lunes, 16 de junio de 2008

Estudio, mente y paciencia. ¡¡¡Si Funciona!!!

Alien [blackhat4all@gmail.com]

En la edición 37 de BlackHat publiqué un artículo el cual titulé: “Estudio, mente y paciencia”. El mismo trataba de resumir en pocas palabras los pasos que se deben dar para lograr echar por tierra la seguridad de un sistema operativo, ya sea lograr acceder al mismo sin la debida autorización o ya estando dentro, lograr adquirir los privilegios necesarios como para efectuar tareas que por lo general no se nos están permitidas.

Luego de la publicación ya oficial del artículo, varias amistades me lo criticaron, argumentando cosas como:
“es fácil decirlo, lo difícil es hacerlo”
“ojalá todo fuera como lo dices”

Estos comentarios bastaron para que, desde ese mismo instante, hiciera lo imposible para demostrar cuan verídico y real podía ser el artículo que había escrito, así que desde ese mismo instante me puse en función de buscar alguna debilidad que me permitiera acceder a Windows sin saber la contraseña de ninguno de los usuarios registrados.

Para lograr esta tarea lo primero que debía hacer es acogerme a los pasos que había citado en el artículo y en segundo lugar demostrar que lo logrado no es obra de ningún software, sino de muchas y muchas horas de estudio, un fuerte e intenso trabajo mental y una infinita paciencia; así que programas como el CIA o cualquier otro documento con trucos para desarrollar esta tarea resultarían in útiles para mi.

Como dije en aquel artículo, basarse en experiencias anteriores, ya sean propias o no, puede ser de gran ayuda, puesto que nos abre la mente y nos prepara para cosas que quizás de otra forma ni llegaremos a conocer. De esta forma tomé de Windows 98 la debilidad en la caja de diálogos del inicio de sesión y del Windows 2000 lo vulnerable que se volvía al permitirle a los usuarios acceder al archivo system.ini.

Con estas dos cosas como base me sentía un poco más preparado. Pero aún así el tipo de sistema al que trataba de acceder es totalmente distinto desde el punto de vista de seguridad. Para empezar Windows XP carece de un System.ini tan “fácil” como es el caso de Windows 2000, y pensar que con solo presionar Esc me saltaría la contraseña sería casi como mentarle la madre a Microsoft, así que esta variante ni la intenté. (Aunque no estaría de más perder un poco el tiempo intentándolo, ja ja ja)

En fin, mucho trabajo me costaría y muchas máquinas tendría que formatear antes de darme cuenta de un detalle que quizás por nuestra prisa pasa desapercibido ante nuestros ojos. *.scr

Para muchos quizás esta extensión no signifique nada, pero para otros un poco más curiosos, será sinónimo de refrescador de pantalla.

¿*.scr?

Bajo un sistema operativo coexisten miles de extensiones distintas, sin embargo, cada una se ejecuta de una forma determina, tanto así que se pudieran agrupar en conjuntos.
Editables: *.doc, *.txt, *.ini, …
Multimedia: *.mp3, *.mpg, *.jpg, …
Ejecutables: *.exe, *.com, *.bat, …

(La cantidad de grupos que se puede crear está en dependencia del nivel de complejidad que se busque de las extensiones)

En este caso agrupé en las editables a aquellas que al editarlas con un editor de texto sencillo entendemos gran parte o todo el contenido de los archivos. Dentro de Multimedia puse las que nos muestran un gráfico o imagen y dentro de Ejecutables están todas aquellas que al hacerles doble clic se comportan como tales. Cual no fue mi sorpresa al ver que la extención .scr entraba dentro de este último grupo.

Resulta ser que tras una instalación la máquina por defecto adquiere una configuración determinada, configuración que incluye dentro de sí la carga del refrescador de pantalla tras 15 minutos de inutilización del equipo.

Cuando alguien va a entrar a Windows, aunque no haya puesto una contraseña, podemos decir que casi está dentro del sistema operativo, porque aunque no tenga acceso a nada, ya puede disfrutar de un entorno visual y otras características propias del entorno. Con la duda de saber hasta donde estoy dentro del sistema sin haber propasado la clásica pantalla de bienvenida, me cuestioné si podría obtener control de la máquina a partir de ahí, ¿con quíen? pues con un .scr

Confirmé mi hipótesis, y tras ver que el refrescador por defecto de Windows me reemplazó la pantalla de bienvenida comenzaron las preguntas.
1. Cada usuario puede aplicar un refrescador. Si yo tengo un solo usuario y no tiene el logotipo de Windows como refrescador, ¿de que usuario es este screensaver?
2. Si no estoy loggeado aún, ¿Quién más tiene poder suficiente para presentarme un refrescador de pantalla?
La respuesta a estas interrogantes solo podía ser una: El Administrador.

Al parecer, hasta tanto no se escoja un usuario, Administrador es quien manda en la PC, decidiendo cosas tan simples como la salida o no de un screensaver o cosas tan complejas como permitirle el acceso al sistema a un usuario no autorizado, basta para esto reemplazar el archivo logon.src que está en c:\windows\system32 por cualquier otro archivo ejecutable que se quiera cargar.

Nota: para esto probé solamente reemplazarlo por otro refrescador, por el cmd y por la calculadora de Windows. Sería buena idea reemplazarlo por explorer.exe y ver cuales son los resultados.

Soy usuario restringido, ¿Qué hago yo?

Todas las pruebas estas de las que les he hablado las realicé en mi máquina, donde soy administrador y además no tengo a nadie a quien restringir.

No obstante, lo más posible es que quien quiera utilizar estos métodos para adquirir privilegios superiores a los que ya tiene este incapacitado para renombrar el archivo logon.scr, así que, para ellos, he aquí también la solución. Solo deben acceder a la máquina con un diskette de inicio y desde el mismo mandar a renombrar los archivos.

Espero que sirva este texto a muchos y de pie a también muchas variantes sobre el tema, cargándose en cada una de estas variantes distintos archivos y logrando con esto objetivos completamente diferentes.

