La decisión de Adobe de pasar al modelo de suscripción y dejar las licencias tradicionales en un segundo plano está trayendo bastante cola en el mundo del software. Hasta Microsoft se ha atrevido a dejar patente su opinión sobre el asunto en un nuevo post de su blog de Office. “¿Dar el salto a la suscripción es prematuro o un progreso?”, se preguntan. Ellos parecen tener claro la respuesta.

Clint Patterson, responsable de comunicación de Office, admite que al igual que Adobe, ellos piensan que la suscripción es el futuro. Los principales motivos que ofrece para justificarlo son la posibilidad de mantener el software actualizado a la última, la integración con otros servicios y el poder sincronizar de manera sencilla aplicaciones (y sus configuraciones) entre dispositivos. Sin embargo, reconocen que no va a ser algo instantáneo. Concretamente, creen que éste será el modelo que los usuarios terminarán por adoptar en diez años.

Entonces, ¿significa que Microsoft va a seguir apostando por el modelo tradicional de “software empaquetado” y con licencias? Sí, pero también por la suscripción para que sea el cliente final el que escoja la mejor solución para él (al menos de momento). De hecho, son bastante optimistas y reconocen que el ritmo de adopción de Office 365, por ejemplo, está siendo mucho más alto de lo esperado con más de un cuarto de los consumidores que compran Office eligiendo el modelo de suscripción. ¿Qué harán las otras grandes empresas del mundillo del software?

Más información | Blog de Office  http://www.genbeta.com/ofimatica/microsoft-descarta-ofrecer-su-software-solo-mediante-suscripcion-pero-cree-que-es-el-futuro

http://www.genbeta.com/ofimatica/microsoft-descarta-ofrecer-su-software-solo-mediante-suscripcion-pero-cree-que-es-el-futuro

La industria de los intermediarios del mercado de la propiedad intelectual, desde hace años, mantiene una guerra abierta contra las denominadas 'páginas de enlaces', que se ha desarrollado en diversos frentes y que todavía sigue viva. La última batalla de esta guerra se ha saldado, como la mayoría, con la derrota de la industria.
 
En un primer momento, las acciones que se dirigían contra estas páginas se desarrollaron en el ámbito del Derecho Penal. Así, el primer caso del que hubo constancia pública fue el relativo a la página donkeymania.com, denunciada en el año 2002, cerrada de forma cautelar en el 2003, cuyos responsables tuvieron que esperar hasta el año 2011, para conseguir el archivo definitivo del caso.
 
La mayoría de los pleitos que se han seguido en el ámbito penal han arrojado un resultado contrario a las tesis de los denunciantes, y aún quedan asuntos pendientes de resolver en esta jurisdicción.
 
Pero los enemigos de estas iniciativas, ante el resultado infructuoso de las acciones penales, exploraron otras vías por las que atacar. Así, tampoco han sido infrecuentes las denuncias por el incumplimiento de la LSSICE, particularmente, por no proporcionar toda la información requerida por el artículo 10 de la Ley. Así, se han visto casos en los que se han sancionado a estas páginas por no publicar, por ejemplo, un nº de teléfono de contacto, mientras que los denunciantes, que incumplían claramente dicho precepto, no eran objeto de expedientes sancionadores.
 
Luego llegó la Ley Sinde, que dio lugar también a numerosos procedimientos. La inmensa mayoría acabaron en archivo, alguno que otro que acabó con resolución ha sido recurrido ante la Audiencia Nacional y, en cualquier caso, hay una práctica unanimidad en que esta Ley no ha servido para nada y es totalmente ineficaz.
 
Como en toda guerra, hay batallas que se libran en campo abierto, pero muchas otras se hacen por vías alternativas. En el acoso y derribo que se ha intentado frente a estas páginas, hay algunas que, como Cinetube.es, han tenido que soportar todos y cada uno de los frentes anteriores, con resultados satisfactorios, especialmente en el ámbito penal.
 
Ante esta situación, el último intento de sus enemigos por hacerle daño fue denunciar a la página -ojo al dato- por no indicar la calificación por edades de las películas u obras audiovisuales sobre las que se proporcionaba información. Una normativa pensada para la publicidad de las salas de cine se retorcía hasta lo indecible con el claro objetivo de censurar las páginas de enlaces.
 
