Un grupo de investigadores ha propuesto la autenticación de sistemas informáticos de dispositivos móviles, por medio de un sensor que utilizaría las propiedades elétricas únicas del cuerpo de una persona para reconocer su identidad.
En un documento, los investigadores, del Instituto para la Seguridad, Tecnología y Sociedad de la Universidad de Darmouth, explicaron que el dispositivo contendría pequeños electrodos para medir la bioimpedancia – una medida de cómo los tejidos del cuerpo se oponen a una pequeña corriente alterna aplicada – y que aprendería la manera única en que el cuerpo de la persona que lo usa responde a la corriente alterna de diferentes frecuencias. De esta manera, y por medio de un algoritmo de reconocimiento, se determinaría si la persona coincide con la bioimpedancia medida.
Imagen: Arstechnica.com
El usuario simplemente tendría que vestir este accesorio, que no distaría mucho de un reloj de pulsera, para que los dispositivos que lleve consigo funcionen, es decir, no tendría la necesidad de ingresar contraseñas constantemente.
“Hemos propuesto el concepto de un dispositivo portátil, en un factor de forma de reloj de pulsera, que se encargaría de coordinar la red de sensores del área corporal de una persona, proporcionando una raíz de confianza. Este dispositivo también proporciona una plataforma perfecta para la implementación de un mecanismo de reconocimiento biométrico. Esperamos que la electrónica necesaria y los sensores de contacto con la piel para la bioimpendancia puedan ser fácilmente integrados en un dispositivo como Amulet”, indicaron los investigadores.
Los dispositivos reconocen la presencia de cada uno de los otros y detectan si están en el mismo cuerpo, y desarrollan secretos compartidos desde los cuales se derivan claves de cifrado para establecer comunicaciones fiables y seguras. El objetivo de esto es garantizar la seguridad de los dispositivos portables de monitorización de condiciones de la salud, a un nivel de detalle sin precedentes.
Además agregan que los datos recogidos por los sensores se pueden compartir de manera automática con un servicio de red social o con un Registro Médico Electrónico, para que un profesional de la salud los interprete. Sin embargo, el proceso para una interpretación acertada de los datos es lo que aún requiere una mayor cantidad de información, ya que las condiciones de salud consideradas normales para una persona, pueden ser diferentes para otra, y sería necesario tener información sobre el medio ambiente del usuario, la actividad que está realizando en un momento dado, su ubicación y contexto social, entre otros.
La investigación de Dartmouth fue apoyada por la National Science Foundation y por el Departamento de Salud y Servicios Humanos de los Estados Unidos.
Sistema semi-autónomo toma el volante para mantener al conductor seguro.
Jennifer Chu, MIT News Office. Original (en inglés).
Barriles y conos puntean un campo abierto en Saline, Michigan, formando una pista de obstáculos para un vehículo modificado. Un conductor dirige remotamente el vehículo a través de la pista desde una ubicación cercana mientras un investigador observa. Ocasionalmente, el investigador indica al conductor que mantenga el volante recto — una trayectoria que parece poner al vehículo en un curso de colisión con un barril. A pesar de las acciones del conductor, el vehículo se dirige a sí mismo rodeando el obstáculo, devolviéndole el control al conductor una vez que el peligro ha pasado.
La clave de la maniobra es un nuevo sistema de seguridad semiautónomo desarrollado por Sterling Anderson, un estudiante de doctorado en el Departamento de Ingeniería Mecánica del MIT (Massachusetts Institute of Technology – Instituto Tecnológico de Massachusetts), y Karl Iagnemma, un científico investigador principal en el Grupo de Movilidad de Robótica del MIT.
El sistema utiliza una cámara a bordo y un telémetro láser para identificar los peligros en el entorno de un vehículo. El equipo ideó un algoritmo para analizar los datos e identificar las zonas de seguridad — evitando, por ejemplo, barriles en un campo, o otros autos en una carretera. El sistema permite a un conductor controlar el vehículo, sólo tomando el volante cuando el conductor está a punto de salir de una zona de seguridad.