Continuar leyendo

Ingeniería Social (Parte 1)

L1nk [l1nk.darck@gmail.com]

En la terminología informática la Ingeniería social se caracteriza por recopilar información de otra persona explotando sus vulnerabilidades; estas pueden ser Social, psicológicas y cognitivas. Este método muy utilizado por los hackers para obtener información sensible como, contraseñas, nombres de usuarios y cualquier otra información capas de comprometer la seguridad de una red o institución. Todo los escrito a continuación a sido probado y puesto en practica por el autor.

Llevándolo a nuestro contesto actual podemos decir que en Cuba este método es el más fácil y utilizado por muchos usuarios en la red. Con este artículo espero poder instruirlos un poco de cómo volvernos un poco mas especializados en la utilización de esta arma tan efectiva. Para ellos debemos seguir una seria de pasos los cuales nos guiaran para alcanzar un objetivo determinado.
1) Credibilidad
2) Tácticas de Engaño
3) Ingeniería Inversa - ¿verdad o mentira?

1) Credibilidad

Lo primero es tener la capacidad de convencer a nuestro intercomunicador de que le estamos diciendo la verdad y que puede confiar en nuestra palabra. Para ello lo primero es el porte y aspecto, siempre acorde con el papel que estamos representando, esa será la primera impresión que se le causa a la persona y hace inconscientemente que esta crea en lo que ven sus ojos. Por lo demás el dialogo tiene que ser conciso veras, mantener una postura recta y abierta, evitar las gesticulaciones mecánicas y los tartamudeos, mirar directamente a los ojos de la otra persona, esto da la impresión de que no tenemos nada que ocultar, (un mentiroso generalmente no mira directamente a los ojos). Según el nivel de nuestra victima así debe de ser nuestra postura y carácter, por ejemplo: si hablamos con una secretaria o una oficinista, aconsejo mantener una postura autoritaria y en ves de hacer preguntas dar ordenes por ejemplo “en ves de preguntar llego “fulano”, debemos de decir por favor llámeme a fulano y dígale que “l1nk” lo esta esperando”. Este tipo de ordenes va directamente al subconsciente de la recepcionista y hace que actúe de forma automática sin medir el nivel de información que nos proporciona, incluso puede que si la persona no se encuentra esta le diga (son que nadie se lo pregunte) a que hora viene cuando se va. Para los que no vean el objeto de esta información solo analicen lo importante que resulta el dominar el horario de un administrador de redes.
Siempre debemos de tener presente que toda información es valiosa, mientras mas información controlemos mas fácil será vincularnos asumir el papel a desempeñar; muchas veces el ganarse la confianza y el respeto es una forma muy útil de obtener información sensible si es que sabes como detectarla.

2) Tácticas de Engaño

Muchas veces el crear una amistad aparente entre tu y la victima es una táctica efectiva ya que comprometemos a la persona a confiar incondicionalmente en ti. Esta es una de las muchas formas en las que podemos avanzar en un ataque dirigido; también podemos utilizar la suplantación de identidad (esta es un poco mas peligrosa); la Ignorancia donde para todos somos unos incompetentes por lo que no representamos ninguna amenaza; o al revés, podemos demostrar un conocimiento amplio, haciendo que la victima se muestre inferior y tenga que acudir constante mente a ti creándose un habito o delegando en ti sus responsabilidades. Estas son algunas de las tácticas más utilizadas para sacar u obtener información, el saber cuando utilizar cada una de ellas es primordial esto junto a una buena credibilidad puede darle sin duda mucha información.

3) Ingeniería Inversa

Como mismo nosotros podemos aplicar tácticas de engaño para obtener información o para acceder a sitios o lugares, también lo pueden hacer con nosotros. Así que estamos expuesto a que cualquiera de nuestros colegas nos intente sacar información a nosotros o puede dársenos el caso de que la victima sea una persona con conocimientos suficientes como para detectar nuestras tácticas de engaño, en casos como estos es donde interviene la Ingeniería Inversa.

Para el primer caso la Ingeniería Inversa se aplica haciendo lo exactamente lo que el atacante espera que tu hagas, pero al llegar al momento de dar información dar una falsa o incompleta, incluso podemos aprovecharnos de esto para ser nosotros quienes saquemos información, ya que este estará dispuesto a deciros lo que sea por obtener lo que busca, pero puede que nos aplique la ingeniería inversa a nosotros para ello debemos de convertirnos en un detector de mentiras para ello les mostrare algunas normas de comportamiento para que detecten cuando les dicen la verdad o cuando mentira.

¿Verdad o Mentira?
- Evita el contacto directo o rose, o sea, un mentiroso evitara siempre el tener que tocar a la otra persona.
- Evita mirar directamente a los ojos, ya que inconcientemente el mentiroso cree que podremos ver a través de sus ojos, que miente.
- Generalmente cuando habla realiza gestos mecánicos e inorgánicos y tendrá una tendencia pasarse la mano frente a rostros por la frente, nariz, boca, tocarse los ojos.
- La palma de las manos estarán generalmente hacia abajo, pegadas al cuerpo o contraídas. Es muy poco probable que un mentiroso se coloque la mano en el pecho.
- Un mentiroso utilizara las mismas palabras con que le preguntamos para contestar a una pregunta, haciendo énfasis en la pronunciación, ya que inconcientemente quiere que comprendamos lo que dice y tratando de demorarse lo menos posible para contestar utilizara nuestras palabras para formular una respuesta clara y creíble.
- Tienden a tener una postura contraída, pegando sus brazos y piernas al cuerpo adoptando una posición fetal.
- Coloca objetos entre el y nosotros para tratar de crear una barrera entre el y nosotros por ejemplo: Cuando el director de nuestro centro de Trabajo intenta convérsennos con una mentira de el porque no nos puede dar la semana de vacaciones que nos toca, observen que mientras habla comienza a organizar las cosa del escritorio colocándolas entre el y nosotros.
«Estas normas de conducta de un mentiroso pueden ser utilizadas de forma inversa, o sea para evitar que nos detenten la mentira a nosotros.»

Para terminar solo me queda por decir que con estos elementos (sabiéndolos utilizar), alcanzáremos un nivel tal que las victimas nos darán, sin que se lo pidamos, su nombre de usuario y contraseña, “lo digo por experiencia propia”

Continuar leyendo

Propuesta

Dahaca [blackhat4all@gmail.com]

Otro año más, comienza el concurso provincial de computación para preuniversitario, como de costumbre la tarea consiste en crear un programa que sea capaz de satisfacer las condiciones del problema propuesto, pero aquí viene la mejor parte, el código debe ser escrito para compilar y correr en Borland Pascal.

