Brevemente, Twitter se puede describir por las funcionalidades que permite:

• es un pequeño blog
• son notas de 140 caracteres sobre lo que estás haciendo
• actualiza al minuto el estado en que te encuentras
• es un modo de mantenerte al tanto de lo que hacen tus colegas
• es fuente de noticias

De una forma muy sencilla se puede explicar como:

“Similar a una mensajería de texto— limitado a 140 caracteres — que se envía a todo el mundo que esté en tu lista de contactos. Se usa para comentar algo que estás haciendo o alguna noticia o algun link interesante.”

5 razones por las que usar Twitter

Aunque al principio no parece muy útil o interesante, a medida que se usa te vas enganchando y empieza a verse su utilidad, en lugar de llamar por telefono o mandar un mensaje.

1. Twitter ofrece un metodo rapido para difundir opiniones sobre algo que has visto.
2. Twiter te permite comunicarte y estar conectado con gente a la que quieres ver.
3. Twitter te permite estar al tanto de los pasos de tus colegas.
4. Twitter sirve como mensajería instantánea a todo un grupo.

Twitter para la gente de IT

El personal de IT puede usarlo para:

1. Publicar todo el material que no tiene lugar en un blog. Por ejemplo, links, noticias, eventos, … 
2. Mantener el contacto en línea con otros trabajadores y/o amigos 
3. Responder a los pensamientos y notas de los contactos.
4. Crear una verdadera comunidad de gente interesada en una determinada materia.

Aparte de estos usos Twitter es una herramienta online construida sobre RubyOnRails, que se ha enfrentado a problemas de escala que le ha dejado sin servicio en diversas ocasiones. Se ha escrito bastante al respecto: Twitter At Scale: Will It Work? (de TechCrunch) o en el propio blog de Twitter.

Más información sobre Twitter:

• The secret to Twitter (Scobleizer)
• The several habits of wildly successful Twitter users (Slacker Manager)
• Perspective on Twitter and its brethren (CNET)
• In Twitter’s Scoble problem, a business model (GigaOm)
• Twitter, again (ZDNet)
• 8 cool Twitter tools (Wired)
• Five Twitter tools we love (GigaOm)
• Twitter Valued at $80 Million (WebGuild)
• The three business models that make Twitter a billion-dollar business (Calacanis.com)
• End Of Speculation: The Real Twitter Usage Numbers (TechCrunch)

Compártelo

Me lo habían comentado la semana pasada y ahora leo esta información que distribuye Hispasec acerca de la falsa seguridad que nos ofrece ver el candadito en la barra de estado del navegador (en la parte inferior)

Al parecer, el común de los mortales cuando ve dicho candadito (que refleja una conexión SSL con el sitio web) considera que el sitio web ya es seguro. Pues bien, los phishers está incluyendo el candadito para que confiemos. Así que cuidado a los navegantes. No vale con ver el candado, hay que comprobar su contenido.

¿Que es y para qué sirve el SSL?

SSL (Secure Sockets Layer) o su equivalente normalizado TSL, es un protocolo que ofrece conexiones seguras. De manera que combinado con HTTP, supone que se navegue bajo el protocolo HTTPS.

Pero ¿por qué es un “canal seguro”? SSL cumple dos funciones fundamentales: cifra el canal y autentica a las partes de la comunicación. De modo que al cifrar, nadie más tiene acceso al contenido que circula y al autenticar al servidor nos dice que ese servidor es quien dice ser. ( para esto ultimo se apoya en la criptografía de clave pública, que garantiza que el servidor al que nos conectamos tiene la clave privada que corresponde con la pública que dice tener).

Para la parte de autenticación, los servidores con SSL activo ofrecen al navegador un certificado para que lo compruebe, que es como una especie de DNI. En él, una autoridad (Verisign, Godaddy….) certifica con su firma que la clave pública realmente pertenece al sitio. Para conseguir un certificado, el dueño del servidor ha generado dos claves, y la pública la ha enviado a estas autoridades certificadoras para que la firmen, junto con otras pruebas de identidad como pueden ser documentos de empresa u otros, dependiendo del criterio del certificador (y de lo que se quiera pagar). Cuando un usuario se conecta a la página, de forma transparente el navegador comprueba que el certificado es correcto. Siguiendo con la analogía del DNI, sólo el Estado (las autoridades certificadoras) puede certificar (firmar critográficamente) que la fotografía y los datos (la clave pública) pertenecen a una persona (servidor web de esa empresa).

¿SSL es efectivo contra el phishing?