Como en anteriores ocasiones, Cinetube no se amilanó. Recurrió en vía administrativa, fueron desestimadas sus alegaciones, y tuvo que pagar la multa para poder recurrir. El derecho administrativo es así: otorga facultades exorbitantes a la Administración pública, incluso cuando ésta incurre en desvío de poder.
 
En una reciente sentencia (PDF), que marcará la pauta para otros casos que están pendientes de resolverse, el Juzgado Central de lo Contencioso-Administrativo nº 7 de Madrid estima el recurso presentado por Cinetube y, en síntesis y sin entrar en tecnicismos legales, declara que la obligación de indicar la calificación por edades de las obras audiovisuales no se puede exigir a este tipo de páginas.
 
El 'lobby feroz' no se cansa. Cuando pierden en vía penal, acuden a la civil, y si les dejan, a la vía administrativa. Cuando los jueces no les dan la razón, presionan a los gobiernos para que cambien las leyes y quiten a los jueces. Esperemos que la próxima batalla en esta larga guerra no sea ante la jurisdicción militar.

http://www.elmundo.es/elmundo/2013/05/08/navegante/1368011644.html

Se han publicado nuevas versiones de MediaWiki para las ramas 1.20 y 1.19 que corrigen dos fallos de seguridad entre otros bugs. Estos podrían permitir a un atacante realizar ataques cross-site scripting y eludir restricciones de seguridad.

MediaWiki es un software de código abierto de creación de sitios de edición colaborativa de páginas web, comúnmente conocidos como wikis. Entre este tipo de software, MediaWiki es popular por ser el utilizado para alojar y editar los artículos de Wikipedia.
 
En primer lugar, Jan Schejbalm, de Hatforce, ha descubierto un error en el filtro para ficheros Scalable Vector Graphics (SVG). Este tipo de archivos puede contener código en un lenguaje de scripting (por ejemplo, javascript), normalmente para generar animaciones, pero que también podría ser malicioso. Cuando un SVG se sube a MediaWiki, este filtro procesa su código para asegurarse de que no contiene código javascript.
 
Sin embargo, usando la codificación UTF-7 se puede eludir este filtro. MediaWiki aceptará el fichero como válido, y los navegadores interpretarán y ejecutarán el código dentro de ella sin problemas, tratándola como UTF-8. Esto podría dar lugar a ataques cross-site scripting. Se ha probado el problema tanto en Chrome como en Firefox. Aquí puede verse una prueba de concepto:
 
http://upload.wikimedia.org/wikipedia/test/archive/4/4f/20130415163012!Test-active.svg
 
La solución ha sido crear una lista blanca de codificaciones aceptadas, ya que después de un estudio, se ha comprobado que casi el 100% de los SVG en WikiMedia Commons tiene codificación utf-8 o iso-8859-1.
 
La segunda vulnerabilidad, encontrada por Ryan Lane, se debe a la falta de un método consistente para manejar el bloqueo de reseteo de contraseñas a través de las extensiones. Esto puede provocar que en algunos casos se pueda cambiar la contraseña aun habiendo bloqueado esta posibilidad. Si un atacante tuviera acceso al correo de la víctima, podría eludir la autenticación de doble factor.
 
Se ha asignado los identificadores CVE-2013-2031 y CVE-2013-2032, respectivamente. Las nuevas versiones 1.20.5 (rama actual) y 1.19.6 (LTS) ya incorporan la solución a estas vulnerabilidades. Pueden ser descargadas del sitio oficial de MediaWiki.

Más información:
 
MediaWiki Release notes https://www.mediawiki.org/wiki/Release_notes/1.20 https://www.mediawiki.org/wiki/Release_notes/1.19
 
WikiMedia Bugzilla https://bugzilla.wikimedia.org/show_bug.cgi?id=47304 https://bugzilla.wikimedia.org/show_bug.cgi?id=46590

http://www.laflecha.net/canales/seguridad/noticias/la-nueva-version-de-mediawiki-corrige-dos-vulnerabilidades

La National Aeronautics and Space Administration (NASA), ha decidido sustituir Windows en favor de Linux en los equipos personales de los astronautas de la ISS (Estación Espacial Internacional). Además, el primer robot con forma humana del espacio, llamado R2, está gobernado por GNU/Linux también. R2 sustituirá a los astronautas en labores delicadas o peligrosas en el exterior de la ISS.

Keith Chuvala, de la United Space Alliance, un contratista de la NASA profundamente implicado en las operaciones del desaparecido transbordador espacial, y de la Estación Espacial Internacional, ha decidido migrar a Linux los sistemas de la ISS porque “es difícil obtener soporte técnico a 400 kilómetros de la Tierra”.

