Naturaleza (Playuela, 2012)

Es fácil olvidarse de la belleza en las urbes. Sus calles sucias, sus mujeres desgastadas por las exigencias insaciables de la banalidad, su ajetreo y su falta de cortesía. No hay que darle mucha cabeza entonces a la existencia de nosotros los descreídos en tales circunstancias.

¿Pero quién al admirar la majestuosidad de los paisajes de nuestro maravilloso planeta no tiene pensamientos de grandiosidad? Quien se adentra en las selvas y navega por sus ríos, quien penetra las montañas y quien se baña en los mares, quien logra apreciar la belleza de la materia, no puede sino dirigirse hacia la trascendencia.

¿Y qué objeción tengo yo a todo esto? Ninguna. Todo esto es dios. Todo esto y todo lo demás. Y yo soy uno con él.

Carta abierta a la organización del Rock And Love (Con Copia: Búnker del Este)

Primero que nada, permitanme saludarlos por el show que orquestaron ayer en El Búnker del Este, el cual presencie y honestamente disfruté. Fue algo fuera de lo común, con poco pero aún así algo de atrevimiento del que hace falta, principalmente propinado por nuestra anfitriona Drag. El asunto es que, quizás el Búnker del Este no estaba preprarado para ese cambio de estrategia. El Búnker es, principalmente, un lugar para sentarse a tomar curda mientras de fondo se pasean distintos géneros de rock que difícilmente puedan escucharse en otro lugar nocturno. Incluso cuando se presenta alguna banda se mantiene esta premisa, y si hay público que obstruye de disfrutar de la presentación a quienes estén en mesa, se les llama a apartarse, cosa que he vivido en carne propia. La vibra es muy distinta de la de un club o una discoteca. Anoche, el Búnker no supo manejar que el centro de la noche fuese el show y no las cervezas. Paso a relatar mi experiencia:

En primer lugar, tal como lo aconsejaba el flyer del evento, mi compañera y yo llegamos temprano para hacernos de un buen lugar en mesa y disfrutar del espectáculo, como habíamos hecho antes cuando había toques de bandas en el Búnker. Apenas nos habiamos sentado nuestro mesonero nos anuncia que se está exigiendo un servicio de ron o vodka por mesa. Es costumbre en el Búnker (entendible, por demás) exigir el consumo a los clientes en mesa, pero ahora se nos exigió consumir un producto en específico. A mi novia y a mi en lo particular no nos gusta ninguna de las dos bebidas, y nos manejamos más bien entre la sangría y la birra ocasional. Pero, ya habíamos llegado muy lejos para regresar, ¡traiganos su ron más barato por favor! (ah, por cierto, también se nos informa informa ante nuestra sorpresa que el servicio cuesta más que lo que normalmente cuesta por haber “un evento”). Al poco tiempo de traernos nuestro servicio, se nos trae además sin aviso y sin opción la cuenta de la mesa. Les estaban mandando a cerrar las cuentas nos dijo el mesonero, así que tuvimos que cancelar de una vez nuestros gastos, y no al finalizar la noche como es costumbre. El ambiente emanaba desorganización. De repente empezaron a poblar el espacio entre las mesas grupos de personas a los cuales, a pesar de no tener mesa, el Búnker no tuvo escrúpulos para ofrecerles el mismo paquete: tome su servicio forzoso de ron, ¿no tiene mesa? Ponga la hielera en el piso... y pague de una vez. Al comenzar el espectáculo, se hizo evidente el por qué del modus operandi de aquella noche: el Búnker no podía controlar el espectáculo... y lo sabía de antemano.

Apenas tomó el escenario el anfitrión para dar inicio al cronograma de actuaciones todo el público se aglutinó en torno a la tarima, y a medida que el campo visual se iba disminuyendo, el resto del público empleó las sillas como pedestales para obtener una mejor visión. El resultado fue que a no más de 5 metros de la tarmina se hizo imposible ver otra cosa que las espaldas de los espectadores. La administración del Búnker por su parte no hizo ningún esfuerzo por corregir la situación, y hasta los mesoneros se adelantaron entre el público y se encaramaron a una silla para ver los stripstease o los monólogos drag. En vez de haber llegado a las 9, lo mismo valía que hubiese llegado a las 12 a escabullirme entre el público, y me hubiese ahorrado el trago amargo de pagar por un beneficio que no obtuve (disfrutar el espectáculo desde una mesa cercana a la tarima)... y el trago amargo del ron. En mis idas al baño pude apreciar el descontento aún mayor de los que tenían mesas más atrás, que no podían ver un carajo a menos que abandonaran su mesa, cosa que la organización del Búnker parecía pasarse por el forro.

Uno puede organizar un evento con mesas, con público sentado y bien atendido con mesoneros y servicios, o un evento de público en pie, con trago en mano, conglomerado en torno a la tarima. Lo que no funciona es la mezcla oportunista que articuló el Búnker anoche, donde quizo cobrar los beneficios de la primera opción, pero ofreciendo el servicio de la segunda.

A ustedes, los organizadores del Rock And Love espero verlos de nuevo en esta ciudad, con más atracciones y espectáculos (y con suerte con más atrevimiento y reto a la buena costumbre y correctitud del público). Con suerte, será en un lugar más apto, o quizás en el mismo, pero con condiciones más acordes a las circunstancias.

