuario antes de que sea tarde, lo que se convierte en el problema del huevo y la gallina. Confiar en la información de la UAC para tomar una decisión o tomar una decisión basada en una falsa sensación de "confianza" ante una advertencia de UAC.
Aunque para Microsoft no suponga una "vulnerabilidad" en sí misma, esta técnica descrita por Whitehouse será quizás una de las primeras "fórmulas" que aparecerán para burlar los nuevos sistemas de seguridad y prevención introducidos en Windows Vista, que si bien mejoran la seguridad, suponen quizás un todavía tímido acercamiento a un serio problema.
Windows es víctima una vez más de su antigua filosofía. Hasta 2001 con XP no implementó un sistema multiusuario real en su sistema operativo de sobremesa. Aun así, esta propiedad fue tristemente desaprovechada, incentivando siempre para las tareas cotidianas "la cultura del administrador por defecto" (por parte de los programadores y del propio sistema al incluir la cuenta inicial en el grupo de administradores). Esta "cultura" que no se preocupa por los permisos en la máquina ha calado demasiado hondo en usuarios Windows, y superar ahora ese "obstáculo" no va a ser fácil ni para sus clientes ni para la propia Microsoft. Mucho menos con tácticas que inducen a confusión de por medio.
Más información:
An Example of Why UAC Prompts in Vista Can’t Always Be Trusted
and
Understanding and Configuring User Account Control in Windows Vista
El sistema de ventanas de aviso que utiliza UAC está basado en la toma de decisiones según la firma del ejecutable, reforzada con un código de colores. Si Vista pide permiso para ejecutar en modo privilegiado una aplicación cuyo firmante está bloqueado, aparecerá un aviso en color rojo alertando sobre la potencial peligrosidad de la ejecución. Si la aplicación está firmada por Microsoft, el aviso aparece en un tono verde. Si es de terceros en un tono gris neutro y si la aplicación no está firmada por nadie aparece en un amarillo chillón. Esto, visualmente, ayuda al usuario a identificar de forma rápida la firma de una aplicación que pretende elevar privilegios y supone una cierta garantía de que la aplicación ha pasado unos mínimos controles (la firma no indica nada sobre su actividad pero sí sobre su integridad y autoría). En definitiva, el usuario podrá decidir mejor quién quiere elevar privilegios en Vista.
Lo que ha descubierto Ollie Whitehouse es que ayudándose del ejecutable RunLegacyCPLElevated.exe (y posiblemente otros en Windows Vista) se podría hacer aparecer una alerta "verde" ante cualquier programa, lo que indicaría visualmente (y de forma errónea) al usuario que lo que pretende elevar privilegios está firmado por Microsoft.
RunLegacyCPLElevated.exe tiene la función de proporcionar compatibilidad hacia atrás para los antiguos plug-in de Windows Control Panel (archivos CPL) para que funcionen con privilegios de administrador. Este programa admite una librería (DLL) arbitraria como parámetro. Según Whitehouse, el siguiente escenario es posible:
* Un usuario sin privilegios se infecta por código dañino que es ejecutado también sin privilegios.
* Este código descarga un fichero CPL especialmente manipulado en cualquier parte del disco donde este usuario pueda escribir.
* El código llama a RunLegacyCPLElevated.exe con el archivo CPL especialmente manipulado como parámetro.
* Se le presenta al usuario la advertencia (verde) de que intenta ejecutar código firmado por Microsoft. Lo admite y el código dañino obtiene privilegios de administrador. La confusión se basa en que mientras que RunLegacyCPLElevated.exe sí que es una aplicación firmada por Microsoft, la librería que carga y ejecuta por parámetros puede no estar firmada e incluso localizarse en un lugar no confiable del sistema operativo. Con esta "técnica" también se puede burlar la directiva "User Account Control: Sólo elevar privilegios de ejecutables que estén firmados y validados".
La respuesta a esto por parte de Microsoft ha sido que según sus "Security Best Practice Guidance for Consumers", es necesario recordar que los cuadros de diálogo UAC no suponen una frontera de seguridad, no ofrecen seguridad directa, sino que dan la oportunidad de verificar una acción en el sistema antes de que ocurra.
Whitehouse advierte que si la información presentada por la UAC no es de fiar, se presenta un verdadero dilema. Según él, Microsoft habla de UAC y "confianza" y también de tomar decisiones por parte del usuario antes de que sea tarde, lo que se convierte en el problema del huevo y la gallina. Confiar en la información de la UAC para tomar una decisión o tomar una decisión basada en una falsa sensación de "confianza" ante una advertencia de UAC.
Aunque para Microsoft no suponga una "vulnerabilidad" en sí misma, esta técnica descrita por Whitehouse será quizás una de las primeras "fórmulas" que aparecerán para burlar los nuevos sistemas de seguridad y prevención introducidos en Windows Vista, que si bien mejoran la seguridad, suponen quizás un todavía tímido acercamiento a un serio problema.
