Categoría: Blog

Novedades en la versión 3 de la GPL

Estos son los principales aspectos en los que la versión 3 es distinta de la versión 2:

* La protección contra la tivo-ización. El nombre se deriva del Tivo, un Personal Video Recorder que incorpora código libre, y hace cosas como controlar lo que el usuario puede ver o no, y recopila datos sobre lo que el espectador ve. El Tivo contiene código GNU/Linux, un sistema operativo completo, y lo distribuyen con código fuente, pero el usuario no puede modificarlo, porque si lo hace el Tivo reconoce que el programa ha cambiado, y no lo ejecuta. Esto es la Tivo-ización: la creación de aparatos que no permiten modificar el código que ejecutan. Esto convierte la libertad número 1 (la libertad de estudiar el código fuente, y de modificarlo para usos propios) en una parodia.

La razón de Tivo-izar suelen ser lo que se llama DRM, siglas de Digital Restricition Management o Gestión de Restricciones Digitales. Stallman arrancó unas risas al definir el DRM como «The functionality of refusing to function», o la funcionalidad de negarse a funcionar.

La GPLv3 está diseñada para impedir la Tivo-ización. Por esta razón requiere distribuir las claves del hardware para que cualquiera pueda usar la libertad 0 (ejecutar el programa para lo que quiera) sin poder obligar a otros a usar su programa sólo para los que ellos quieran.

*La GPLv3 tiene otros mecanismos para impedir el DRM, pero no prohíben a la gente que lo implemente: el software libre da la libertad para que cada uno haga lo que quiera con el código. Pero la GPLv3 permite dar la vuelta a la tortilla y permitir que los usuarios puedan decidir si aceptan ese código o no.

La EUCD hace ilegal distribuir lo que se denominan herramientas de elusión de medidas tecnológicas de protección, software que permita a los usuarios liberarse del DRM. La GPLv3 deja claro que los usuarios tienen el permiso de crear software que haga interoperatbilidad, esto es: que si un software es GPLv3, el usuario tiene derecho a desensamblarlo y a hacer lo necesario para crackear el DRM.

*Las patentes de software. Stallman puso como ejemplo el caso de un abogado que estudió el núcleo Linux y encontró 283 patentes que se referían a técnicas implementadas en Linux. Otras licencias conceden patentes de software, así que en la GPLv3 también lo han hecho. La cláusula en cuestión concede licencias de uso de las patentes que pueden tener los desarrolladores.

*Compatibilidad ampliada con otras licencias de software libre. La idea es que hay otras licencias libres que actualmente tienen cláusulas que no son compatibles con la GPL, pero que no estorban a la libertad. Así que se incluyen cláusulas opcionales que permiten la compatibilidad con esas licencias, y que uno pueda mezclar software bajo otras licencias y publicarlo bajo la GPLv3. Por ejemplo, se dice dicho que valen las cláusulas que prohíben usar marcas comerciales más allá de lo que la ley permite. Otro ejemplo son las cláusulas de contraataque de patentes, y tras estudiado cuáles son las parecen legítimas, y cuáles no, se han aceptado las del primer tipo, como las de la licencia Apache. Otra nueva cláusula que se consideró es la Affero GPL, un requisito sobre uso público del programa, que obliga a mantener el la funcionalidad de un programa al que se accede remotamente que permite descargar el código fuente del programa.

*La LGPL ya no repetirá todo lo de la GPL, será simplemente una GPL con una cláusula opcional que dará permisos añadidos, usando el sistema de compatibilidad ampliada mediante cláusulas opcionales que se ve arriba.

*También se clarifica la excepción para las librerías del sistema, que permite distribuir binarios para sistemas operativos privativos,

*Internacionalización: se eliminan términos del sistema legal estadounidense, y por eso en vez de hablar de «copying and distribution», en el primer borrador hablan de «propagation». El segundo borrador va más allá y habla de «conveying a copy», con lo que esperan que no quepa duda de lo que se quiere decir en todas las jurisdicciones.

* También han cambiado las condiciones para la distribución de binarios con la oferta de entregar código fuente más tarde: cualquiera que distribuya un binario tendrá que distribuir el código fuente durante el tiempo en que siga dando soporte al producto.

*La finalización de la licencia también sufre cambios. El desarrollador tiene que decirle al usuario que ha hecho algo malo, y tiene que decirlo antes los 60 días de la violación. Si el desarrollador reconoce la falta y la arregla, a los 60 días del arreglo la falta se considera terminada, es una especie de prescripción de la falta. La intención de este cambio es ayudar a los que incumplen la licencia sin querer, sin que los autores pierdan su capacidad de actuar contra los que incumplen la licencia de forma deliberada.

El segundo borrador incorporará otros cambios, entre los que están rebautizar la cláusula «Liberty or death» por «No surrendering others’ freedom». Pero de esto habló Eben Moglen por la tarde, en un discurso-arenga que espero poder publicar a continuación.