Saludos y buenos deseos,

Alejandro Rodríguez

Vulnerabilidad de robo de datos en Android

Thommas Cannon, un experto en seguridad informática británico, ha descubierto recientemente un grave fallo de seguridad en el sistema operativo para equipos móviles Android, que permite a un atacante recuperar datos de la tarjeta de memoria SD y también de un rago limitado de otros archivos almacenados en el teléfono.

La vulnerabilidad está presente, reporta Cannon, debido a una combinación de factores:

• El navegador Web de Android no solicita autorización al usuario cuando descarga un archivo. Por ejemplo, "payload.html" se descaga automáticamente a /sdcard/download/payload.html
• Es posible, usando JavaScript, hacer que este payload se abra automáticamete, haciendo que el navegador renderize el archivo local.
• Cuando se abre un archivo HTML de forma local, el navegador de Web Android ejecuta código JavaScript sin solicitar autorización al usuario.
• En este contexto local, el código JavaScript puede leer los contenidos de los archivos en la tarjeta SD del teléfono del usuario, y otros datos.

Luego, una vez que el código JavaScript tiene los contenidos de un archivo, puede subirlos al servidor del atacante. Este es un exploit simple basado sólo en JavaScript y redireccionamiento, lo que signifca que debería funcionar en multiples dispositivos y multiples versiones de Android sin ningún esfuerzo extra.

Un factor limitante de esta falla de seguridad es que el atacante debe conocer el nombre y la ruta del archivo que desea robar. Sin embargo, multiples aplicaciones guardan datos con nombres consistentes en la tarjeta SD del teléfono, y las fotos tomadas con la cámara también son almacenadas según una convención de nombres consistente. Todo esto ocurre en la "caja de arena" (sandbox) de Android, lo que significa que el atacante no puede acceder a los archivos del sistema, sólo a los archivos en la tarjeta SD y a un número limitado de otros archivos.

Una demostración del fallo de seguridad puede verse en el video embebido abajo. La demostración usa el emulador de Android con Android 2.2 (Froyo). Cannon dice haber probado el procedimiento con éxito en un HTC Desire con Android 2.2. En el demo se puede ver a Cannon crear un archivo en la tarjeta SD del dispositivo Android, luego visitar una página maliciosa, acceder al archivo y subirlo automáticamente a un servidor.



La vulnerabilidad ha sido notificada al Equipo de Seguridad de Android, y están tomando cartas en el asunto. Según reporta Cannon, la nueva versión de Android, Android 2.3 (Gingerbread), corregirá este fallo. Un parche inicial también está siendo evaluado.

A pesar de la celeridad que el equipo de Google pueda tener, se debe tener en cuenta que las actualizaciones del sistema operativo Android recaen en los fabricantes y en las empresas telefónicas, y bien es sabido que no todas ofrecen actualizaciones para todos sus dispositivos, y los que sí las ofrecen no siempre lo hacen en un plazo de tiempo corto. Por lo tanto, muchos dispositivos con Android pudieran estar expuesos a esta vulnerabilidad por mucho tiempo, ¡o incluso para siempre!

El mismo Cannon dice dudar que el exploit se haga masivo, pero como bien reza el dicho de que mejor es prevenir que lamentar, vayan algunos consejos para los usuarios precavidos que quieran protegerse de este fallo de seguridad:

• Cuando el archivo HTML es descargado, se genera una notificación en el área de notificaciones (esto se puede apreciar en el video incrustado más arriba), así que esten pendientes de cualquier descarga automática sospechosa. La descarga no debería suceder de forma completamente silenciosa.
• Pueden deshabilitar el JavaScript en su navegador, desmarcando la opción "Preferencias > Habilitar JavaScript".
• Pueden usar un navegador Web de terceros, como Opera Mobile. Esto tiene dos ventajas: 1) Opera Mobile pregunta al usuario antes de descargar el archivo, y 2) Si una vulnerabilidad es encontrada en el navegador, no deben esperar a que su compañía telefónica les permita actualizar el sistema operativo, simplemente descargan la actualización más reciente del navegador de su elección que corriga la vulnerabilidad.
• Google ha aconsejado la opción de desmontar la tarjeta SD del teléfono (en "Preferencias > Almacenamiento SD y del teléfono"). Esto podría tener un impacto en el uso del teléfono, pero en algunas situaciones, quizá en organizaciones profesionales, podría funcionar. Sin embargo, vale acotar que esta opción no ha sido completamente probada.

P.D.: El problema de fondo es este asunto es la falla en el sistema de seguridad de Android que representa el modelo de actualización del sistema operativo delegado a las manufactureras y a las compañías telefónicas, tal como lo reseña este artículo de Naked Security, en respuesta al artículo original de Cannon.

Este artículo es básicamente una traducción del artículo original de Thomas Cannon, que puede encontrarse en:
http://thomascannon.net/blog/2010/11/android-data-stealing-vulnerability

Distribúyase bajo la siguiente licencia Creative Commons: http://creativecommons.org/licenses/by-sa/3.0/deed.es