- En Pascal!!!- murmuran algunos.
- Candela!! – dice otro.

Por qué estas exclamaciones?, fácil, pues resulta que aunque la revolución ha hecho un gran esfuerzo por llevar la informática a todos y que tenemos computadoras en las escuelas, todavía no están creadas todas las condiciones para alentar y enseñar a aquellos que quieran profundizar un poco más en algunas áreas del conocimiento informático, ejemplo de esto la programación.

El principal problema no es la falta de interés de los alumnos o la motivación de los profesores por impartir la asignatura, creo que el principal problema radica sobre todo en la falta de materiales para aprender y ejercitar estos conocimientos. Cuando digo materiales me refiero no a una Pc sino a manuales y folletos de ejercicios en un lenguaje claro, algo escrito de una manera fácil de entender, más comprensible para los estudiantes de la enseñanza media.

Existen algunas fuentes para ayudarnos con la programación en Pascal, ejemplo de esto es el Trainer de preparación de los estudiantes para los concursos creado por el Lic. Leonardo Cardona Luque y la Profesora Pilar Brooks Revé del IPVCE “Antonio Maceo Grajales” en Guántanamo (un Agradecimiento para ellos de parte de todos los que nos hemos beneficiado con su trabajo); pero la cuestión es que solo con un manual no solucionamos el problema, es necesario ver varios puntos de vista, varias maneras de hacer las cosas, para poder crear nuestro propio estilo programando, para poder realmente aprender un poco más.

No se si estarán de acuerdo conmigo en lo escrito anteriormente, pero ya que somos una comunidad creciente de personas que les gusta la informática y como la gran mayoría sabemos programar, quería proponer que todo aquel que lo haga en Pascal o aquel que tenga alguna idea nos pongamos en contacto para crear algo como un manual, un tutorial o algo parecido que comience desde lo básico e indispensable para empezar a programar en Pascal y que vaya abarcando hasta las regiones más oscuras y enmarañadas de este lenguaje.

Una vez creado la idea sería hacerlo llegar a la mayor cantidad de escuelas posibles, nosotros mismos o ponernos en contacto con la dirección de educación.

Para comenzar se podría seguir este orden:
1.-Qué es un programa
2.-Generalidades del Lenguage
3.-Principales palabras clave y operadores lógicos y aritméticos
4.-Sentencias de control
5.-Trabajo con cadenas
6.-Trabajo con arrays unidimensionales

Hasta aquí una primera parte en una segunda tratar Arrays bidimensionales, árboles, grafos, criptografía, combinatoria, etc.

También crear un folleto con ejercicios con sus respuestas bien explicadas ya que a veces vale más un código bien explicado que 100 folletos.

Continuar leyendo

Antes de comprar un MP4

Yordan [truano@infomed.sld.cu]

Concepto: Un Mp4 es un reproductor multimedia por lo general fabricado en china que permite visualizar contenidos multimedia como videos, audio, fotos, textos y algunos juegos.

¿Puedo reproducir formatos MP4?:

La gran mayoría de los reproductores "MP4 " no reproducen este formato, el formato .MP4 es el que reproduce el Ipod video y algunos reproductores con chip ANYKA, también existe el codec MPEG4 que es el que usan formatos como el DIVX, XVID y ASF. Los reproductores Mp4 en su mayoría reproducen formatos propios de video como MTV, DMV SMV, MVS o AMV, siendo este ultimo el mas usado y por lo general incluyen un programa de conversión alojado en el CD que trae el paquete.


Una nueva serie de reproductores con chip Rockchip y ANYKA reproducen videos AVI MPEG4 con video codificado en XVID y el audio en MP2.

¿El vendedor dice que reproduce videos AVI, MPEG y ASF es eso cierto?:

Solo algunos reproductores manejan video en MPG4, los reproductores con chip SUNPLUS (por lo general traen Video IN y video OUT) reproducen una versión del formato ASF que usa compresión de video MPEG4 y audio en wave PCM, los reproductores con procesador Rockchip y ANYKA reproducen en formato AVI con el video comprimido con XVID y el audio en MP2. Los demás reproductores de pantalla mas pequeña (la gran mayoría) solo reproducen el audio de estos formatos (no videos en AVI o MPEG) y los videos toca convertirlos al formato propio del reproductor.

¿El vendedor afirma que el reproductor es USB 2.0, es eso cierto?:

Hace algún tiempo existía solo el USB 1.1 que permitía transferencias de solo 11mb/s (1.5MegaBytes por segundo), luego al aparecer la norma 2.0 y para asegurar compatibilidad se unieron los dos estándares y se establecieron dos nuevas normas:
- USB2.0 FULL SPEED: Son los antiguos USB 1.1 con la misma transferencia de solo 11mb/s (1.5 MegaBytes por segundo).
- USB 2.0 HIGH SPEED: Son los de la nueva norma permitiendo hasta 400 mb/s máximo unas 40 veces más rápido que el anterior estándar.
Por eso un dispositivo lento puede ser catalogado por el vendedor como USB 2.0 sin serlo realmente, si deseas un dispositivo rápido este debe ser USB 2.0 HIGH SPEED. Los procesadores ATJ2085, 2051, SUNPLUS y ANYKA transfieren a solo 1.5 MegaBytes por segundo, los procesadores ATJ2091, 2093, 2097 transfieren datos máximo a 4 megaBytes por segundo ubicándose entre las dos normas, los procesadores ACU7515, ROCKCHIP y SIGMATEL transfieren algo mas rápido.

*** Como saber si me han estafado con mi MP4! IMPORTANTE ***

Muchos fabricantes en china formatean chips de 128MB o 256Mb para que muestren más capacidad y así venderlos mas costosos, al conectarlos al PC muestran la supuesta capacidad de 2-4 u 8 gigas pero luego de llenarlos de archivos surgen los problemas como reinicios y bloqueos y la perdida de datos.

Para saber si tu supuesto MP4 de 2-4 u 8 gigas es una estafa debes seguir los siguientes pasos:

1- Verifique que no venga con 2 particiones, si su reproductor no es expandible y muestra 2 unidades de disco al conectarlo al PC es muy probable que sea una estafa.