Anderson, quien ha estado probando el sistema en Michigan desde el pasado mes de septiembre, lo describe como un ‘co-piloto inteligente’, que monitoriza el desempeño de un conductor y hace ajustes “detrás de escenas” para salvaguardar al vehículo del choque con obstáculos, o mantenerlo dentro de una región segura del entorno, tales como un carril o un área abierta.
“La verdadera innovación es permitir al coche para compartir [el control] contigo”, dice Anderson. “Si usted desea conducir, sólo va a… asegurarse de usted no golpee nada.”
El grupo presentó los detalles del sistema de seguridad recientemente en el Simposio de Vehículos Inteligentes en España.
Fuera del camino transitado
La investigación robótica se ha centrado en los últimos años en el desarrollo de sistemas — desde automóviles hasta equipos médicos y maquinaria industrial — que pueden ser controlados por robots o humanos. En su mayor parte, tales sistemas operan a lo largo de caminos preprogramados.
Como ejemplo, Anderson señala la tecnología detrás de los coches que se estacionan por sí mismos. Para estacionar en paralelo, un conductor involucra la tecnología accionando un switch y alejando sus manos del volante. El coche, entonces se estaciona a sí mismo, siguiendo una ruta previamente planeada en base a la distancia entre los coches vecinos.
Mientras que una ruta planeada puede funcionar bien en una situación de estacionamiento, Anderson dice que a la hora de conducir, una o incluso varias rutas es demasiado limitante.
“El problema es que los seres humanos no piensan de esa manera”, dice Anderson. “Cuando tú y yo manejamos, [no] escogemos un solo camino y lo seguimos obsesivamente. Normalmente, tu y yo vemos un carril o un estacionamiento, y decimos ‘Aquí está el campo de un viaje seguro, aquí está toda la región de la carretera que puedo usar, y no me voy a preocupar de permanecer en una línea específica , siempre y cuando esté a salvo en la carretera y evite colisiones'”.
Anderson e Iagnemma integraron este punto de vista humano en su sistema robótico. El equipo vino con un enfoque para identificar zonas seguras, u “homotopías,” en lugar de rutas específicas de viajes. En lugar de trazar las trayectorias individuales a lo largo de una carretera, los investigadores dividieron el entorno del vehículo en forma de triángulos, con ciertos bordes del triángulo representando un obstáculo o el límite de un carril.
Los investigadores idearon un algoritmo que “restringe” los bordes de obstáculos contiguos, lo que permite al conductor navegar a través de cualquiera de los bordes del triángulo excepto aquellos que están restringidos. Si un conductor está en peligro de cruzar borde restringido — por ejemplo, si se ha dormido al volante y está a punto de chocar hacia una barrera o un obstáculo — el sistema se hace cargo, dirigiendo al carro de vuelta dentro de la zona de seguridad.
Generando confianza
Hasta el momento, el equipo se ha hecho más de 1.200 pruebas del sistema, con pocas colisiones; la mayoría de ellas ocurrieron cuando problemas técnicos en la cámara del vehículo fallaron al identificar un obstáculo. En su mayor parte, el sistema ha ayudado con éxito a los conductores a evitar colisiones.
Benjamin Saltsman, gerente de tecnología e innovación inteligente del vehículo camión en Eaton Corp., dice que el sistema tiene varias ventajas sobre las variantes totalmente autónomas tales como los vehículos auto-conducidos desarrollados por Google y Ford. Estos sistemas, dice, están cargados de sensores costosos, y requieren grandes cantidades de computación para planificar rutas seguras.
“Las implicaciones del sistema de [Anderson] es que lo hace más ligero en cuanto a sensores y requisitos computacionales que lo que un vehículo totalmente autónomo requeriría”, dijo Saltsman, quien no estuvo involucrado en la investigación. “Esta simplificación lo hace mucho menos costoso, y más cercano en términos de implementacion potencial.”
