Espero los aprovechen y les sirvan.

Saludos, Christian.-

El día de hoy se liberó Internet Explorer 8 Release Candidate 1, un paso más cerca de la versión final a ser liberada en los próximos meses. Desde hoy esta disponible en 25 idiomas la versión RC1 pueden obtenerla en www.ie8entuidioma.com

Este Release Candidate es la versión completa de la plataforma final, por ende, la versión final tendrá la funcionalidad de la versión recién liberada.

Hay características nuevas en esta versión con cambios basados en la retroalimentación de Uds. los beta testers. Hace ya algún tiempo escribí un artículo sobre la Seguridad en Internet Explorer 8 pero han habido algunos cambios relevantes que paso a detallar:

• InPrivate. InPrivate ayuda a proteger los datos y la privacidad de los usuarios de mantener información almacenada localmente en el PC que estan usando y por terceras partes que esten haciendo seguimiento de sus actividades en línea. Nuevo en esta versión RC1 es la posibilidad de usar independientemente estas características: InPrivate Blocking o InPrivate Filtering.
  • InPrivate Browsing: cuando está activado, ayuda a asegurar que el historial, los archivos temporales y las cookies no son grabadas en el PC del usuario luego de utilizarlo. En RC1, las barras de herramientas y las extensiones son automáticamente deshabilitadas cuando está usándose el modo InPrivate Browsing. Adicionalmente, los usuarios pueden automáticamente borrar el historial de navegación cuando cierran el navegador.
  • InPrivate Filtering: que era llamado InPrivate Blocking en el Beta 2, ayuda a proteger la privacidad habilitando al usuario a bloquear contenido proveniente de terceras partes que están en posición de hacer seguimiento y agregación de su comportamiento en línea. Los usuarios son provistos de notificación, opción y control de cuales terceras partes son permitidas y cuales bloqueadas. Nuevo en RC1 es la posibilidad de ajustar manualmente los umbrales entre 3 y 30 en la configuración de InPrivate Filtering.
• Compatibility View o Vista de Compatibilidad: algunos sitios web están diseñados para navegadores más antiguos pueden no desplegarse correctamente en Internet Explorer 8, que por defecto trata de desplegar el contenido de la manera más compatible posible con los estándares. Internet Explorer 8 tiene un botón de Compatibility View que despliega esas páginas como ellas fueron diseñadas para verse, proveyendo de una manera fácil para resolver problemas de despliegue como menús fuera de lugar, imágenes o texto.
• Compatibility View list: usuarios de Internet Explorer 8 pueden elegir el recibir una lista de los sitios más importante que se ven mejor con Compatibility View. Así cuando están navegando algún sitio de la lista, Internet Explorer 8 automáticamente desplegará el sitio en modo de compatibilidad sin requerir que el usuario presione el botón de Compatibility view.
• Crash recovery o Recuperación de caídas: en Internet Explorer 8 si una pestaña se cae, esta automáticamente se restaura y recarga, y cualquier información que el usuario pudiera haber ingresado en la página (como cuando está escribiendo un correo electrónico o llenando un formulario) es restablecida.
• Delete Browsing History o Borrar el Historial de Navegación: Internet Explorer 8 mejora la característica de borrar el historial de navegación proveyendo a los usuarios la habilidad de borrar ciertas cookies, historial y otros datos mientras mantiene las cookies, el historial y otros datos de sus sitios favoritos.
• SmartScreen Filter: basado en Microsoft Phishing Filter, el SmartScreen Filter ayuda a proteger contra un amplio conjunto de amenazas de phishing y ayuda a protegerse de sitios que tratan de bajar software malicioso. El filtro SmartScreen es ahora más fácil de usar con una interfaz de usuario mejorada y mensajes de alerta para reducir los clic de los usuarios a los sitios confirmados.