2- Al entrar a SISTEMA, INFO MEMORIA el equipo se demora bastante tiempo en mostrar la capacidad, lo mismo al entrar al modo de grabación de voz.

3- Llene el reproductor hasta un 90% de su capacidad con videos en MPEG o audio en MP3, luego introduce 3 canciones MP3 que hayas reproducido antes en el reproductor. Apaga el reproductor y si al prenderlo e intentar reproducir la música el MP4 se bloquea o reinicia es muy probable que sea una estafa. Si además no te deja reproducir los videos o el audio en el PC (te saldrá algo como que el equipo no tiene los codecs o el archivo esta dañado) es casi seguro que sea una estafa.

4- Si no le importa perder la "garantía" destápelo y mire la referencia del chip flash, busque en la referencia el numero o letra antes de la G, sin es de 1GB tiene un 8 antes de la G, si es de 512MB tiene un 4, de 256MB tienen un 2, de 128MB un 1, de 2 gigas tiene una A. Por ejemplo la siguiente referencia K9WAG08U1M es de un chip de 2 gigas y K9W1G08U1M es de 128MB

Como regla general, si te venden un MP4 de 2Gb hay un 30% de probabilidad que sea una estafa en este caso debes adquirirlo solo de un vendedor confiable y mirar que el precio no sea absurdamente bajo. Si te ofrecen un MP4 de 4GB hay un 90% de probabilidad que sea una estafa en ese caso solo lo debes comprar si el vendedor te lo deja destapar en su presencia y debes comprobar que tenga un chip Samsung K9WBG08U1M (4GB) o 2 chips Samsung K9WAG08U1M (2Gb c/u).

¿Cual es el mejor procesador para mi MP4?:

* SIGMATEL:
Definitivamente poseen la mejor calidad de audio y estabilidad del sistema, reproducen videos en formato SMV el cual es aceptable. El único problema es que es más difícil conseguir firmwares SIGMATEL en caso de requerir una reparación. Son los de conexión más rápida al PC. Para saber si tu MP4 usa este chip debes verificar el formato de los videos (SMV) y que en el CD se incluya el programa "SIGMATEL MSCN AUDIO PLAYER"

* SUNPLUS:
Son los famosos MP4s con cámara, filmadora y salida de TV, como ventaja poseen gran calidad en el video ya que usan el formato ASF con compresión DIVX, se expanden con tarjeta SD-MMC y por lo general poseen entrada y salida de video. Otras versiones mas antiguas reproducen videos en formato MVS (formato chino). Son los de construcción mas compleja incluyendo 10 o mas microchips, cada uno con su propio oscilador de reloj, regulador, etc. Su mayor desventaja radica en que es prácticamente imposible cargarles sistema en caso de borrado, es súper difícil repararlos y su programación hasta ahora inviable. No recomiendo adquirir estos reproductores ya que si se le dañan o desprograman nadie se los va a reparar, además en videos musicales el audio suena terrible

* ACTIONS
ATJ2085-2051: Son la serie mas guerrera, la ventaja es que son súper fáciles de reparar y programar, se consiguen gran cantidad de firmwares (en caso de borrado accidental) y admiten compresión de video en formato AMV el cual ocupa muchísimo menos espacio que los demás formatos dando una calidad digamos que buena. Además si se te daña es casi seguro que tenga arreglo. Para saber si tu MP4 usa este chip debes verificar la versión del firmware en SYSTEM-FIRMWARE UPGRADE o CONFIG-FIRMWARE UPGRADE o AREGLO-MEJORA DE LOS SOPORTES LOGICOS, debe tener firmware 3.216-3.535-3.537 si es MP4 o 3.042-3.043-3.531-3.535 si es MP3.

ATJ2091-2097-ACU7515-CTW500: Es la nueva serie de ACTIONS, son una versión mejorada del ATJ2085-2051, la ventaja es que reproducen videos AMV a mayor resolución y mejor calidad de audio. Son los equipos mas guerreros ya que las boards solo constan de 1 chip flash, el procesador y 1 regulador, además la interfaz es de 8 bits por estas razones es menos probable una falla si el equipo fue bien manufacturado.

El problema es que en caso de una reparación importante se necesita el firmware los cuales son difíciles de conseguir ni se pueden extraer. Para saber si tu MP4 o MP3 usa este chip debes verificar la versión del firmware en SYSTEM-FIRMWARE UPGRADE o CONFIG-FIRMWARE UPGRADE o AREGLO-MEJORA DE LOS SOPORTES LOGICOS, debe tener firmware 9.043-9.048-9.049 y 9.050. Hasta la fecha de hoy solo recomiendo comprar reproductores con estos chips si el vendedor le entrega el firmware ya que sino es imposible repararlo y usted va a perder su dinero.

* ROCKCHIP
Son la opción mas balanceada, entre sus ventajas esta el bajo consumo de corriente, el ser multitarea y la reproducción de videos AVI. Como desventaja las placas con este chip son mas complejas y costosas ya que necesita un chip DRAM extra y varios reguladores, por eso la probabilidad de falla seria teóricamente mayor. Por lo general son expandibles y la pantalla es TFT real. Podemos encontrar referencias como rk2606 y 2608. Es un poco complejo de reparar pero son muy buenas maquinas.

*ANYKA:
Una nueva opción en procesadores, excelente elección ya que reproducen videos en formato .MP4 .AVI MP3 y AAC, algunos incorporan emulador de juegos NES. En su construcción además del procesador se incorporan 2 chips flash, 1 chip DRAM y 4 reguladores. El problema es que por lo general son más costosos, grandes y difíciles de reparar.

¿Que pantalla debe tener mi reproductor?:

Existen 3 tipos de pantalla:

OLED: Se reconocen porque se ven igual desde cualquier ángulo, no necesitan luz de fondo ya que cada ´pixel emite su propia luz. Son las más recomendadas en cuanto realismo de imagen, consumo de energía y resistencia a los golpes, el problema es que son muy costosas y por eso pocos reproductores las traen.