Idealmente, autenticar al servidor es la solución contra el phishing, pero no es así. El usuario medio a veces comprueba que hay un candadito, o una conexión HTTPS al visitar una web. Con esta mínima comprobación, comprende que está sobre un sitio seguro (se le ha repetido hasta la saciedad) y confía en la página en la que va a introducir sus datos. Muy pocos confirman que el certificado es válido. Para ello habría que hacer doble click sobre el candado y comprobar la ruta de certificación, que debe culminar en una autoridad certificadora que ha firmado el certificado. Pero, hoy en día, incluso si el certificado es válido, es posible que no se esté sobre la página que se desea. Para evitar esto, el usuario debería interpretar además qué información está ofreciendo esa cadena de certificación y a qué datos está asociado. El conjunto de usuarios que llega a este punto es mínimo.

Lo que los phishers están haciendo cada vez con más frecuencia, es comprar certificados que sólo certifican que el dominio pertenece a quien lo compró. La autoridad certificadora no pide más documentos ni pruebas, sólo que el dominio te pertenece. Los hay por 20 euros. Empresas como Godaddy certifican que el dominio te pertenece, y con ello el navegador aparecerá con el candadito y bajo el protocolo HTTPS. Efectivamente, la información irá sobre un canal seguro, y el servidor será el del auténtico phisher, que ha podido comprar un dominio con un nombre parecido al legítimo, o añadir en la URL dominios de tercer nivel para confundir.

El SSL se ha convertido en algo tan popular y accesible que ya no es exclusivo de los sitios seguros, y lo que con tanto esfuerzo se ha conseguido inculcar en el subconsciente del usuario: “si tiene candadito, es seguro”, se ha vuelto en contra. Por tanto, los phishings bajo conexión segura siguen aumentando con éxito.

Extended Validation Certificates al rescate

Los nuevos EVCerts, Extended Validation Certificates, han venido al rescate, supliendo las deficiencias de los certificados baratos y comunes. Para empezar certificarse es bastante más caro. Esto resulta en una primera criba que puede resultar incómoda para empresas pequeñas. Técnicamente los certificados que cumplan el Extended Validation SSL autentican al servidor (como los certificados tradicionales), pero a efectos prácticos permiten que el navegador que visita la página que tiene estos certificados, muestre de forma mucho más clara que la página es efectivamente la que se quiere visitar, haciendo hincapié en la vertiente de autenticación del SSL. Sería como si el navegador hiciera por nosotros la operación de pulsar sobre el candado cuando nos conectamos por SSL a una página, y verificara la ruta de certificación, el domino válido… todo de forma automática y visual. Si el servidor es seguro, se muestra en la barra de direcciones un color verde. Un usuario puede así de un solo vistazo dar por seguro que el servidor al que se está conectando es el correcto, y que no se está usando un certificado válido, pero falso.

Por ahora, sólo Internet Explorer 7 soporta de serie la correcta interpretación de certificados EV SSL (para que funcione la comprobación de estos certificados, debe estar activada la tecnología antiphishing, van de la mano y hay que usarlas juntas). Para que Firefox 2 lo soporte necesita un plugin y Opera ya lo implementa en su versión 9.50.

Cómo saltarse una conexión segura.

Las técnicas que usan los troyanos más difundidos hoy día, pueden invalidar la recomendación de la comprobación de la conexión segura. De hecho, los troyanos permiten la conexión a la página real del banco, pero pueden estar robando la información entre bambalinas gracias a diferentes técnicas.

• Delephant

Consiste en la recreación de la zona de introducción de contraseñas en una página de banca online. El troyano superpone una pequeña aplicación en la zona  el navegador que pide las contraseñas, ajustando colores y estilo de la página en general. De esta forma el usuario no observa en principio diferencia alguna entre la página original (que está visitando y mantiene  abierta) y el programa superpuesto que encaja perfectamente en la área de las contraseñas. Además, el código está adaptado para que, en caso de que la página sea movida o redimensionada, el programa realice cálculos de su posición y se ajuste perfectamente al lugar asignado. La víctima está en realidad introduciendo las contraseñas en una aplicación independiente, superpuesta sobre la página del banco, que obviamente al ser la legítima, pasa cualquier inspección de conexión segura.

• Captura de imágenes y vídeos

Ante la llegada de los teclados virtuales en la banca online como método para evitar los registradores de teclas, el malware se adaptó con estos métodos de captura de credenciales. Consiste en la  activación de un sistema de captura en forma de imágenes, de un sector de pantalla alrededor del puntero de ratón cuando éste pulsa sobre un teclado virtual. Con este método se consigue eludir el teclado virtual, pues el atacante obtiene imágenes de cada tecla del teclado virtual pulsada, en forma de miniatura o captura de pantalla. Una vez más, la conexión segura no impide el robo de información.

• Formgrabbers

Consiste básicamente en la obtención de los datos introducidos en un formulario, y puede ser llevada a cabo a través de varios métodos, como Browser Helper Objects, interfaces COM o enganchándose (hooking) a APIs del sistema. Con estos métodos el usuario se conecta a la página legítima, donde lógicamente aparecerá el candadito y la conexión será cifrada y perfectamente normal. El troyano sin embargo inspeccionará el flujo de datos y desviará a otro servidor los que correspondan con las contraseñas que les interese.