• Prevención de ClickJacking: nuevo en Internet Explorer 8 es la característica que permite a los dueños del contenido de sitios web poner etiquetas o tags en el encabezado de la página que ayuda a detectar y prevenir el ClickJacking, que es una explotación maliciosa que engaña a los usuarios de sitios Web para hacer clic en páginas web aparentemente inofensivas que pueden resultar en el compromiso de información confidencial, como nombres de usuario o contraseñas. Internet Explorer 8 detectará sitios que tengan insertada la etiqueta y le entregará a los usuarios un error indicando que el contenido ha sido elegido para prevenir que sea enmarcado, mientras entregará a los usuarios la opción de abrir el contenido en una nueva ventana.
• Filtro Cross-site scripting (XSS): ataques de cross-site scripting o XSS han surgido como una de las mayores explotaciones a servidores Web y aplicaciones Web. Internet Explorer 8 tiene un filtro XSS que es capaz de detectar dinámicamente ataques XSS tipo 1 (de reflexión). Esto ayuda a proteger a los usuarios y sistemas de ataques que puedan llevar a divulgación de información, robo de cookies, robo de cuentas o identidad o intentos de enmascararse como el usuario sin su autorización.
•  Data Execution Prevention (DEP):  esta por defecto habilitado en Internet Explorer 8 en Windows Vista SP1, es una característica de seguridad que ayuda a prevenir el daño a los computadores de los usuarios por virus y otras amenazas de seguridad previniendo que ciertos tipos de código puedan escribir en el espacio de memoria ejecutable.
• Cross-Document Messaging (XDM): provee de un método de seguridad que permite a diferentes documentos comunicarse con otros basado en consentimiento mutuo. XDM es simple, basado en estándares, con un mecanismo de alto rendimiento para comunicación bidireccional entre documentos. Internet Explorer 8 también provee un método toStaticHtml y soporte nativo para JavaScript Object Notation para limpiar los datos de manera segura sin sacrificar el rendimiento.
• Cross-Domain Requests (XDR): las comunicaciones entre dominios es una parte integral del desarrollo de AJAX y las aplicaciones mashup.  Internet Explorer 8 incluye soporte para objetos XDomainRequest, que pueden ser usados para hacer requerimientos de recursos públicos de otro servidor de dominio de manera segura. XDR ahora verifica Access-Control-Allow-Origin de URLs específicos así como de wildcards. Datos entre dominios está disponible sólo cuando las señales del servidor son explícitamente para compartir datos a través de dominios, ayudando a proteger a servidores antiguos de ataques.
• Domain Highlighting o Resaltado de Dominio: Internet Explorer 8 resalta el nombre del dominio de un URL en la barra de direcciones en texto en negrita, haciendo que sea más fácil para los usuarios determinar cuales sitios son y ayudarlos a identificar sitios de phishing y otros sitios engañosos. El nombre del dominio estará en negrita, a diferencia de otros caracteres en el URL que estarán en gris.
• Per-site ActiveX: reduce la superficie de ataque al proveer un SiteLock implícito (una herramienta para restringir el acceso a un dominio específico) así los controles sólo podran correr desde su punto de instalación por defecto. Esto habilit a los usuarios y adminsitradores a administrar cuando un determinado contro ActiveX está autorizado a ejecutarse.
• Per-user ActiveX: permite a los desarrolladores a escribir sus controles ActiveX tal que cuando el usuario los instala, están sólo instalados para ese usuario y no para todos los usuarios del sistema, proveyendo de un nivel de protección para otros usuarios contra controles maliciosos o mal escritos.