Windows es víctima una vez más de su antigua filosofía. Hasta 2001 con XP no implementó un sistema multiusuario real en su sistema operativo de sobremesa. Aun así, esta propiedad fue tristemente desaprovechada, incentivando siempre para las tareas cotidianas "la cultura del administrador por defecto" (por parte de los programadores y del propio sistema al incluir la cuenta inicial en el grupo de administradores). Esta "cultura" que no se preocupa por los permisos en la máquina ha calado demasiado hondo en usuarios Windows, y superar ahora ese "obstáculo" no va a ser fácil ni para sus clientes ni para la propia Microsoft. Mucho menos con tácticas que inducen a confusión de por medio.
Más información:
An Example of Why UAC Prompts in Vista Can’t Always Be Trusted
and
Understanding and Configuring User Account Control in Windows Vista
19 de febrero de 2007
que pena que esta puede en algun momento pasar en nuestra realidad
Navegando por la inmensa blogosfera me tope con este post "un chiste demoledoramente realista", puro DOMINICANO... recomiendo leerlo.
16 de febrero de 2007
Porque nuestros periodistas no hablan de esto?
Un día como hoy muere asesinado uno de los más grandes dominicanos, uno que podría ser mencionado como otro padre de la Dominicanidad ese es Francisco Alberto Caamaño Deñó.
No se porque los periodistas no abundan sobre este tema en un día como hoy, debería ser como un 21 de Mayo, día de la muerte de Gregorio Luperón, donde los recintos militares sacan banderas y a los estudiantes se les exige investigar sobre la restauración y la vida del mismo o será que como fue nuestro MAL llamado “PADRE DE LA DEMOCRACIA” Joaquin Balaguer quien le da muerte los periodistas no quieren hablar del tema, eso pasa también con el día de la muerte de Amin Abel que solo los estudiantes de la UASD lo recuerdan y no todos como debería ser.
Algún periodista que me explique.
No se porque los periodistas no abundan sobre este tema en un día como hoy, debería ser como un 21 de Mayo, día de la muerte de Gregorio Luperón, donde los recintos militares sacan banderas y a los estudiantes se les exige investigar sobre la restauración y la vida del mismo o será que como fue nuestro MAL llamado “PADRE DE LA DEMOCRACIA” Joaquin Balaguer quien le da muerte los periodistas no quieren hablar del tema, eso pasa también con el día de la muerte de Amin Abel que solo los estudiantes de la UASD lo recuerdan y no todos como debería ser.
Algún periodista que me explique.
14 de febrero de 2007
Observación con calma
Si usted pensó que la gente que instaló un cuarto lleno de dominós para luego tumbarlos era asombroso... aun no ha visto nada.
No hay manipulación gráfica por computadora ni trucos digitales en estas imágenes. Todo lo que usted va a ver sucedió en tiempo real. La grabación requirió de 606 tomas.
En las primeras 605 tomas siempre hubo algo, usualmente de menor importancia, que no funcionó. El equipo de grabación tuvo que instalar todo el conjunto una y otra vez y pasó semanas realizando tomas noche y día.
Para el momento de finalizar, estaban listos para cambiar de profesión! Esta grabación costó nueve punto siete (9.7) millones de dólares y tardo tres meses para terminarse, incluyendo la ingeniería de planificación completa de la secuencia.
Además, la duración es de dos minutos, de manera que cada vez que Honda transmite el comercial en la televisión británica y europea, estos ganan suficiente dinero como para mantenernos a cualquiera de nosotros por el resto de nuestra vida.
Sin embargo, este anuncio se está convirtiendo en el más descargado en la historia de Internet.
Los ejecutivos de Honda piensan que el anuncio pronto se pagará a sí mismo simplemente gracias a estas "exhibiciones libres".
(Honda no está pagando ni un centavo para hacer que usted mire este anuncio!)
Cuando el anuncio fue mostrado a los ejecutivos "senior", estos lo patrocinaron inmediatamente sin ninguna vacilación -incluyendo los costos.
Existen seis y solamente seis Honda Accord fabricados totalmente a mano en el mundo. Para mayor horror de los ingenieros de Honda, el equipo de grabación desensambló dos de esos Accord para poder realizar este anuncio.
Todo lo que usted ve en la secuencia (aparte de las paredes, del piso, de la rampa y el Honda Accord sin desarmar) son partes de esos dos automóviles. La voz de la narración es de Garrison Keillor.
Para ver este comercial completo, entre en:
http://www.albinoblacksheep.com/flash/honda.php
No hay manipulación gráfica por computadora ni trucos digitales en estas imágenes. Todo lo que usted va a ver sucedió en tiempo real. La grabación requirió de 606 tomas.
En las primeras 605 tomas siempre hubo algo, usualmente de menor importancia, que no funcionó. El equipo de grabación tuvo que instalar todo el conjunto una y otra vez y pasó semanas realizando tomas noche y día.
Para el momento de finalizar, estaban listos para cambiar de profesión! Esta grabación costó nueve punto siete (9.7) millones de dólares y tardo tres meses para terminarse, incluyendo la ingeniería de planificación completa de la secuencia.
Además, la duración es de dos minutos, de manera que cada vez que Honda transmite el comercial en la televisión británica y europea, estos ganan suficiente dinero como para mantenernos a cualquiera de nosotros por el resto de nuestra vida.