CSTN: La mayoría de reproductores traen esta pantalla que usa tecnología de matriz pasiva, son baratas pero el problema es que el video se ve un poco lento y su ángulo de visualización es reducido. No deben golpearse, calentarse en exceso ni someterse a presiones (como en un bolsillo) ya que aparecerán manchas amarillas irreversibles. Nota: Muchos vendedores promocionan sus reproductores como si tuvieran pantallas TFT y realmente son baratas CSTN.

TFT: Usan tecnología de matriz activa (cada pixel es controlado por un transistor-condensador), son un perfecto equilibrio entre calidad y precio (son un poco mas caras que las CSTN) solo superadas en calidad por las OLED. El problema es que muchos vendedores afirman que sus pantallas son TFT siendo estas solo CSTN. Hace poco apareció un nuevo tipo de TFT llamado LPTS que usa un proceso de fabricación a más baja temperatura obteniendo pantallas más económicas y de mejor calidad. Como recomendación estas pantallas no deben golpearse, calentarse en exceso ni someterse a presiones (como en un bolsillo) ya que aparecerán manchas amarillas irreversibles.

En cuanto tamaños las hay desde 1.1" hasta 2.5", el usuario debe recordar que a mayor tamaño de pantalla mayor espacio ocuparan los videos convertidos y mayor consumo de energía, mi recomendación son pantallas de 1.8" (160x128px) y 2" (220x176px)

¿Que es firmware?:

El Firmware o sistema operativo es el conjunto de instrucciones que le dicen al MP4 como manejar el audio, video, mostrar información en pantalla, etc.

¿Cuanto dura la carga de la batería?:

Por mas que el vendedor te de datos asombrosos sobre la duración de la batería. El consumo promedio en video de un MP4 con chip ATJ2085, ATJ2051, CTW500 con pantalla de 1.5" es de 80ma/h en video y 50ma/h en MP3 con la pantalla apagada. Con pantalla de 2" sube a 120 ma/h en video y 50 en mp3. La duración de las baterías es la siguiente:

MP4 ultra planos y tipo NANO: en video dura 3 horas y en audio 6 con la pantalla apagada ya que la batería que traen es LION 3.7V de solo 250ma/h (máximo)

MP4 gruesos: La duración es de 5 horas en video y 9 horas en MP3 con la pantalla apagada, la batería que traen por lo general es LION 3.7V de 400ma/h

MP4 Belstar: De 5 horas y media a 6 horas en video y de 9 a 10 horas en Mp3 con la pantalla apagada según el modelo, incorporan baterías LION 3.7V de 450ma/h a veces hasta de 500ma/h

¿La batería de mi MP4 es reemplazable?:

En teoría si, simplemente hay que conseguir una celda de LION de 3.7V de 240 ma/h si el reproductor es ultra plano o 400ma/h si es mas grueso y soldarla donde venia la anterior. El problema radica en que son algo costosas y las de los modelos ultra planos más difíciles de conseguir. Además las baterías deben incorporar el circuito de protección ya que el MP4 no posee este circuito, si instala una batería sin protección LA SOBRECARGA LA HARA ESTALLAR E INFLAMARSE perdiendo su equipo. Recomiendo adquirir un MP4 con batería reemplazable o un MP4 grueso ya que es mas fácil hacerle encajar una nueva batería.

¿Debo formatear mi MP4 bajo Windows?:

Por lo general los MP4 traen su propio programa de formato, debido a limitaciones del firmware de fábrica el formatearlos con Windows puede desconfigurarlos en especial si se formatean en FAT32 en vez de FAT.

Continuar leyendo

2 minutos

Alien [blackhat4all@gmail.com]

En estos momentos, más del 30% de los lectores tienen cuentas de Infomed, y los que la tienen saben lo que esto significa. Los que tienen este tipo de cuenta, se quejan de dos cosas fundamentales, la primera es el acceso pleno a la información (cosa difícil hasta el momento por las barreras tecnológicas a las que nos vemos sometidos), y la segunda es el restringido tiempo de acceso con que se cuenta (25 horas), que llevado a promedio por día en un mes de 30 días es de 50 min diarios ([25h * 60 min]/30 días), que si bien alcanza para enviar y recibir correos, no creo que sea el tiempo suficiente para encontrar con el buscador cubano 2x3 todo el contenido que se requiera para hacer una investigación sobre el ADN (por ejemplo). Para tratar de remendar, se han buscado soluciones, la última que recuerdo fue el proxomitron, del que se publicó en las primeras ediciones su forma de actualización y funcionamiento. Con este software se podía, dentro de las 25 horas permisibles, navegar por toda la web sin restricciones, pero un día, de buenas a primeras, dejó de funcionar. Desde ese momento, los no acostumbrados a vivir sin Internet desesperaron, pero nada se podía hacer ya al respecto. Por fortuna, todos los que se inscribieron en BlackHat pueden contar con un servicio propiciado por un servidor extranjero de navegación vía correo electrónico (WoS), que si bien no se puede comparar con un verdadero acceso a la red, en gran parte lo compensa, y constancia ha y del buen uso que se hace del mismo, tanto para encontrar información referente a la informática como a la misma medicina.

¿Y que hay de las 25 horas?

En BlackHat #6 y BlackHat #8 se publicó una información bastante sugerente y que, aunque tampoco permite una conexión a full con la red, si ayuda bastante a administrar de forma más efectiva el tiempo restante, permitiendo que quedando 2 horas en el estado de la cuenta, estas duren lo más posible, incluso como para alargarla por varios días, esto sin limitarnos a tener correspondencia con familiares o amigos. Este método publicado en BlackHat se corrió bastante rápido entre mis amistades, sin embargo, por la cantidad de lectores que teníamos en esos momentos, estoy seguro que la mayoría no lo conoce, y aunque se ha hecho referencia a el en otra ocasión, no fue de la forma más explicativa y tampoco llegó a todos los oídos.

¿Cómo es?