Comentarios bienvenidos.

Saludos, Christian.-

Se que algunos hay leido de boletines de Seguridad para Windows 7, es por esto que quería tomarme dos minutos para explicar la categorización de la gravedad de las vulnerabilidades. Como saben los que trabajan en seguridad, siempre para poder priorizar los esfuerzos se catalogan las amenazas para poder medir el riesgo, ya sea cualitativa o cuantitativamente.

Los boletines de seguridad que liberamos el segundo martes de cada mes, tienen esas categorías para cada boletín; donde cada boletín puede solucionar una o más vulnerabilidades, esas vulnerabilidades se catalogan de acuerdo a un ranking cualitativo de que puede ser Bajo, Moderado, Importante, Crítico; la explicación de cada uno está disponible en http://www.microsoft.com/technet/security/bulletin/rating.mspx pero creo que son bastante autoexplicativas.

Adicionalmente, a cada vulnerabilidad identificada con un CVE se le asigna un Indice de Explotabilidad que explica la probabilidad (cualitativa) de que haya código funcional que pueda explotar dicha vulnerabilidad. El detalle del índice de explotabilidad está disponible en: http://technet.microsoft.com/en-us/security/cc998259.aspx

Ahora yendo al detalle de las vulnerabilidades en SMB recientemente descubiertas, son 3, y resueltas por el boletín MS09-001 en el caso de Windows 7 está catalogada con un impacto Moderado y con un índice de explotabilidad de 3, que significa que “Improbabilidad de código funcional que aproveche la vulnerabilidad”.

Dado que Windows 7 es un beta, sólo las vulnerabilidades catalogadas como críticas reciben una actualización en el proceso de liberación que tienen los productos RTM, que es el segundo martes de cada mes. Esto significa que estas vulnerabilidades serán corregidas e incorporadas en el siguiente release del beta.

Cualquier duda no dejen de preguntar.

Saludos, Christian.-

El día de hoy fue especial porque fue el cambio de mando de la presidencia de Estados Unidos. Llamado aca como “Inauguration Day”, es un día lleno de actividades y celebraciones. Donde obviamente las redes sociales, el blogging y el microblogging han sido las estrellas.

Partiendo por la tranmisión de la inaugaración a través de CNN, que asumo que a muchos de Uds. les debe haber llegado por Facebook. Dado que CNN y Facebook hicieron un sitio especial para esto, donde además de la invitación:

Podías ver quienes de tus amigos estaban viendo lo mismo y que estaban escribiendo.

Por supuesto que Twitter (para los más impacientes) tenía canales dedicados al tema como: #Inaug09, #SGPBall o President Obama.

Uno de los puntos interesantes de todo esto fue el uso de tecnología Microsoft durante todas estas transmisiones. Particularmente me llamó mucho la atención el uso de Photosynth, de Microsoft Live Labs, que permite crear imagenes tridimensionales a partir de fotos normales. Ese el caso de lo que uso CNN para mostrar lo que iba pasando. Así cualquiera podía subir su foto y construir varios synth y verlos en conjunto. Pueden ver ahora alrededor de 10 synths ya hechos con fotos que enviaron los asistentes en http://cnn.com/themoment

y finalmente, otra de las joyitas sacadas de Microsoft y usada por MSNBC fue HD View de Microsoft Research, que les permite ver la Inauguración desde altura

Pero en lugar de ver esta simple foto, los invito a que lo vean en el sitio de MSNBC, ya que pueden hacer zoom y ver en lata definición esta imagen de satelite tomada hoy.

Finalmente, el streaming de las transmisiones se hizo usando Silverlight, elegido por el comité de la inauguración.

Saludos, Christian.-

Sectera Edge de General Dynamics, es el nuevo celular de Obama. Elegido por su cuerpo de seguridad por estar certificado por la NSA (National Security Agency) para ser usado por el nuevo presidente Obama y reemplazar su actual Blackberry.

Catalogado como SME PED: Secure Mobile Environment Portable Electronic Device, tiene la capacidad de cambiar de una red privada a una pública con un sólo clic. Provee comunicaciones seguras usando Type 1 encryption, que es la certificación que da la NSA a los dispositivos que pueden conectarse a redes clasificadas.

Adicionalmente, de todas las características de seguridad electrónica, es a prueba de golpes y agua (o de MVPs como dirían algunos ;).

Dentro de las características que el fabricante menciona dentro de la categoría easy-to-use esta el que el dispositivo tiene como sistema operativo Windows Mobile.

El precio del aparatito en cuestión es de US$3.350 segun la última lista de precios disponible en el sitio de General Dynamics.

Todas las especificaciones se pueden ver en el sitio de General Dynamics. Incluyendo un vídeo.

Si alguno tiene uno, cuente como funciona.

Saludos, Christian.-

El día de ayer, Circuit City anunció que debería cerrar sus operaciones y declararse en bancarrota.

El día de hoy su sitio web anuncia esta medida, al verse obligado a cerrar 567 tiendas y despedir a 34.000 empleados. Ya había cerrado más de 100 en Noviembre cuando se acogió a Chapter 11 (protección de quiebra).

El mismo sitio estipula que la liquidación de sus bienes comenzará el 17 de Enero y durará hasta que tengan disponible stock y esperan que esto ocurra en Marzo; luego de lo cual las tiendas se cerraran definitivamente.