En los experimentos, Anderson también ha observado una respuesta humana interesante: Los que confían en el sistema tienden a desempeñarse mejor que los que no lo hacen. Por ejemplo, cuando se pide que mantengan el volante recto, incluso frente a una posible colisión, los conductores que confiaron en el sistema condujeron a través del trayecto más rápidamente y con mayor confianza que los que desconfiaban del sistema.
¿Y cómo se sentiría el sistema para alguien que no es consciente de que está activado? “Lo más probable es que solamente pienses que eres un piloto con talento”, dice Anderson. “Dirías, ‘Hey, logrado esto’, y no sabrías que el coche está cambiando las cosas detrás de escenas para asegurarse de que el vehículo permanezca seguro, incluso si tus aportes no lo son. ”
Él reconoce que esto no es necesariamente una cosa buena, especialmente para las personas que están aprendiendo a conducir; los principiantes pueden llegar a pensar que son mejores conductores de lo que realmente son. Sin la retroalimentación negativa, con el tiempo estos conductores pueden llegar a ser menos hábiles y más dependientes de la ayuda. Por otro lado, Anderson dice que los conductores expertos pueden sentirse acorralados por el sistema de seguridad. Él e Iagnemma ahora están explorando formas de adaptar el sistema a distintos niveles de experiencia de conducción.
El equipo también espera recortar el sistema para identificar obstáculos utilizando sólo un teléfono móvil. “Se puede meter el móvil en el salpicadero, y usaría la cámara, acelerómetro y giroscopio para proporcionar la retroalimentación necesitada por el sistema”, dice Anderson. “Creo que vamos a encontrar mejores formas de hacerlo que serán más sencillas, económicas y permitan que más usuarios tengan acceso a la tecnología”.
Esta investigación fue apoyada por la Oficina de Investigación del Ejército de los Estados Unidos y la Agencia de Proyectos de Investigación Avanzada de Defensa. La plataforma experimental fue desarrollada en colaboración con Quantum Signal LLC con la ayuda de James Walker, Steven Peters y Sisir Karumanchi.
Hackers astutos pueden robar los secretos de una computadora midiendo el tiempo que tardan las transacciones de almacenamiento de datos o midiendo su consumo de energía. Nueva investigación muestra como detenerlos.
Larry Hardesty, MIT News Office. Original (en inglés).
En los últimos 10 años, investigadores de criptografía han demostrado que aún la computadora aparentemente más segura es espantosamente vulnerable a un ataque. El tiempo que le toma a una computadora guardar datos en memoria, fluctuaciones en su consumo de energía e incluso ruidos que emite pueden traicionar y dar la información para un asaltante astuto.
Ataques que usan dichas fuentes indirectas de información son llamados ataques de canal alterno, y el alza en popularidad de la computación en la nube los hace una amenaza aún mayor. Un atacante tendría que estar muy motivado para instalar un dispositivo en tu pared para medir el consumo de energía de tu computadora. Pero comparativamente es más fácil cargar un poco de código en un servidor en la nube para escuchar otras aplicaciones que está ejecutando.
Afortunadamente, mientras que ellos han estado investigando ataques de canal alterno, los criptógrafos también han estado investigando maneras de detenerlos. Shafi Goldwasser, la profesora de Ingeniería Eléctrica y Ciencia Computacional en el MIT (Massachusetts Institute of Technology – Instituto Tecnológico de Massachusetts), y su antiguo estudiande Guy Rothblum, quien es ahora un investigador en Microsoft Research, recientemente publicaron un largo reporte en el sitio web de Electronic Colloquium on Computational Complexity (Coloquio Electrónico sobre Complejidad Computacional), describiendo un acercamiento general para mitigar ataques de canal alterno. En el Simposio sobre la Teoría de la Computación (STOC – Symposium on Theory of Computing) de la Asociación para la Maquinaria Computacional en mayo, Goldwasser y sus colegas presentarán un artículo demostrando como la técnica que ella desarrolló con Rothblum puede ser adaptada para proteger información procesada en servidores web.