Los que tengan Infomed hace algunos años, se acordaran que había un método para conectarse y desconectarse sin que el servidor registrara el tiempo de acceso, permitiendo que al finalizara el mes, después de haber pasado casi los 30 días online, el servidor nos dijese que el tiempo al cual accedimos a el fuera de unos pocos minutos. Por desgracia este error se corrigió y muchos, que no sabían que esto ya no se estaba haciendo, vieron perder sus 25 horas en tan solo unos días.
Resulta ser que en las primeras ediciones, cuando yo también padecía del mal de las 25 horas, mi mayor anhelo era lograr aumentar por cualquier vía este tiempo, tarea que me hizo perder varias horas de conexión, hasta darme cuenta de una cosa: Con reloj en mano, me dediqué a hacer varias cosas tanto en el hardware como en el software de la máquina, sin tener resultados positivos, hasta que un día, estando conectado, recibí una llamada que me hizo salir de forma abrupta de la red. Luego de contestar al teléfono, volví a mi misión. En ese momento me di “de cuenta”, pero luego, comparando el tiempo de acceso a la red registrado por el servidor y el que yo había anotado en una hoja, vi que en el momento que me desconecté por razones externas a mi voluntad, el tiempo había sido 2 min menor que el real. Los intentos continuaron, tratando de hacer lo mismo y ver donde estaba el error, hasta que me di “de cuenta”. El problema no radicaba en la llamada, sino en la forma en que me había desconectado. Al parecer, por razones que desconozco, cuando la desconexión del servidor se realiza por el método “bruto”, este no guarda el tiempo real que la conexión permaneció activa, sino dos minutos menos.

2 minutos es poco

Eso es quizás lo que pudiera pensar la mayoría, y de hecho, fue lo primero que pensé yo también, hasta que con mucho coraje me decidí a abrir la calculadora de Windows y multiplica dos minutos por los 30 días que tiene un mes, el resultado es obvio, 60 minutos. Hasta ahora es lógico que en un mes de 30 días, desconectándome una vez al día por este nuevo método, ganaría al final del mes una hora más de acceso a la red, pero el problema consiste en que por lo general, todos lo que tienen acceso a la red para descargar y enviar correos se conectan, al menos, 4 veces, lo que hace que esta hora de ganancia se multiplique por 4. Quizás todavía existan algunos “cuadrados” que piensen que 4 horas de más o de menos no resulta significativo, pues bien, la pregunta que yo les haría sería: ¿Cuántas horas ganarías si te conectaras 10 veces al día? Respuesta: 10 horas. Si aún así, todavía desconfían o no creen en esto, podrían aumentar la cantidad de conexiones hasta tanto les sea posible, y verán que paradójicamente mientras más se conecten, más tiempo tendrán. Pero esto no es todo, de seguro algunos de los que se están leyendo esto ahora, habrán hecho una pausa para preguntarse:

Si el tiempo de conexión guardado es igual al tiempo real menos dos min, y yo me conecto sólo 1 min, ¿Qué pasa? BINGO!! Por desgracia el tiempo no puede ser negativo, lo que nos impide poder decir, “me registró -1 minuto”, pero en cambio si podemos decir: “No nos registró” e incluso, no nos guarda el registro en la página de accesos telefónicos. (Interesante ¿verdad?). Menos de dos minutos en la red puede parecer algo ilógico, pero… ¿Cuántas veces no nos conectamos sólo para descargar un correo?, ¿o para enviarlo?, ¿o para ver el estado de la cuenta?, ¿o para buscar en Wikipedia una página sobre…?. En casos como esos, a veces dos minutos sobran, y si no, pregúntenle a Ariel-NM, quien después de conocer esta ventaja, alargó dos horas de conexión por más de 7 días. (Ariel, te sobró tiempo ese mes).

Más ventajas

Si unimos esto con el servicio WoS, veremos navegar se vuelve algo esporádico, ya que si conocemos la dirección de la página a la cual queremos ir, no tenemos que conectarnos, escribir su dirección y rogar porque la red esté despejada dentro de un minuto y algo ver desplegado su contenido frente a nosotros, sino que simplificamos algunos pasos y lo reducimos a enviar la dirección por correo. Para editar este boletín, nosotros mismos debemos en varias ocasiones navegar hasta determinada página, pero una vez que realizamos esta operación varias veces, nos damos cuenta que lo que queremos, la mayoría de las veces está disponible en los mismos sitios, así que nos ahorramos el trabajo de buscar, simplemente generamos una plantilla con la información necesaria y a partir de esta enviamos los mensajes.

Automático

Después de haber probado esto por un tiempo, sentí la necesidad de hacer que esto fuera automático, es decir, que cuando se desconectara, tras un tiempo determinado retomara la conexión sin necesidad de que yo tuviera que hacerlo manual. No me costó mucho trabajo para esto ir a las propiedades de la conexión y en la pestaña opciones marcar las casillas de la siguiente manera:


Con esto lo que se logra es que después de que el sistema reconoce que estás offline, espere 5 segundos para volver a marcar, pero… ¿Por qué 5 segundos?. El caso es que en ocaciones puede ser que al desconectarse nos devuelva la llamada y nuestro teléfono comenzará a sonar, y si en ese mismo instante trata de conectarse, la respuesta será un evidente: “No hay tono de marcado”. Los 5 minutos son como medida de protección. Puede ser que se me olvide que estoy conectado, o que me pare en determinado momento a realizar una tarea ajena a la máquina, o que simplemente está lloviendo y tengo que ir a recoger la ropa, etc. En esos momentos, la conexión estará activa pero sin actividad, y pasados 5 minutos de esto, automáticamente se desconectará. (En ese caso sí nos contará el tiempo de acceso). Esto puede ser un arma de doble filo, ya que si lo que quiero es navegar, tendré que asegurarme de que cada menos de 5 minutos, recargar la página, enviar un correo, recibirlo, o hacer algo que envíe una señal al servidor diciéndole que sigo aquí.

No lo creo.

Los incrédulo siempre existen, pero por suerte también existen los métodos para convencerlo. Se que muchos quizás estén dudando en hacerlo porque: “Y si pierdo mucho tiempo”, “Y si me sale mal y se me gasta la cuenta”… En estos casos sólo les puedo asegurar que funciona, y si quieren comprobarlo pueden conectarse y tratar de en menos de dos minutos ir a la página que les registra el estado de cuenta, ver allí la cantidad de veces que se han conectado y el tiempo de acceso de la ultima conexión. Si logran hacerlo antes de los dos minutos quiten el cable repentinamente y no es necesario que esperen, al momento lo pueden volver a poner. Luego conéctense nuevamente y recarguen la página, o si tienen dudas cierren el navegador y chequeen el estado de cuenta nuevamente. En caso de que se hayan demorado más de 2 minutos, lo que perderán serán segundos de conexión, pero les aseguro que vale la pena intentarlo.