Circuit City era una de las cadenas de retail de electrónica omnipresentes en USA. No importaba donde fueras y había una de sus tiendas, caracterizadas por tener una selección de electrónica envidiable, buenos precios y lo más importante para cualquier geek, personal altamente capacitado y que conocían hasta el más mínimo glitch de cuando aparato deseado por el alma geek había. Obviamente, habían alternativas como TigerDirect, Frys, CompUSA pero sólo disponibles en algunos estados; la única real competencia era Best Buy, pero que en mi opinión tenía una orientación a un público menos tecnológicamente geek. :)

Lamentablemente, las condiciones del mercado llevaron a esta cadena a la quiebra; dejando detrás de si 60 años de historia, habiendo partido como una tienda de televisores.

De verdad muy triste por la pérdida.

Saludos, Christian.-

La seguridad es un pilar fundamental de todas nuestras versiones de Windows desde Windows XP SP2, tal como lo fue para Windows Vista. Es por eso que esto es una característica de Windows 7 también.

Si bien Windows 7 y Windows Vista comparten características de seguridad, también hay diferencias y mejoras en Windows 7, veremos el detalle de muchas de ellas durante el transcurso del proceso de betas, pero hay particularmente dos en las que quiero focalizarme: Bitlocker y UAC (User Account Control)

Partamos por una de las características que más polémica trajo entre los profesionales de tecnología desde el lanzamiento de Vista:

UAC o User Account Control: Si bien hay unos que lo odian y otros que lo aman, la verdad es que resulta ser un mecanismo de prevención entre los usuarios. Ahora la pregunta inicial es: por qué un usuario normal necesitaría permisos administrativos? Pensemos en la respuesta mientras.

Lo primero a aclarar es que en Windows 7, UAC no ha sido eliminado sino que el por el contrario se le agregaron funcionalidades.

En el caso de Windows 7, el UAC tiene un control granular del funcionamiento de esta característica basado en el ambiente usado:

Donde la configuración por defecto sólo avisa si los cambios al sistema son hechos por programas y no por el usuario. Es decir, si cambian una configuración verán el ícono del escudo pero no tendrán el prompt de UAC, que sólo verán cuando el cambio lo quiera hacer un programa.

Ustedes pueden elegir desde Nunca notificar hasta Siempre notificar (para el modo más paranoico :)

Adicionalmente, para cada uno de las configuraciones da una recomendación simple de cuando se deben usar, por ejemplo, en el modo de Siempre Notificar indica: “Recomendado si usted rutinariamente instala nuevo software y visita sitios web con los que no esté familiarizado”

Ahora sigamos con una característica que te permite proteger tus datos en el disco duro:

Bitlocker y Bitlocker To Go:  esta funcionalidad incorporada en Windows Vista que permitía inicialmente encriptar el disco de booteo del sistema con encripción a bajo nivel haciendo uso de los chips de TPM (Trusted Platform Module), luego en el SP1 de Vista fue extendida para ser usada en otros discos, pero siempre hablamos de discos físicos. La novedad en Windows 7, es que ahora se puede utilizar en cualquier dispositivo extraible como un pendrive o un disco externo. Extendiendo la protección frente a la pérdida o robo de los dispositivos.

Así la interfaz de administración de Bitlocker les permite manejar esto:

Así al ingresar un dispositivo que está encriptado, les pedirá la clave usada para poder desbloquearlo. Obviamente, si el equipo donde lo usan es de confianza – y ya tiene Bitlocker – pueden almacenar la clave en el equipo.

Les comparto el siguiente video (en inglés) acerca del uso de Bitlocker y Bitlocker to Go, que son parte de los videos disponibles en TechNet Springboard, que es el lugar donde encontrar la información técnica de Windows 7. Ahí pueden encontrar más videos, documentación y guías paso a paso.

Obviamente, Windows 7 tiene más características de seguridad como manejo avanzado de politicas de grupo, perfiles para Windows Firewall, el nuevo Action Center y muchas otras que iremos discutiendo de a poco en este mismo blog.

Cualquier comentario o consulta como siempre bienvenida.