Adicionalmente a prevenir ataques en información privada, dice Goldwasser, la técnica también podría proteger dispositivos que usan algoritmos propietarios para que no se pueda usar la ingeniería inversa por piratas o competidores en el mercado – una aplicación que ella, Rothblum y otros describieron en la conferencia AsiaCrypt del año pasado.
Hoy en día, cuando una computadora personal está en uso, usualmente está ejecutando programas múltiples – dice, un procesador de palabras, un navegador, un visor de archivos PDF, quizá un programa de correos u hojas de cálculo. Todos los programas están almacenando datos en la memoria, pero el sistema operativo de la laptop no permite que ningún programa vea los datos almacenados por otro. Los sistemas operativos funcionando en servidores en la nube no son diferentes, pero un programa malicioso podría lanzar un ataque de canal alterno simplemente enviando sus propios datos a la memoria una y otra vez. Por el tiempo que toma el almacenamiento y la recuperación de datos, podría inferir lo que otros programas están haciendo con precisión sorprendente.
La técnica de Goldwasser y Rothblum oscurece los detalles computacionales de un programa, ya sea que esté ejecutándose en una laptop o un servidor. Su sistema convierte un cálculo dado en una secuencia de módulos computacionales más pequeños. Los datos alimentados al primer módulo son cifrados, y en ningún punto durante la ejecución del módulo son descifrados. La salida todavía cifrada del primer módulo es alimentada al segundo módulo, que la cifra en una manera diferente, y así sucesivamente.
Las formas de cifrado y los módulos están diseñados para que la salida del módulo final sea exactamente la salida de la computación original. Pero las operaciones realizadas por los módulos individuales son enteramente diferentes. Un atacante de canal alterno podría extraer información sobre como los datos en cualquier módulo dado son cifrados, pero eso no le permitirá deducir cual es la secuencia de módulos completa. “El adversario puede tomar mediciones de cada módulo”, dice Goldwasser, “pero no podrán aprender nada más de lo que podrían de una caja negra.”
El reporte por Goldwasser y Rothblum describe un tipo de compilador, un programa que toma código escrito en una forma inteligible a los humanos y lo convierte en un set de instrucciones de bajo nivel inteligibles a una computadora. Ahí, los módulos computacionales son una abstracción: La instrucción que inaugura un nuevo módulo no se ve diferente de la instrucción que concluyó el último. Pero en el artículo de STOC, los módulos son ejecutados en diferentes servidores en una red.
De acuerdo a Nigel Smart, un profesor de criptología en el departamento de ciencia computacional en la Universidad de Bristol en Inglaterra, el peligro de los ataques de canal alterno “ha sido conocido desde finales de los 90”.
“Se hizo mucha ingeniería para tratar de prevenir que esto fuera un problema”, dice Smart, “una enorme cantidad de trabajo de ingeniería. Eso es mucho dinero en la industria”. Mucho de ese trabajo, sin embargo, se ha basado en prueba y error, dice Smart. El estudio de Goldwasser y Rothblum, por otro lado, “es un estudio con muchas más bases, analizando preguntas básicas y profundas sobre que es posible”.
Además, dice Smart, trabajo previo en ataques de canal alterno tendían a enfocarse en la amenaza impuesta a dispositivos móviles, como celulares y tarjetas inteligentes. “Me parece que lo más probable que ocurra en el futuro es lo que se habla sobre servidores”, dice Smart. “No se de nadie fuera del MIT que esté estudiando eso”.
Smart advierte, sin embargo, que el trabajo de GoldWasser y sus colegas es improbable que se convierta en aplicaciones prácticas en el futuro cercano. “En seguridad, y especialmente en criptografía, toma un largo tiempo pasar de una idea académica a algo que realmente sea utilizado en el mundo real”, dice Smart. “Están estudiando lo que podría ser posible en un tiempo de 10 o 20 años”.
