Por lo que se supo el ataque lo habría perpetrado un grupo proveniente de la India que se autodenominaba con el nombre de “The Lords of Dharmaraja”; quienes aseguraban que habían logrado acceder al código fuente del software Norton Antivirus, lo que de inmediato encendió las alarmas entre la gran cantidad de usuarios (particulares y empresas) que utilizan dicha solución en sus computadores y sistemas.

La compañía inició una investigación en la que se logró comprobar que el código fuente del antivirus se encontraba a salvo, pero que los atacantes habían logrado acceder al código fuente de dos de sus productos. En uno de ellos se trataba de código con cuatro años de antigüedad, por lo que no afectaba a ninguno de los productos comercializados por la compañía en la actualidad, mientras que en el segundo caso la compañía necesitaba recolectar más información debido a que el ataque había afectado a una tercera parte (suponemos que se trata de otra compañía que le prestaba algún tipo de servicio a Symantec).

Con el correr de los días desde la compañía se informó que el código fuente al que tuvieron acceso los atacantes correspondía a las versiones 2006 de las soluciones Norton Antivirus Corporate Edition, Norton Internet Security, Norton SystemWorks (Norton Utilities y Norton GoBack); sumado a la herramienta para acceso remoto pcAnywhere. En teoría y según lo señalado por la compañía el robo de dicho código se llevó a cabo en el año 2006 (¿y recién ahora se dieron cuenta?), por lo que en el caso de las soluciones Norton no existía ningún tipo de peligro porque dicho código había sufrido una cantidad importante de modificaciones en todos estos años.

Lamentablemente la solución pcAnywhere la cosa no es tan sencilla y desde la compañía han alertado que todos los usuarios que actualmente la utilizan se encuentran en peligro. De hecho la compañía liberó un parche para corregir tres vulnerabilidades encontradas en la última versión de pcAnywhere (la 12.5), aunque aún no pueden asegurar que no existen otras vulnerabilidades por lo que recomiendan derechamente no seguir utilizándolo hasta que la compañía libere una actualización que resuelva todos los problemas de seguridad.

Links:

- Claims by Anonymous about Symantec Source Code (Symantec)

- Norton AntiVirus source code leaked to hackers? (MSNBC)

- Symantec: Anonymous stole source code, users should disable pcAnywhere (Ars Technica) 

La versión alfa está destinada a celulares y tabletas y corren en un emulador de PC, de modo que sólo opera como “vista previa” de lo que será el sistema operativo. El Proyecto señaló que versiones más avanzadas del código saldrán en los próximos meses.

También se liberó un SDK para desarrolladores de aplicaciones. Se trata de un proyecto en pañales y no está muy claro hacia dónde va. Con el antecedente de Meego, hay que tomarse estos temas con calma.

Link: Tizen Source

Los doctores le recomendaron que se sometiera a una operación en la que se le instalaría un pequeño desfibrilador en las paredes de su corazón. Dicho artefacto posee la capacidad de detectar el momento en que el corazón falla, por lo que le aplica una pequeña carga eléctrica para que siga funcionando de manera normal.

Hasta ahí todo bien, pero lo que no esperaron los doctores fue la respuesta de Karen, quien les solicitó acceder al código fuente que controla al desfibrilador con la finalidad de revisar si éste no tenía problemas tanto en su programación como en su lógica.

El hecho es que Karen M. Sandler es Directora Ejecutiva de la Fundación GNOME, por lo que no podía dejar pasar la oporunidad de revisar el código del dispositivo antes de que le fuera implantado en su corazón.

El tema levantó cierta polémica en Estados Unidos ya que la FDA -organismo que regula la comercialización de estos dispositivos- sólo se preocupa de que estos cumplan con ciertos estándares para su aprobación, pero no tiene las capacidades técnicas para chequear el código fuente de estos.

Es más, según una investigación el 98% de las fallas detectadas por la FDA en este tipo de dispositivos se debían a errores en su software, algo que podría ser fácilmente corregido si se les sometiera a diversas pruebas que validaran su correcto funcionamiento.

Link: Karen Sandler (ITConversation)

El Mark Zuckerberg que vimos en el cine era realmente un genio de la programación, pero aparentemente ya poco va quedando del joven que podía pasar días completos en maratónicas sesiones escribiendo códigos fuente. En The Social Network la rompía; ahora parece que apesta.

Así al menos queda en evidencia en una nota de la New York Magazine sobre jóvenes programadores y en que Feross Aboukhadijeh, un ex practicante de Facebook y creador de YouTube Instant, que durante su pasantía el verano pasado presenció algo llamativo.

Trabajaba en un equipo encargado de los nuevos grupos en la mayor red social y cuando ya terminaban, Zuckerberg apareció y dijo que tenía ganas de escribir algunas líneas. “Todos estaban como ‘Ohhh, Zuck escribirá códigos’”, relató Feross. Y alguien preparó un bug sencillo para que lo solucionara, donde debía hacer algo como agregarle un link a una foto, y se fue con la tarea.

Pasaron los minutos. Cinco, diez, treinta. Una hora, hora y media y nada del bueno de Mark. “Le tomo como dos horas hacer algo que a cualquiera de nosotros que somos ingenieros nos hubiera tomado como cinco minutos”, reveló el ex practicante.