Continuar leyendo

La contraseña

Chacal [mariav.hedez@infomed.sld.cu]

La contraseña es uno de los factores indispensables en la seguridad de nuestra cuenta, así que debemos tener en cuenta varias cosas, antes de asignar una contraseña así por las buenas. Así que nombraremos varios factores a tener en cuenta:

A) La contraseña, debe ser INTRANSFERIBLE.

Esto quiere decir, que no le dejaremos nuestra contraseña a absolutamente a NADIE, ni a nuestra madre, ni a nuestro padre. Existe un viejo dicho informático que dice así: "Conoce a alguien y tendrás un amigo, regístrate y tendrás una cuenta, préstale la cuenta a tu amigo y te quedarás sin AMIGO y sin CUENTA."
Si por algún caso temporal y excepcional necesitamos dejarle la cuenta a un amigo, deberemos cambiar nuestra contraseña y introducir una temporal, si hacemos esto correremos el riesgo de perderla, ya que todo depende de nuestro amigo. El amigo nunca debe ser virtual, siempre a ser posible debe ser un familiar cercano, en el cual durante toda nuestra vida hemos depositado nuestra confianza y pocas veces nos ha fallado.

B) Contenido de la contraseña.

El contenido de la contraseña debe ser totalmente incomprensible, esto quiere decir que si nos llamamos Pepe y tenemos 20 años, no pongamos de contraseña 1987 o PepeMartin.
Para tener un contenido seguro debemos mezclar Letras, números y símbolos y la longitud de nuestra contraseña debe superar los 8 caracteres.
Supongamos que nuestro amigo Pepe Martín de 20 años, quiere una contraseña de contenido seguro, pongamos un ejemplo de alguna:

Algo seguro sería: P27M_120

Esa contraseña contiene 8 caracteres, números y símbolos. Sin embargo siempre podemos utilizar nuestras propias políticas de contraseñas, por ejemplo empezar y acabar siempre con un símbolo, sin importar el contenido de dentro. Algo como: ¿p27m_120?

Esta última sería todavía más segura.

¿Pero, para que sirve realmente lo de los símbolos?

Esto previene los ataques por fuerza bruta y por diccionario, ya que si nos hacen un ataque por fuerza bruta, el programa intentará 100000 combinaciones de letras y números para petar nuestra contraseña. Y nosotros al insertar tantos símbolos demoraremos muchísimo el proceso de fuerza bruta, haciéndolo muy duradero, tanto que el atacante se llegará a cansar de esperar resultados.

C) Factores externos

Los factores externos, es un punto a tener en cuenta, y se refiere a todo aquello ajeno a nuestra cuenta y a nosotros y que pudieran afectarnos directamente.
Dentro de los factores externos detallaré tres puntos importantes:

• Nunca escribir nuestra contraseña en ninguna página Web, sea de lo que sea.
• Nunca enviar por email nuestra contraseña a NADIE, ni siquiera a la empresa de nuestra cuenta, ya que ellos la tienen almacenada y nunca nos la pedirán vía e-mail.
• No escribir nuestros datos en ningún programa para conseguir cuentas de los demás, la mayoría de estos programas sirven para engañar al usuario y para perder nuestra cuenta.

D) Factores Internos

En los factores internos, me refiero a nuestro PC, o al PC que utilizaremos para logearnos a nuestra cuenta.
Aquí lo más importante es el estado del PC que utilizaremos para conectarnos, debe estar protegido y actualizado. Para hacerlo más simple y sencillo a continuación expongo varios elementos a tener MUY en cuenta:
• El Sistema Operativo que utilize nuestro ordenador, debe tener instalas las últimas actualizaciones publicadas por la empresa del S.O
• Nuestro ordenador debe contar con un AntiVirus actualizado a fecha de hoy, o la última fecha de actualización del AntiVirus.
• El PC debe contar con un sistema de Firewall, ya sea por defecto del sistema operativo, de hardware o un software alternativo.
• Nuestro PC lo debe utilizar siempre la misma persona, o personas muy cercanas y de mucha confianza, como algún familiar.
• Debemos tener instalada la última versión del programa por el cual nos vamos a logear en nuestra cuenta, si fuera el caso del MSN, sería MSN Messenger Live, nunca Messenger 4.2, 5.0, 6.2, 7.5 etc.
• Si estamos conectados a una red local (LAN) en la cual no somos Administrador, dependeremos siempre de lo listo que sea el Administrador de esa red, ya que podría capturar nuestros datos en cualquier momento.

E) Pregunta y Respuesta secreta

Muchos sistemas de gestión de cuentas de usuario, cuentan ya con la implementación del sistema de Pregunta y Respuesta secreta (PyRs). Esto consiste en elegir una pregunta y una respuesta que solo debemos conocer nosotros y que se nos preguntará en el caso de que perdamos la contraseña de nuestra cuenta y no podamos acceder a ella.

¿Que debemos tener en cuenta a la hora de crear una pregunta secreta?
Nada

Podemos escoger la pregunta mas tonta del mundo, por ejemplo: ¿Cómo te llamas?
La pregunta es un gran tontería, ya que se nos mostrará en el caso de perder el password de nuestra cuenta, pero ahí vamos...

¿Que debemos tener en cuenta a la hora de crear una Respuesta secreta?
• La respuesta secreta NUNCA debe contestar a la pregunta.

Esto sería un mal ejemplo:
Pregunta -> ¿Cuál es tu nombre?
Respuesta -> Pepe

Esto sería un buen ejemplo: Pregunta -> ¿Cuál es tu nombre? Respuesta -> Ayer fui al cine

Sobre el sistema PyRs, no hay que tener muchas mas cosas en cuenta, ya que su uso es sencillo y no nos causará ningún problema si lo utilizamos de esta última forma.

¿Cómo voy a recordar todas estas contraseñas y respuestas que nada tienen que ver con la pregunta secreta?
Está totalmente demostrado que los Monos son capaces de recordar hasta 8 cifras... si ellos pueden acordarse de 8 numeritos... ¿de que somos capaces nosotros? o mejor dicho.. ¿De que no somos capaces?