La computación en la nube se ha vuelto completamente omnipresente, dando lugar a cientos de nuevos servicios basados en web, plataformas para construir aplicaciones, y nuevos tipos de negocios y compañías. Sin embargo, la plataforma libre, fluida y dinámica que la computación en la nube provee también la hace particularmente vulnerable a ciber-ataques. Y debido a que la nube es infraestructura compartida, las consecuencias de dichos ataques pueden ser extremadamente serias.
Ahora, con fondos de la Agencia de Investigación de Proyectos Avanzados de Defensa (DARPA – Defense Advanced Research Projects Agency), investigadores del Laboratorio de Ciencia Computacional e Inteligencia Artificial (CSAIL – Computer Science and Artificial Intelligence Laboratory) del MIT (Massachusetts Institute of Technology – Instituto Tecnológico de Massachusetts) planea desarrollar un nuevo sistema que ayudaría a la nube a identificar y recuperarse de un ataque casi instantáneamente.
Típicamente, los ciber-ataques fuerzan el apagado del sistema infiltrado entero, independientemnete de si el ataque es en una computadora personal, en un sitio web de negocios o en una red entera. Mientras que el apagado previene que el virus se esparza, éste efectivamente deshabilita la infraestructura subyacente hasta que la limpieza está completa.
El profesor de Ingeniería Eléctrica y Ciencia Computacional Martin Rinard, un investigador principal en CSAIL y líder del proyecto Detección y Reparación de Intrusiones en la Nube (Cloud Intrusion Detection and Repair), y su equipo de investigadores planean desarrollar una infraestructura de computación en la nube inteligente y que se autorepare que sería capaz de identificar la naturaleza del ataque y entonces, esencialmente, arreglarse a sí misma.
El ámbito de su trabajo está basado en examinar las operaciones normales de la nube para crear lineamientos de como debería de verse y funcionar, entonces partir de este modelo para que la nube pueda identificar cuando un ataque está ocurriendo y regresar a la normalidad tan rápidamente como sea posible.
“Muy similar a cómo el cuerpo humano tiene un sistema de monitoreo que puede detectar cuando todo está funcionando normalmente, nuestra hipótesis es que un ataque exitoso puede parecer como una anormalidad en la actividad operativa normal del sistema”, dice Rinard. “Al observar la ejecución de un sistema en la nube ‘normal’ estaremos en el corazón de lo que queremos preservar sobre el sistema, lo que debería mantener a la nube segura de un ataque”.
Rinard cree que un problema mayor con la infraestructura de computación en la nube de hoy en día es la falta de un entendimiento completo de como operan. Su investigación apunta a identificar los efectos sistémicos de comportamiento diferente en sistemas de computación en la nube por pistas sobre como prevenir futuros ataques.
“Nuestra meta es observar y entender la operación normal de la nube, y entonces cuando ocurra algo fuera de lo ordinario, tomar acciones que conduzcan a la nube de vuelta a su modo normal de operaciones”, dice Rinard. “Nuestra expectativa es que si podemos hacer esto, la nube sobrevivirá el ataque y seguirá operando sin ningún problema”.
Al examinar de cerca las operaciones de la nube entera y usando ese modelo para prevenir ataques, el sistema de Rinard debería permitir que la nube detecte y se recupere de nuevos ataques independientemente, una operación que es imposible para sistemas actuales.
“Al monitorear por desviaciones en el comportamiento que sean indicativas de actividad maliciosa en lugar de firmas existentes, nuestro sistema puede detectar y recuperarse de ataques desconocidos previamente”, dice Stelios Sidiroglou-Douskos, un científico investigador en CSAIL.
Durante la conferencia de seguridad CanSecWest, Google ofrecerá una vez más recompensas por explotar vulnerabilidades en Google Chrome.