Existen otras muchas técnicas de robo de información basadas en troyanos. Los usuarios deben ser conscientes de que la seguridad SSL, el candado y la autenticación del servidor son condiciones imprescindibles a la hora de utilizar la banca online, y que deben ser comprobadas en cada ocasión. Pero también deben tener claro que esto no garantiza que, si el sistema está troyanizado, los datos no sean capturados.

Fuente: Hispasec.com

Compártelo

Todavía recuerdo cuando instale Linux por primera vez, sino recuerdo mal en 1996. Como todo lo que haces por primera vez, los resultados no fueron del todo los deseados, sobre todo cuando la instalación es en modo texto y en base a responder preguntas con Yes, No, Don’t know. Sólo tenía un ordenador así que tuve que instalarlo junto con Windows, sin mucho esfuerzo logre arrancar la shell, pero el interfaz gráfico fue otro cantar. Los daños colaterales los cause con fdisk, perdí parte del contenido de una de mis particiones de Windows y mis preciadas partidas de Civilization se perdieron para siempre.

A día de hoy las cosas son mucho más sencillas y es normal (al menos en mi caso) que alguien te comente que se ha instalado Ubuntu (debe ir por modas, hace años era Redhat, luego Suse…). Después de los años, sigue siendo común instalar Linux en un ordenador que ya tiene Windows. Después de este paso, siempre surge una duda:

¿Por qué puedo ver mis archivos de Windows desde Linux y desde Windows no puedo ver los archivos de Linux?

La respuesta es muy sencilla, Microsoft Windows no tiene soporte para particiones ext2 y ext3, que son los formatos estándar utilizados por Linux para almacenar la información en un disco duro.

Solución

John Newbigin es el creador de Explore2fs, una aplicación para Windows que nos permite explorar unidades ext2 y ext3 de Linux (ext3 sólo en formato lectura).

Sería perfecta si se integrará con el explorador de Windows, pero no es el caso. La parte buena es que no necesita ningún tipo de instalación, sólo es necesario descargar el fichero .zip con el binario y ejecutar la aplicación.

Por último, me llama la atención que la aplicación está programada en Delphi, simplemente a mi me trae viejos recuerdos.

Compártelo

Confianza Online es un organismo, avalado por el Ministerio de Industria, que ha desarrollado un código ético para la autoregulación del comercio electrónico en España.

Con ello se pretende desarrollar un sello de calidad que impulse el sector del comercio electrónico, a través del fomento de la confianza de los consumidores en este medio para realizar sus compras.

El código recoge medidas tanto en comunicaciones comerciales como comercio electrónico con consumidores, sin olvidar la necesaria atención que merece la protección de datos personales en el desarrollo de ambas actividades.

En la propia web se recoge las empresas que se adhieren a este código.

Recientemente se han aprobado los nuevos Estatutos, la nueva estructura y se ha acordado la cúpula directiva. La nueva Asociación la componen, además de Autocontrol, AECEM y Red.es (Ministerio de Industria), los Consejos Audiovisuales de Cataluña, Andalucía, Navarra y Andorra. La Presidencia ha sido asumida por Gonzalo Díe (Red.es), y las Vicepresidencias por Martí Manent (AECEM), Santiago Ramentol (Consejo Audiovisual de Cataluña) y José Domingo Gómez Castallo (Autocontrol).

Enlaces:

Código ético

Compártelo

Este es uno de esos post para no olvidar las cosas que vamos aprendiendo por el camino.

Desconozco el motivo/causa de los errores de Microsoft Office 2003, entre ellos, hay algunos cuya solución es sencilla y sin embargo puede traernos verdaderos dolores de cabeza. Por ejemplo, el siguiente error con el fichero SKU011.CAB:

Síntomas:

1. No podemos abrir Excel,
2. Al abrir Excel se lanza la instalación de nuevos componentes.
3. Muestra un mensaje de error: Falta el fichero SKU011.CAB.
4. Intentamos introducir el CD de instalación, pero tampoco encuentra el dichoso fichero.

Solución:

1. Inicio -> Ejecutar: regedit
2. Nos abre el editor del registro de Windows (mucho cuidado con lo que cambiáis aquí)
3. Desplegar el árbol de keys siguiente
   • [HKEY_LOCAL_MACHINE] -> [SOFTWARE] -> [Microsoft] -> [Office] -> [11.0] -> [Delivery] -> {90000409-6000-11D3-8CFE-0150048383C9}
   • Nota: El valor {90000409-6000-11D3-8CFE-0150048383C9} puede ser diferente.
4. Cambiar el valor de [CDCache] a [0].

Fácil y sencillo, ahora ya debería funcionar

Encontré la solución en el blog de Technology-M. Un blog realmente lleno de soluciones a pequeños problemas.

Compártelo