Mas en Barrapunto

Verano de Software Libre

¿Existe el e-verano?. Parece que si. Lo organiza el CEULAJ en la localidad malagueña de Mollina, y tienen preparadas un montón de actividades:

*Convivencias de Dinamizadores.
*Blogs y Redes Sociales .
*3JTASL, Jornadas Tecnológicas Andaluzas de Software Libre.
*Conocimiento Libre vs Propiedad Intelectual.
*Formación de Formadores y Dinamizadores Técnicos.
*Formación Linux-Magazine para Europeos.
*II eXperiencia Mac.
*VII Escuela de Verano

Toda la información, aqui

Via Viernes

DLINK se lanza al ruedo de los productos pre-N

El estándar inalámbrico de última generación Draft N (Draft 1.0 IEEE 802.11n) proporciona un rendimiento y alcance totales, de modo que supera todos los estándares inalámbricos anteriores. Draft N se aprobó en Enero de 2006 y ha de estar terminado a principios de 2007. El proyecto del estándar confirma velocidades de transferencia de datos de hasta 300 Mbps, que en el estándar final mejorará hasta los 600 Mbps.

Fuente: DLINK

Estos serán los nuevos productos:



Muy pronto, sus características.

La vulnerabilidad de excel, 2ª parte

En el mismo día que poníamos la vulnerabilidad de Excel, aparece una mas.

De nuevo, es necesario alertar sobre una vulnerabilidad en Microsoft Office. Concretamente en su componente Excel, pero que muy posiblemente afecte al resto de programas de la suite. Se trata de la tercera vulnerabilidad grave en un mes en este paquete ofimático.
El día 20 de junio aparecía en páginas especializadas en exploits (programas que aprovechan vulnerabilidades) una nueva forma de aprovechar una vulnerabilidad en Microsoft Excel. El programa permite la ejecución de código arbitrario sobre un sistema con los privilegios del usuario que ejecute la aplicación.

Al parecer, es bastante probable que el problema, aunque enfocado en un principio hacia Excel, sea reproducible en el resto de componentes de Microsoft Office y en varias versiones del paquete.

El fallo se debe a un error de límites en la librería hlink.dll a la hora de manejar enlaces dentro de documentos. Esto puede ser aprovechado para provocar desbordamientos de memoria intermedia basados en pila si un usuario pulsa sobre un enlace especialmente manipulado dentro de un documento.

En esta ocasión, el problema sólo se reproduce si se recibe por cualquier medio un archivo Office y el usuario pulsa sobre un hiperenlace contenido en él, no basta con abrir el documento. El exploit es público y está disponible para todo aquel que quiera estudiarlo.

No existe parche oficial y, lógicamente, se recomienda no pulsar en enlaces contenidos en documentos sospechosos que provengan de fuentes confiables o no.

Esta vulnerabilidad se ha convertido en el tercer «0 day» que sufre Microsoft Office un mes. El 19 de mayo se advertía sobre la aparición de un documento Word que cuando era abierto por un usuario con varias versiones de Microsoft Word, ejecutaba código arbitrario en el sistema de forma completamente oculta. Microsoft publicó el día 13 de junio el boletín MS06-027 que solucionaba el problema. El 15 de junio aparecía un nuevo «0 day» en Excel, que permite la ejecución de código arbitrario y del que ayer mismo se publicó un boletín especial de una-al-día. También ayer, día 19, aparece por sorpresa esta nueva amenaza para usuarios de Microsoft Office, de la que todavía no se han observado muestras activas en masa.

De par en par.

Via Hispasec.

Potencia transmitida por una antena

Se utiliza la unidad dBm (decibelios relativos al nivel de referencia de 1 milivatio). 1 mW es igual a 0 dBm y cada vez que se doblan los milivatios, se suma 3 a los decibelios. La radiación máxima emitida por una antena (que puede terminar muy por encima de los vatios de entrada), que admite la FCC en los EEUU es de 1 vatio (equivalente a 30 dBm). En Europa, el limite es de 250 mW (24 dBm).

En la siguiente tabla, se puede encontrar la conversión de decibelios a vatios.

dBm Vatios dBm Vatios dBm Vatios
0 1.0 mw 16 40 mW 32 1.6 W
1 1.3 mw 17 50 mW 33 2.0 W
2 1.6 mw 18 63 mW 34 2.5 W
3 2.0 mw 19 79 mW 35 3.2 W
4 2.5 mw 20 100 mW 36 4.0 W
5 3.2 mw 21 126 mW 37 5.0 W
6 4 mw 22 158 mW 38 6.3 W
7 5 mw 23 200 mW 39 8.0 W
8 6 mw 24 250 mW 40 10 W
9 8 mw 25 316 mW 41 13 W
10 10 mW 26 398 mW 42 16 W
11 13 mW 27 500 mW 43 20 W
12 16 mW 28 630 mW 44 25 W
13 20 mW 29 800 mW 45 32 W
14 25 mW 30 1.0 w 46 40 W
15 32 mW 31 1.3 w 47 50 W

Relación señal ruido

Siempre que se emite o se recibe una señal de radio, lleva acoplada una señal de ruido. Obviamente, cuanto menor sea la relación de ruido con respecto a la señal, mas óptima se considerará la señal «valida». Incluso en las transmisiones digitales, se tienen que usar métodos de modulación que reduzcan el ruido y amplifiquen la señal de radio.