“El objetivo de nuestro patrocinio es simple: tenemos una gran oportunidad de aprendizaje cuando recibimos explotación completa de vulnerabilidades. Esto complementa y extiende nuestro programa “Chromium Security Rewards” (Recompensas de Seguridad de Chromium) al reconocer que una manera de explotar completamente una vulnerabilidad es significativamente más trabajo que encontrar y reportar un error potencial de seguridad”. explicaron Chris Evans y Justin Schuh del equipo de seguridad de Google Chrome en el Blog de Chromium.
Las recompensas ofrecidas por Google son:
USD$60,000 – “Explotación completa de Chrome”: Solo deben utilizarse errores en Google Chrome.
$40,000 – “Explotación parcial de Chrome”: Al menos uno de los errores utilizados debe ser de Google Chrome. Por ejemplo, un error en WebKit combinado con un error de aislamiento de procesos de Windows.
$20,000 – “Recompensa de consuelo, Flash / Windows / otra”: Se utilizan errores externos a Google Chrome. Por ejemplo, errores en Flash, Windows o un controlador. Estos errores pudieran afectar no solo a Chrome sino a cualquier otro navegador.
Todos los ganadores recibirán tambien una Chromebook. Las recompensas serán por categoría, hasta el límite de $1 millón. La explotación de vulnerabilidades debe ser confiable, completamente funcional, presente en las últimas versiones, y desconocida por nosotros o que no haya sido compartida previamente con terceros.
Google llevará a cabo esta competencia en un evento llamado Pwnium. Anteriormente patrocinaban la competencia Pwn2Own que trata de lo mismo (hay varias computadoras, con diferentes sistemas operativos y diferentes navegadores, si hackeas una te la puedes llevar). En esta competencia Google Chrome ha salido intacto en años anteriores, pero este año decidieron no patrocinarlo por que en la competencia se les permite a los competidores no revelar lo que utilizaron para hackear la computadora, y a Google lo que le interesa es aprender sobre estas vulnerabilidades.
Un equipo de matemáticos y criptógrafos de Europa y Estados Unidos descubrieron una debilidad inesperada en el sistema de cifrado que se usa mundialmente para ventas en línea, manejo de cuentas de banco, correo electrónico y otros servicios de Internet que deben ser privados y seguros.
El sistema de cifrado de clave pública se basa en la generación de dos claves ligadas entre sí; lo que una clave cifra, únicamente la otra clave puede descifrarlo y vice versa. Entonces una de estas claves se comparte mientras que la otra se conserva privada y secreta.
Al hacer una transacción con un banco por ejemplo, nuestra clave pública es enviada al banco, éste entonces puede cifrar los datos que nos envía utilizando la clave pública que recibió, y solo la clave privada, que está en nuestra posesión, podrá descifrar estos datos que envió el banco, evitando que terceros puedan ver la información. Así mismo el banco nos envía a nosotros su clave pública, para que nuestra computadora pueda cifrar los datos que enviamos de tal manera que solo el banco pueda descifrarlos con su clave privada.
Para que este sistema funcione, se necesita que ambas claves sean generadas utilizando datos al azar, si los datos no son realmente al azar, entonces la clave privada podría ser deducida a partir de la clave pública, invalidando por completo la utilidad de cifrar los datos, ya que cualquiera que obtenga nuestra clave privada podrá ver los datos cifrados con nuestra clave pública, y el solo objetivo de cifrar los datos es para que esto no ocurra.
Lo que los investigadores encontraron es precisamente que 2 de cada 1000 claves privadas pueden ser deducidas a partir de la clave pública debido a que los sistemas que generaron las claves no lo hicieron utilizando realmente datos al azar.