    Migramos funciones claves de Windows a Linux porque necesitábamos un sistema operativo estable y confiable.

Los astronautas de la ISS utilizarán equipos portátiles animados con Debian 6. La última versión de la distribución, Debian 7 “Wheezy”, acaba de salir y no está lo suficientemente probada. Anteriormente algunos equipos de la ISS funcionaban bajo Scientific Linux, un clon de Red Hat Enterprise Linux, empleado por el CERN para hallar el Bosón de Higgs junto a Ubuntu.

http://img.genbeta.com/2013/05/r2-robot-humanoide-iss.jpg

La migración se va a realizar con el apoyo de la Fundación Linux, que ha organizado dos cursos específicos especialmente preparados para las necesidades del equipo de la NASA en Estados Unidos (Introducción a Linux para desarrolladores y Desarrollo de aplicaciones Linux).

Vía | Fundación Linux

http://www.genbeta.com/linux/linux-sustituira-a-windows-en-la-estacion-espacial-internacional

Hay ocasiones en  las que un pequeño punto de apoyo nos puede hacer si no dominar el mundo al menos sí conseguir que disfrutemos de los contenidos de nuestro móvil mientras tenemos las manos ocupadas en otra cosa. Pero llevar un atril o contar con algún objeto en el que poder apoyar el dispositivo no siempre es fácil, de ahí la brillantez de la idea de este proyecto presentado a través de Kickstarter en el que todo se reduce a unas pequeñas pestañas añadidas hábilmente a una llave.
 
Se llama Keyprop  y aunque no lleva mucho tiempo presentado para recabar el apoyo de los internautas sí que ha conseguido ya casi un tercio del presupuesto que necesita para convertirse en una realidad gracias al micromecenazgo o crowdfunding.

Seguir leyendo: http://www.theinquirer.es/2013/05/08/keyprop-la-llave-que-sirve-de-atril-para-tu-movil.html

Los abogados de Kim Dotcom, el fundador y máximo responsable de Megaupload, han puesto un nuevo argumento sobre la mesa con el que pretenden defender a su cliente. Según éstos, la acusación formal que pesa sobre el alemán incluye delitos que no existen en el país norteamericano.

La extradición de Kim Dotcom podría complicarse gracias a la última intervención de sus abogados en Nueva Zelanda, país donde reside. La última estrategia de éstos pasa por intentar mostrar cómo el Departamento de Justicia de Estados Unidos, que reclama al alemán para juzgarle, se basa en una mala interpretación de la ley, concretamente "en una teoría de infracción del copyright secundaria que no está en la ley".

Según leemos en FayerWayer, "la fiscalía de EEUU quiere hacer criminalmente responsables a Megaupload y sus ejecutivos por supuesta infracción de parte de las terceras partes usuarias del servicio de almacenamiento en la nube". "Sin embargo, el problema con esta teoría es que una infracción secundaria al copyright no es y nunca ha sido un crimen en Estados Unidos", aseguran con contundencia los letrados.

Asimismo, en el documento de 39 páginas publicado en el país oceánico coincidiendo con la visita del fiscal general Eric Holder del Departamento de Justicia de EEUU, se insiste en una de las tesis más recurrida desde que se conociese la detención de Kim Dotcom y el cierre del cyberlocker. "Dotcom y sus socios no residen en Estados Unidos y la mayoría de las actividades de la compañía ocurrieron fuera de este país", explican los abogados de cara a justificar que no tiene competencia para juzgar al empresario.

Igualmente, el documento hace un llamamiento a que el propio Senado estadounidense analice en profundidad la investigación que realizaron las autoridades federales del FBI alrededor de su cliente y sus socios. Recordemos en este punto que el fundador de la web fue espiado de forma ilegal por la agencia de inteligencia neozelandesa, lo que pone en duda el proceso seguido contra Dotcom y sus socios.

Por último, sus abogados han apuntado a la fuerte influencia de la gran industria de Hollywood a la hora de investigar a su cliente y cómo las grandes compañías del sector cinematográfico habrían colaborado con el Gobierno de Barack Obama.

http://www.adslzone.net/article11480-la-acusacion-de-eeuu-contra-kim-dotcom-se-basa-en-delitos-que-no-existen.html

La compañía de seguridad ESET se ha hecho eco de una vulnerabilidad Oauth en Instagram que podría ser explotada para robar la cuenta de cualquier usuario y acceder a sus fotos privadas.
 