No es que pensemos que Zuckerberg o Jobs se “ensucien” las manos programando, cuando pueden poner a otros 100 a resolver todo y dedicarse a cosas más importantes, pero igual. Ojalá haya sido sólo un mal día del hombre.

Link: Mark Zuckerberg Sucks at Coding Now (Gizmodo)

Automattic tuvo un acceso root a nuestros servidores, y potencialmente cualquier cosa en esos servidores puede haber sido revelada. Hemos estado revisando los registros al respecto para determinar la extensión de información expuesta, y re-asegurar las vías de acceso utilizadas. Suponemos que nuestro código fuente fue expuesto y copiado. Aunque mucho de nuestro código es abierto, hay algunas partes sensibles que son nuestras y de nuestros socios. Más allá, sin embargo, la información revelada parece ser limitada.

La compañía indicó que la investigación todavía se mantiene. WordPress.com entrega servicio a 18 millones de sitios, incluyendo a grandes conglomerados.

No se han revelado detalles del ataque, como por ejemplo exactamente qué sitios se han visto afectados. Quienes tengan un sitio en WordPress.org no debieran verse afectados. Mientras tanto, WordPress recordó a todo el mundo (afectados o no) que es una buena idea tener un password que sea complicado y no repetir la misma contraseña en todos los servicios.

Link: Security Incident (WordPress Blog)

SourceForge

El desarrollo del proyecto Allura comenzó en 2009 y en la actualidad SourceForge.net está ejecutando una instancia de Allura (aka “New Forge” o Forge 2.0).

Allura es una aplicación basada en Python que hace uso de la base de datos MongoDB (NoSQL), el servidor de búsqueda SOLR y la plataforma de mensajería RabbitMQ, para entregar repositorios, wikis, trackers y foros a los usuarios que les permita gestionar sus proyectos.

Allura lanzó una versión previa en febrero, pero con su lanzamiento completo esperan aprovechar el PyCon 2011 (Atlanta, 9-17 de marzo) para crear una comunidad de desarrolladores.

Link: SourceForge open sources its own source (H-Online)

El código contiene archivos en C++ y  ensamblador que  cubren el motor anti-virus, así como el anti-phishing, anti-dialer, anti-spam, control parental y otros módulos. Sin embargo, la compañía rusa afirma la seguridad de sus productos actuales (ya en la versión 11) no está en riesgo debido a que sólo contienen una pequeña parte del código filtrado y no se refieren a las funciones de protección.

Un portavoz de Kaspersky Lab dijo que la filtración vino de un ex-empleado (de identidad desconocida) con acceso legítimo que robó el código fuente a principios de 2008. No está claro si lo hizo por venganza o totalmente con fines de lucro, pero terminó ofreciéndolo en el mercado negro donde después fue filtrado. Por ello, fue detenido y condenado a tres años de cárcel, seguido de otros tres de libertad condicional.

Aunque este incidente podría dañar la reputación de Kaspersky, expertos de ESET – que tuvieron la oportunidad de explorar el archivo de filtrado – llegaron a la conclusión que el archivo contiene parte del código de funciones encontradas en las versiones 2006 y 2007, pero “difícilmente sus competidores o hackers podrían aprender algo como la heurística” y Kaspersky Lab ha cambiado desde entonces.

La compañía dijo que las personas deben ser conscientes que aunque el código fuente está a disposición pública es propiedad intelectual de Kaspersky Lab, por lo tanto la descarga, distribución o utilización sin consentimiento es ilegal.

Link: Former Kaspersky Employee Responsible for Leaked Source Code (Softpedia)

En una medida esperada por todos aquellos que apoyan el Código Abierto, DisplayLink ha publicado el código fuente de su software gráfico que permite transmitir video por medio del puerto USB.

La librería liberada permite la creación de Software para Linux, con el objeto que puedan trabajar con el amplio universo de productos que utilizan la tecnología.

Con seguridad la medida busca aumentar la compatibilidad de la tecnología, con el objeto que sea utilizada por una mayor cantidad de usuarios.

Para quienes deseen bajar la librería e investigar más del tema, pueden seguir el siguiente enlace.

Link: DisplayLink News (Vía Phoronix)

(c) Pastie.org

Para los más fanáticos o para aquellos que requieren de una explicación lógica ante un problema complejo, ya está disponible el código de programación que hizo que miles de reproductores Zune dejaran de funcionar colectivamente. El error comienza en la línea 249.

En circunstancias normales, esto funciona muy bien. La función sigue restando ya sea 365 o 366 hasta que se reduce a menos de un año para luego convertirse en el mes y el día de mes.

Lo que pasa es que en el caso del último día de un año bisiesto, continúa hasta que llega a 366. Debido al if (days>366) la ejecución para de sustraer si el bucle (loop) pasa a ser un año bisiesto. Pero 366 es demasiado grande para salir del bucle principal, lo que se traduce en que el Zune continue en el loop infinito sin hacer nada.

Si el error no se arregla, lo mismo va a suceder el 31 de diciembre del 2012… Microsoft, tienes 3 años… ¿alcanzarás?

Link: PQOAL Real-time clock (RTC) routines for the MC13783 PMIC RTC (Pastie.org)