“Realizamos una revisión de sanidad de claves públicas recolectadas en la web. Nuestro objetivo principal era probar la validez de la suposición de que diferentes elecciones al azar son realizadas cada vez que las claves son generadas. Encontramos que la gran mayoría de las claves públicas funcionan como deben. Un encuentro más desconcertante es que dos de cada mil módulos de RSA que recolectamos no ofrecen seguridad. Nuestra conclusión es que la validez de la suposición es cuestionable y que generar claves en el mundo real para criptosistemas de ‘secretos múltiples’ como el RSA es significativamente más riesgoso que para los de ‘secreto único’ como los de ElGamal o (EC)DSA que están basados en Diffie-Hellman”. dice el abstracto de la investigación.
Los investigadores detallaron su trabajo en una revista académica que los autores enviaron para su publicación a una conferencia de criptografía que será llevada a cabo en Santa Bárbara, California, en agosto. Sin embargo hicieron público su descubrimiento el martes por que creen que el asunto es de preocupación inmediata para los operadores de servidores web que confían en el sistema de cifrado de clave pública.
La Oficina Federal de Seguridad Informática de Alemania, recomendó hoy que los usuarios de Windows 7 utilicen el navegador Chrome de Google, citando las características de la aplicación como aislamiento de procesos y las auto-actualizaciones.
“Tu navegador de Internet es el componente clave para el uso de servicios en la Web y por lo tanto representa el principal objetivo para ciber-ataques,” dijo la agencia BSI (Bundesamt fuer Sicherheit in der Informationstechnik) en su recomendación publicada. “Al utilizar Google Chrome en conjunto con otras medidas mencionadas arriba, puedes reducir significativamente el riesgo de un ataque.”
El sistema de aislamiento de procesos aísla el navegador del sistema operativo y el resto de la computadora. En Alemania, Windows no viene con Internet Explorer instalado, en lugar de esto a los alemanes les es presentada una pantalla de selección de navegador al usar la computadora por primera vez, así ellos eligen el navegador que quieren como predeterminado, y si es necesario el navegador es descargado e instalado.
Al comienzo de Diciembre, el Software Freedom Law Center (SFLC) le previno a la Oficina de Derechos de Autor (Copyright Office) que los vendedores de sistemas operativos utilizarían el sistema de inicio seguro de UEFI (Interfaz Unificada de Firmware Extensible) de manera anti-competitiva, coludiéndose con vendedores de hardware aliados para excluir sistemas operativos alternativos. Como Glyn Moody mencionó, Microsoft no perdió el tiempo al modificar sus requerimientos de Certificación de Hardware Windows para prohibir la mayoría de los sistemas operativos alternativos en dispositivos basados en procesadores ARM que sean lanzados con Windows 8. La Fundación de Software Libre lleva actualmente una campaña contra esto.
Antes de esta semana, esta política pudo haber preocupado solamente a los clientes de Windows Phone, el cual corre en procesadores ARM. Pero esta semana se anunciaron las laptops Ultrabooks, algunas basadas alrededor del procesadores ARM Snapdragon de Qualcomm. A menos que Microsoft cambie su política, estas podrían ser las primeras PCs producidas que nunca podrán correr algo que no sea Windows, no importa como se sienta Qualcomm sobre limitar las elecciones de sus clientes. SFLC predijo en sus comentarios a la Oficina de Derechos de Autor que el mal uso del inicio seguro de UEFI traería semejantes restricciones, ya comunes en teléfonos inteligentes, a las PCs. Entre la nueva política de Microsoft sobre inicio seguro de ARM y el anuncio de Qualcomm, el peor escenario comienza a parecer inevitable.
Los Requerimientos de Certificación definen (en la página 116) un modo de inicio seguro “personalizado”, en el que un usuario presente físicamente puede agregar firmas para sistemas operativos alternativos a la base de datos de firmas del sistema, permitiendo que el sistema inicie esos sistemas operativos. Pero para los dispositivos ARM, el modo personalizado está prohibido: “En sistemas ARM, está prohibido activar el modo personalizado. Solo el modo estándar puede ser activado.” Los usuarios tampoco tendrán la opción de simplemente desactivar el inicio seguro, de la forma en que lo harían en dispositivos no basados en ARM: “Desactivar el inicio seguro NO DEBE ser posible en sistemas ARM.” Entre estos dos requerimientos, cualquier dispositivo ARM que salga con el logotipo de Windows 8 nunca podrá ejecutar otro sistema operativo, a menos que esté firmado con una llave pre-cargada o que se encuentre una falla en la seguridad que le permita a los usuarios pasar el inicio seguro.