Instagram es una red social ampliamente utilizada para compartir fotografías a través de diferentes plataformas, incluida Facebook, y en la que se acaba de descubrir una grave vulnerabilidad Oauth que permitiría robar cualquier cuenta. Según investigadores de ESET, un atacante que logre explotar la vulnerabilidad tendría acceso a fotos privadas e incluso podría borrar dicha información, así como subir nuevas imágenes y también editar o borrar comentarios existentes.
 
La vulnerabilidad puede ser explotada de dos formas diferentes. La primera opción es el robo de la cuenta a través de la propia vulnerabilidad Oauth de Instagram, para lo que el atacante utiliza el parámetro redirection_uri que valida el sitio web indicado, el cual puede ser explotado si se modificaba el sufijo del sitio especificado. Por ejemplo, si el sitio finalizaba en “.com” podía pasarse como parámetro “.com.es”. Si el ciberdelincuente deseaba llevar a cabo el ataque, debía comprar previamente el dominio con el sufijo modificado, para así poder robar el token de la propia cuenta.
 
La segunda opción utiliza el robo de sesión de Instagram a través de Facebook. Aquí, el investigador demostró que es posible utilizar cualquier dominio en el parámetro redirection_uri, de manera que un atacante podría robar el token de sesión de cualquier usuario de Instagram. Esta vulnerabilidad ya ha sido solucionada por el equipo de seguridad de Facebook.
 
Noticias relacionadas:
 
- Una aplicación falsa de Instagram intenta infectar dispositivos Android
 
- Tres pasos para prevenir el malware en las redes sociales

Autor: Hilda Gómez
 Fecha: 08/05/2013

http://www.csospain.es/Un-fallo-en-Instagram-permite-a-un-atacante-accede/sección-alertas/noticia-132803

La confluencia de la crisis e Internet ha generado múltiples posibilidades para el procomún en sus vertientes económica y social (en nuestro país, impulsado además por todo el movimiento ciudadano desarrollado en torno y a partir del 15-M). Desde un punto de vista económico, su máximo exponente es el crowdfunding. Massolution estimó que en 2012 el crowdfunding movió 2.700 millones de dólares en todo el mundo (un 81% más que en 2011) y que la cifra alcanzará los 5.100 millones de dólares en 2013.

Según crowdsourcing.org hay 550 plataformas a nivel mundial (lo que supone un incremento de hasta el 600% en tan solo cinco años) de las cuáles cerca de 60 se encuentran en España (cerca del 11%).
 
Desde un punto de vista social, tal y como señala Antoni Gutiérrez-Rubí, "la cultura del procomún, como pilar del pensamiento alternativo, tiene tres ventajas que la hacen atractiva: a) se puede aplicar en la vida cotidiana y personal; b) genera pensamiento y práctica como procesos inseparables; c) su dinámica es de abajo-arriba, experimental y práctica, posible y confiada".
 
Los ejemplos más significativos de procomún y economía colaborativa tienen que ver con el p2p y el acceso abierto a la ciencia y a la nueva economía del conocimiento, comunidades de alimentos, sistemas de trueque, tecnologías cívicas y, sobre todo, bancos de tiempo y monedas sociales.
 
Un banco de tiempo es un sistema de intercambio de servicios, habilidades y conocimientos por tiempo. El tiempo de cada participante se valora por igual y la moneda establecida suele ser la hora. Se ofrecen y se demandan múltiples servicios: aprendizaje de idiomas o de habilidades tecnológicas, tareas domésticas, atención a personas, actividades comunitarias, asesoramiento, etc.
 
En 2010 había contabilizados 163 bancos de tiempo en toda España, en 2011 ya se hablaba de 213 y en 2012 se alcanzaban los 291.
 
En este mapa, realizado por Vivir sin Empleo podemos verlos por Comunidades Autónomas e incluso han creado una guía para su creación y gestión. --> https://www.google.com/maps/ms?ie=UTF8&msa=0&msid=216821199477114130347.00047e05cbd4ac3d080be&source=embed&t=m&vpsrc=0&ll=40.094882,-3.88916&spn=8.066184,14.0625
 
La Asociación para el Desarrollo de los Bancos de Tiempo, por su parte, intenta ordenar y publicar de manera colaborativa los conocimientos que se gestan en el día a día de los bancos de tiempo, fomentando el intercambio de información y experiencias así como ofrecer un espacio web gratuito en bdtonline.org.
 