El resultado de dividir el valor de la señal de datos, por la señal de ruido es lo que se conoce como relación señal/ruido. Cuanto mayor es, mejor es la comunicación.

Se expresa en decibelios (dB), y en escala exponencial, lo que quiere decir que una relación señal ruido de 10 dB, indica que la señal es 10 veces mayor que la de ruido, mientras que 20 dB indica 100 veces más potencia.

La ganancia de las antenas

Siguiendo el hilo del anterior post sobre antenas, hoy vamos a hablar de la ganancia.

La característica mas importante de una antena es la ganancia. Esto viene a ser la potencia de amplificación de la señal. La ganancia representa la relación entre la intensidad de campo que produce una antena en un punto determinado, y la intensidad de campo que produce una antena omnidireccional (llamada isotrópica), en el mismo punto y en las mismas condiciones. Cuanto mayor es la ganancia, mejor es la antena.

La unidad que sirve para medir esta ganancia es el decibelio (dB). Esta unidad se calcula como el logaritmo de una relación de valores. Como para calcular la ganancia de una antena, se toma como referencia la antena isotrópica, el valor de dicha ganancia se representa en dBi.

Vulnerabilidad en EXCEL

Hace unos días, se hacía público una vulnerabilidad importante en Microsoft Excel, aunque no trascendía toda la información.
Hoy ya se sabe mas:

El fallo se debe a una validación errónea de memoria que puede derivar en la ejecución de código arbitrario. Debido a que el problema está siendo activamente aprovechado y no existe parche oficial, se ha convertido en un «0 day», lo que supone un importante problema de seguridad.

El fallo afecta a las siguientes versiones de Excel: 2003, Viewer 2003, 2002, 2000, 2004 para Mac y v. X para Mac. Para que el error pueda ser aprovechado y un atacante consiga ejecutar código, la víctima deberá abrir con alguna de estas versiones un archivo especialmente manipulado. Habitualmente, la extensión más «sospechosa» será xls pero también xlt, xla, xlm, xlc, xlw, uxdc, csv, iqy, dqy, rqy, oqy, xll, xlb, slk, dif, xlk, xld, xlshtml, xlthtml y xlv son susceptibles de provocar problemas si son abiertas con Excel.

El archivo especialmente manipulado puede llegar a través de cualquier medio y de cualquier fuente. El hecho de que un correo con remitente conocido adjunte un fichero en Excel no debe suponer que automáticamente se confíe en él. Como con cualquier otro malware, las direcciones de los remitentes pueden ser falsificadas.

No existe parche oficial, y Microsoft no se ha pronunciado sobre fechas de publicación. Mientras, recomienda mitigar el impacto del problema a través de algunas modificaciones en el registro.

La recomendación es clara: No abrir ningún adjunto a un correo, si se sospecha lo mas mínimo. Aunque se trate de un remitente de confianza, puede contener código maligno. Y ante la duda, a la basura.

Via Hispasec

El intento de engaño de MidAmerica Bank

Mi colección de correos fraudulentos sigue creciendo. Hoy tengo éste:

Dear MidAmerica Bank customer,

This is your official notification from MidAmerica Bank that the service(s) listed below
will be deactivated and deleted if not renewed immediately. Previous notifications have
been sent to the Billing Contact assigned to this account. As the Primary Contact, you
must renew the service(s) listed below or it will be deactivated and deleted.

Renew Now your MidAmerica Bank Bill Pay and Services (aqui el enlace a un dominio villericay.net).

If you are not enrolled at Web Banking, please enter your username,
and your account password and follow the steps.

SERVICE : MidAmerica Bank with Bill Pay.

Thank you, sincerely,

Customer Service

========================================
IMPORTANT CUSTOMER SUPPORT INFORMATION
========================================

Document Reference: (48051).

TM 2006 MidAmerica Bank Corporation, All Rights Reserved. Member FDIC. Equal Housing Lender.

* Please do not reply to this message. For any inquiries, contact Customer Service.

Nos recomiendan que no respondamos el correo, que atentos.
A la saaacaaa!!!!!

Proyecto Junio 2006 (16 cámaras)

Inauguro una sección donde quiero ir comentando alguno de los proyectos de la empresa.

Y el primero es un proyecto de 16 cámaras DLINK DCS-2100 G, para una misma empresa, en 2 ubicaciones distintas (fábrica y tienda).

Uilizaremos también algún switch POE, y un par de switchs normales. Un par de ordenadores donde se irán guardando las imágenes grabadas. Bastantes metros de cable.

La idea es que se tenga visión contínua y grabada de la producción de la empresa, tanto desde dentro como desde fuera, asi como de los accesos a la misma para controlar posibles robos.