Mientras que el inicio seguro de UEFI está diseñado para proteger la seguridad del usuario, estas restricciones no-estándar no tienen nada que ver con la seguridad. Para sistemas no basados en ARM, Microsoft requiere que el modo personalizado sea activado – una demanda incoherente si el modo personalizado es una amenaza de seguridad. Pero el mercado de ARM es diferente para Microsoft en tres aspectos importantes:
Los fabricantes de hardware aliados de Microsoft son diferentes en ARM. ARM es de interés para Microsoft por una razón primaria: todos los dispositivos móviles que llevan el sistema operativo Windows Phone están basados en ARM. En contraste, Intel domina el mundo de las PC. Ahí, los requerimientos de inicio seguro de Microsoft le permiten a los usuarios agregar firmas en el modo personalizado o desactivar el inicio seguro completamente – siguen cercanamente las recomendaciones del foro UEFI, de los cuales Intel es un miembro fundador. Microsoft no necesita soportar programas legados en las versiones de Windows de ARM. Si Microsoft bloquea los sistemas operativos no firmados fuera de las nuevas PCs, se arriesgaría a molestar a sus propios clientes que prefieren Windows XP o Windows 7 (o, hipotéticamente, Vista). Pero sin esta necesidad de soportar sistemas legados en ARM, Microsoft está ansioso por aprisionar a los usuarios.
Microsoft no controla el suficiente mercado en los dispositivos móviles para levantar preocupaciones de abuso monopólico. Mientras que Microsoft no tiene el monopolio en las PCs que tenía en 1998, cuando fue juzgado por violaciones monopólicas, sigue controlando alrededor del 90% del mercado de sistemas operativos en las PCs – esto es suficiente para que les preocupe que al prohibir sistemas operativos que no sean Windows de las computadoras con Windows 8 los reguladores lleguen tocando a su puerta. Pero por ahora podría usar su comportamiento anti-competitivo en los dispositivos con ARM.
Días atrás se habían filtrado documentos donde se revelaban comunicaciones entre militares indios, Apple, RIM y Nokia donde éstas empresas estaban proporcionando acceso de puerta trasera (backdoor) a militares indios para controlar la comunicación celular.
Mientras que la vigilancia electrónica a menudo es necesario por motivos de seguridad nacional, es preocupante saber que Apple y otros fabricantes de teléfonos inteligentes han dado acceso a los militares indios para la vigilancia de masas a cambio de la presencia de Apple en India.
Afortunadamente este no parece ser el caso. Alan Hely, director de comunicaciones corporativas de Apple, ha dicho a Times of India que, aunque la empresa no puede hacer comentarios sobre los documentos filtrados, la compañía no ha proporcionado ningun acceso de puerta trasera a los militares indios. Alan Hely, dijo:
“Pero no puedo negar que el acceso de puerta trasera (backdoor) estaba previsto“.
Times of India informa que Nokia también ha negado el acceso.
“La compañía toma la privacidad de los clientes y sus datos en serio y se compromete a cumplir con todas las las leyes de protección de datos y privacidad.”
Mientras tanto, RIM se negó a comentar sobre el asunto.
En su intento de convertirse en un líder en la tecnología robótica, Corea del Sur está a punto de poner un nuevo tipo de robot: un guardia robot.
El proyecto patrocinado por el Ministerio de Justicia, se llevará a cabo en una prisión de la ciudad de Pohang, al sureste de Seúl, a partir de marzo.
Estos robots están diseñados para patrullar los pasillos, monitorear las condiciones de las celdas y alertar a los guardias humanos de violencia o malos comportamientos entre los reclusos.