Por su parte, las monedas sociales están vinculadas a la economía local y en 2012 estaban contabilizadas en nuestro país una treintena.
 
Un buen ejemplo de cómo se están desarrollando es The Social Coin, uno de los proyectos ganadores del premio Jóvenes Changemakers de Ashoka 2012. Esta asociación sin ánimo de lucro ha lanzado una campaña de crowdfunding en Goteo para acuñar monedas que inicien cadenas de acciones desinteresadas que se pueden seguir y medir a través de su web.
 
Estas monedas además de tener un código único son biodegradables y tienen una semilla de rosal en su interior que se puede plantar al final de la cadena de favores. A falta de 11 días para que se cierre la segunda fase de financiación ha obtenido 10.475 euros.
 
Como con Internet y el crowdfunding, en el caso del procomún y la economía colaborativa, su desarrollo dependerá del acceso por parte del gran público a este tipo de iniciativas, pero también debemos ser conscientes de que sus usos acaban transformándose en función de las necesidades y experimentaciones de sus usuarios y no tanto de los propósitos iniciales con los que fueron concebidos.

http://www.laflecha.net/canales/blackhats/noticias/monedas-sociales-la-nueva-economia-del-conocimiento

Hace algo más de un mes, os contábamos que Microsoft se estaba reservando todos los detalles acerca de Windows Blue (o 8.1) para su evento Build que se celebrará en junio. Pues bien, desde Redmond han decidido ir más allá y entonces no sólo darán a conocer esta actualización sino que estará disponible de manera pública una versión previa.

Así lo dijo ayer Julie Larson-Green, vicepresidenta corporativa de Windows, durante la Wired Business Conference. Esta información ha sido también publicada en el blog oficial de Windows, donde no han dado más detalles. Sin embargo, en TechCrunch añaden que Larson-Green indicó que la actualización se distribuirá a través de la Windows Store y no por medio de Windows Update.

Por lo tanto, nos quedan algo menos de dos meses para conocer de primera mano todo lo que nos ofrece este Blue, 8.1 o como se decidan llamarlo al final. Imagino que entonces también conoceremos las razones por las que se pasan a la tienda para la distribución, aunque quizá (y estoy especulando) tan sólo es un primer paso de cara a usarla como el lugar donde adquirir próximas actualizaciones mayores del sistema.

Vía | Xataka Windows

http://www.genbeta.com/windows/windows-8-1-tendra-una-version-previa-que-sera-publica-y-aparecera-a-finales-de-junio

Una campaña de spam pornográfico detectada recientemente en Twitter contaba con 5.000 bots activos y era capaz de generar 250 al día. Desde Karspersky Lab denuncian que existen compañías que ofrecen como un servicio de "publicidad social digital" la creación de perfiles fraudulentos en redes sociales, que a veces no duran más de 45 minutos y que cambian su descripción y avatar para burlar las medidas de seguridad y adaptarse a nuevas campañas.

En Karspersky explican que Twitter suele identificar y neutralizar estos bots con facilidad, pero que "ellos se reproducen con la misma facilidad". Lo hacen gracias a las técnicas antes mencionadas, y a otras, como el empleo de un diccionario común para los tuits que mandan, que utilizan con el fin de camuflarse como perfiles legítimos, y al envío de mensajes aleatorios con palabras como "rt", "if", "do", "you", "get" o "find", que el análisis semántico de Twitter suele ignorar.
 
Además, como dice Vicente Díaz, analista senior de malware de Karspersky, resulta preocupante que "muchas veces se usan cuentas hackeadas" para enviar spam, "incrementando notablemente la posibilidad de que los destinatarios activen el enlace, pues suponen que el remitente es un amigo". Un ejemplo es el de la campaña que utilizó está técnica para capturar cuentas con el mensaje "LOL, funny pic of you", tras el cual se ocultaba un sitio malicioso, que fingía ser Twitter para robar nombres de usuario y contraseñas.
 
La firma de seguridad alerta también de que este tipo de spam no solo afecta a la plataforma de microblogging, sino que se está extendiendo a otras redes sociales como Facebook.
 
Según Díaz, para mitigar el efecto de estas campañas es posible utilizar técnicas de aprendizaje automático que permiten una tasa de detección de perfiles fraudulentos de hasta el 91% en algunos experimentos.

http://www.laflecha.net/canales/blackhats/noticias/las-nuevas-herramientas-del-spam