**Este artículo fue publicado desde Windows Live Writer 2009 en Windows 7 Beta (Build 7000)**

Saludos, Christian.-

En Las Vegas se lleva a cabo CES y se acaba de anunciar (redoble de tambores) la disponibilidad del beta de Windows 7 y de la nueva versión de Windows Live. Esto ocurrió durante el discurso de Steve Ballmer hoy 7 de Enero en el Computer Electronics Show.

Qué significa esto? Qué quienes sean suscriptores de MSDN, TechBeta y TechNet pueden descargar la versión beta de Windows 7 a partir de hoy. Para quienes no esten suscritos a alguno de esos programas podrán bajar Windows 7 a partir del 9 de Enero desde el sitio de Windows 7 en: www.microsoft.com/windows7

Recomiendo encarecidamente que no bajen NINGÚN beta de Windows 7 que esté disponible en otro sitio que no sea los anteriormente descritos. Esto dado que las versiones no originales del beta pueden representar una amenaza daod que no podemos asegurar que no hayan sido manipuladas incorrectamente.

Quienes quieran tener más información técnica al respecto, que iré discutiendo en este blog pueden referirse al sitio del programa Springboard, donde encuentran todo lo necesario para hacer hacer implementaciones de Windows desde XP, Vista y ahora Windows 7.

Obviamente, les recuerdo que si quieren hacer implementaciones productivas mi recomendación es usar Windows Vista, ya que es la mejor plataforma productiva disponible.

Como nunca esta demás una demo, les comparto la demo de Windows 7 en CES.

Saludos, Christian.-

Hola a todos,

no importa si celebras Navidad, Hanukkah, Kwanza o Festivus; les deseo a todos unas Felices Fiestas.

Este año fue un tanto curioso en términos de tecnologías, crisis económicas, la explosión de las redes sociales y muchas otras cosas que nos mantuvieron expectantes. Veremos que nos depara el 2009….

Les deseo a todos un buen año que venga cargado de videojuegos, gadgets y cuanto aparato geek sea la novedad.

Saludos a todos, Christian.-

La semana pasada liberamos una actualización de seguridad fuera de programación, con el fin de mantener protegido a nuestros usuarios corriegiendo una vulnerabilidad encontrada en Internet Explorer.

Como siempre la cobertura de prensa fue importante en estos temas, pero esta vez leí muchos artículos que replicaban artículos escritos en USA o en Inglaterra, con inexactitudes importantes y más aún casi vaticinando el fin del mundo informático por este problema. Si bien, efectivamente el problema era Crítico, el infundir el pánico nunca es una buena práctica. Particularmente en el caso de seguridad, lo primero es tratar de tranquilizar la situación para informar que es lo que se debe hacer.

Es por lo anterior, que me llamó profundamente la atención un artículo de Gustavo Aldegani, quien es Editor especializado en seguridad para IT Sitio, quien llama a la seriedad al momento de informar este tipo de noticias.

Transcribo el artículo íntegro con previa autorización de Gustavo.

Y quién es Gustavo Aldegani? Evaluen Uds. mismos:

Gustavo Aldegani:

• Consultor Independiente en Seguridad Informática con 25 años de experiencia en Implementación de Sistemas Seguros en empresas y organizaciones militares y de gobierno de Argentina , América Latina y Estados Unidos.
• Coordinador Técnico del CSIRT (Computer Security Response Team) de CABASE para organizaciones privadas de Argentina.
• Consultor contratado por la ONTI (Oficina Nacional de Tecnologías de la Información de la Argentina) para el Proyecto de Infraestructura Nacional de Firma Digital desarrollado entre 2004 y 2007.
• Director de la Carrera de Especialista en Seguridad Informática del CCAT (Centro de Capacitación de Alta Tecnología).
• Profesor de la Facultad de Tecnología Informática de la Universidad de Belgrano.
• Profesor del Posgrado de Seguridad Informática de la Universidad de Belgrano.
• Director de la Comisión de Seguridad Informática del Consejo Profesional en Ciencias Informáticas.
• Cuenta con 8 libros publicados sobre Seguridad Informática, algunos de los cuales fueron utilizados como libros de texto de la materia en Universidades Nacionales y Privadas de Argentina.

Espero encuentren el artículo tan valioso como yo.

Saludos, Christian.-