Sin embargo, este anuncio se está convirtiendo en el más descargado en la historia de Internet.
Los ejecutivos de Honda piensan que el anuncio pronto se pagará a sí mismo simplemente gracias a estas "exhibiciones libres".
(Honda no está pagando ni un centavo para hacer que usted mire este anuncio!)
Cuando el anuncio fue mostrado a los ejecutivos "senior", estos lo patrocinaron inmediatamente sin ninguna vacilación -incluyendo los costos.
Existen seis y solamente seis Honda Accord fabricados totalmente a mano en el mundo. Para mayor horror de los ingenieros de Honda, el equipo de grabación desensambló dos de esos Accord para poder realizar este anuncio.
Todo lo que usted ve en la secuencia (aparte de las paredes, del piso, de la rampa y el Honda Accord sin desarmar) son partes de esos dos automóviles. La voz de la narración es de Garrison Keillor.
Para ver este comercial completo, entre en:
http://www.albinoblacksheep.com/flash/honda.php
7 de febrero de 2007
Kaspersky reconoce que no puede hacer milagros
En unas honestas declaraciones, Natalya Kaspersky, consejera delegada de la compañía especializada en sistemas antivirus, reconoce que necesita de la ayuda de las fuerzas del orden internacionales para proteger a los usuarios. Según ellos, los tiempos en los que se podía controlar la situación con los antivirus pertenecen al pasado.
ComputerWorld recoge unas sorprendentes declaraciones de una de las compañías antivirus más reconocidas mundialmente. En ellas piden la cooperación de la policía internacional: "No tenemos las soluciones. Pensamos que era posible realizar antivirus y eso ofreció una protección adecuada. Ya no es así". "Solucionar el problema está más allá de las capacidades de los fabricantes de productos de seguridad en solitario. Se necesitan esfuerzos coordinados entre los países".
Desde Kaspersky también reconocen que están abrumados. "La compañía tiene a 50 ingenieros analizando el nuevo malware y buscando formas de bloquearlo, pero con 200 nuevas muestras por día, y en aumento, el trabajo se hace arduo". "Ninguna compañía antivirus puede venir y decirte que puede manejarlo todo. Consideramos responsable hacerlo saber a la gente de forma clara."
El "Center for Strategic and International Studies" (que asesora a gobiernos en cuestión de seguridad), y una comisión federal de comercio se unirán a Kaspersky para hacer una llamada a las fuerzas del orden, para que se involucren más en la lucha contra los creadores y distribuidores de malware. Intentarán llega a acuerdos internacionales para crear las condiciones adecuadas que permitan perseguir a los criminales a través de las fronteras".
Reconocen que el éxito de la policía en este sentido ha sido limitado, con apenas 100 detenciones por año. "Sólo los estúpidos se dejan coger. A los listos es muy complicado encontrarles", afirma Kaspersky. Por último, Kaspersky añade: "El software destinado a bloquear el malware es efectivo, pero no puede parar todos los ataques. Somos como la policía, nos perdemos muchos casos pero hacemos lo que podemos. Intentamos prevenir, pero no podemos hacer milagros".
Kaspersky asume así la nueva situación vírica mundial de forma honesta y responsable.
Más información:
Call the cops: We're not winning against cybercriminals
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9010041
ComputerWorld recoge unas sorprendentes declaraciones de una de las compañías antivirus más reconocidas mundialmente. En ellas piden la cooperación de la policía internacional: "No tenemos las soluciones. Pensamos que era posible realizar antivirus y eso ofreció una protección adecuada. Ya no es así". "Solucionar el problema está más allá de las capacidades de los fabricantes de productos de seguridad en solitario. Se necesitan esfuerzos coordinados entre los países".
Desde Kaspersky también reconocen que están abrumados. "La compañía tiene a 50 ingenieros analizando el nuevo malware y buscando formas de bloquearlo, pero con 200 nuevas muestras por día, y en aumento, el trabajo se hace arduo". "Ninguna compañía antivirus puede venir y decirte que puede manejarlo todo. Consideramos responsable hacerlo saber a la gente de forma clara."
El "Center for Strategic and International Studies" (que asesora a gobiernos en cuestión de seguridad), y una comisión federal de comercio se unirán a Kaspersky para hacer una llamada a las fuerzas del orden, para que se involucren más en la lucha contra los creadores y distribuidores de malware. Intentarán llega a acuerdos internacionales para crear las condiciones adecuadas que permitan perseguir a los criminales a través de las fronteras".
Reconocen que el éxito de la policía en este sentido ha sido limitado, con apenas 100 detenciones por año. "Sólo los estúpidos se dejan coger. A los listos es muy complicado encontrarles", afirma Kaspersky. Por último, Kaspersky añade: "El software destinado a bloquear el malware es efectivo, pero no puede parar todos los ataques. Somos como la policía, nos perdemos muchos casos pero hacemos lo que podemos. Intentamos prevenir, pero no podemos hacer milagros".
Kaspersky asume así la nueva situación vírica mundial de forma honesta y responsable.
Más información:
Call the cops: We're not winning against cybercriminals
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9010041
Suscribirse a:
Entradas (Atom)