¿Por qué hablamos siempre de la protección al 99%?
Porque siempre dejo un 1% de que puede surgir un fallo en la empresa que nos gestiona nuestra cuenta y por mucha protección que tengamos nosotros, podemos vernos afectados por un fallo de seguridad por parte de la empresa.

Continuar leyendo

Individuos 2.0: Los nuevos navegantes de Internet

Chacal [mariav.hedez@infomed.sld.cu]

Venimos oyendo hablar de la web dos punto cero desde hace meses como si alguien hubiera descubierto un nuevo idioma y todo el mundo necesitara hablar de él.


La web 2.0 es un vocablo que está en todas las conversaciones que se precien de ser un poco tecnológicas, lo cita todo el que quiere demostrar que está al día, pero nadie se ha parado a pensar cómo son esos individuos de la famosa web 2.0, los que podríamos denominar individuos 2.0

Estamos viviendo una nueva forma de entender Internet, un nuevo concepto de la web que está trastocando la forma en la que los individuos se mueven, comunican o informan en esta nueva red y que, como nuevos individuos, tienen necesidades diferentes.

La web 2.0 ha abierto Internet a una nueva forma de entender la navegación, ya que se han ido sucediendo una serie de aplicaciones que permiten la interactividad en muchas formas, y el ejemplo más claro son los blogs. Nosotros lo sabemos bien porque llevamos desde hace tres años desarrollando una red de blogs comerciales, que incluyen tanto blogs propios, blogs asociados, como también lo hacemos para empresas que necesitan conversar o comunicar con sus clientes.

El individuo gracias a los blogs puede no sólo informarse sino entrar a formar parte de la conversación que se crea, ya que puede dejar sus propios comentarios en el mismo momento en que está leyendo, además puede con un programa de lector de feeds suscribirse a esos blogs que le interesan para poder estar al tanto de lo que escriben y, por si fuera poco, puede crear su propio blog para ser él quien lance sus opiniones, informaciones, noticias o sentimientos, ya sea a nivel profesional o particular.

Por otro lado están los sitios agregadores de fotos como Flickr donde puedo participar y compartir mis fotografías de viajes, de familia, de amigos o de lo que yo quiera, y poder ponerlas para que todos las vean o enviárselas a amigos que están en la otra parte del mundo para que vean algo que estoy viviendo y las comenten libremente, y todo con una sencillez extrema.

En este mismo sentido, nos encontramos con los agregadores de vídeos, en donde cualquiera puede poner vídeos de todo tipo a disposición de cualquiera pudiendo comunicar, contar lo que le apetezca o simplemente expresarse de forma tan simple como antes lo hacía al visitar una página Web, y de nuevo cualquiera puede comentarlos o suscribirse, o incluso replicar con otros videos suyos.

Y esos individuos 2.0 quieren que se les dé participación, que se les ofrezca interactividad, que la conversación de texto, fotos o videos se continúe, que se les respondan a su preguntas u observaciones, que se le haga sentir partícipe del entorno en donde está.

Y ahí aparecen las nuevas redes sociales que se multiplican por doquier, y tantas otras que están apareciendo o transformando sus viejas estructuras en redes sociales, en donde el individuo puede y quiere interactuar con otros individuos, quiere conocer a otras personas de otros lugares, ya sea por afinidad de idiomas, por que son amigos de sus amigos, porque ha oído hablar de ellos, porque hay coincidencias de gustos en sus perfiles o porque quiere o cree que pueden hacer negocios juntos. Da igual, quiere conectar con nuevos individuos y crear su red, su network.

Y esto también tiene sus reglas, de las que hablaremos en otro momento ya que llevamos practicando el Networking a todos los niveles desde hace 17 años y la evolución ha sido muy interesante y las perspectivas son muy halagüeñas…

Resumiendo en pocas palabras: La interactividad a todos los extremos. Nosotros hemos venido estudiando este tipo de redes sociales desde hace años para poder asesorar a nuestros clientes de cómo utilizarlas más eficientemente, y las conocemos bien porque las hemos probado casi todas, y esos individuos participan en muchas simultáneamente ya que sus inquietudes así se lo requieren, y si no se lo das, lo buscarán en otro sitio, ya que hoy se han multiplicado y sea del tipo que sea, existen varias alternativas, tanto de nivel profesional como particular.

Y en estas estamos, cuando aún veo cómo diariamente se montan miles de páginas web asesoradas por ¿grandes profesionales?, que son simples escaparates estáticos que nada le aportan al individuo que les visita. Cuando las personas llegan a esas web siempre se preguntan lo mismo: ¿Qué hay aquí para mí? Y la respuesta es eso, un escaparate plano, y se va para no volver, perdiendo a esa persona para siempre. No olvidemos que la competencia en Internet está a solo un clic de distancia. Y luego el dueño de esa página web se pregunta por qué no le funciona si se ha asesorado por grandes profesionales.

Hay que darle lo que busca, interacción, interactividad, o le perderemos, hay que ponerle herramientas para que nos cuente, para que se exprese, para que nos pregunte, critique o incluso ponga en duda nuestra forma de vender o nuestros productos, hay que enseñarle que somos transparentes y que puede hablar con nosotros cuando quiera y darle mecanismos para hacerlo, desde un formulario web, un mail, un foro, un callmeback, un blog, un twitter o cualquier otro formato que se nos ocurra, pero que pueda sentirse libre de expresarse y sentirse parte activa, sentir que se le tiene en cuenta.

Y aunque algunos piensen como una empresa para la que estamos haciendo un blog corporativo, que me planteaba al principio que si abrían un blog les podían criticar. Mi respuesta es siempre la misma, si lo tiene que hacer, lo hará, la diferencia es que si es en tu blog, en tu foro o en tu web interactiva, podrás saberlo y responderle públicamente para que todos lo vean, pero si lo hace en otro sitio nunca te enterarás y no podrás contestarle y eso es miles de veces peor.

Como siempre, os deseo muchos éxitos en vuestra experiencia en la red, pero no olvidéis lo que os repito incansablemente, que estas técnicas y consejos son muy importantes para seguir avanzando, pero lo que es válido para toda la vida es seguir SOÑANDO EN GRANDE que ésa es la clave principal del éxito y, sobretodo, nunca os conforméis con menos.

Continuar leyendo