El día ha llegado, ayer concluyó el soporte para Windows XP lo que significa que Microsoft dejará de lado la investigación y realización de “parches”, entre otras cosas, trayendo como consecuencia que no solo el S.O. quedará obsoleto sino todo el software que se ejecute sobre él, ya que el resto de la industria hará lo propio.

De momento dejo una serie de vínculos al respecto, anticipándome a las consultas que me van hacer amigos y “conocidos” que aún usan Windows XP.

• Carta de despedida de Windows XP http://aka.ms/Nmsa83
• Qué hacer si todavía usas Windows XP http://ow.ly/vA0pJ
• Recomendaciones para migrar a otro S.O. http://ow.ly/vA0pY
• ¿Cuáles son las alternativas? http://bit.ly/1qmlqBK

Otros artículos recomendados, aunque en inglés:

• Obituario de Windows XP: http://ow.ly/vAkKV
• Guía de Supervivencia para los que todavía lo usan: http://ow.ly/vA29t
• Opciones de Actualización: http://ow.ly/vAm7z
• ¿Coqueteando con Linux? http://ow.ly/vAmGl
• 3 alternativas Linux si no quieres comprar equipo nuevo: http://ow.ly/vA3Jx
• …o bien prueba con Puppy Linux si tu equipo es muy “limitado”: http://ow.ly/vAuUM

Para quien persista en continuar con Windows XP la recomendación, además de las de rigor por seguridad: activar firewall, instalar antivirus/antimalware, antispyware, etc., es reemplazar el uso de software MS (tales como IE, WMP, Office, etc.) por sus alternativas (tales como Chrome, VLC Media Player, Libre-Office o bien Kingsoft Office, etc.) ya que los de MS serán más vulnerables a ataques por la falta de soporte. Es por ello que también deberá asegurarse de mantener todo el software actualizado, o al menos todo el que se pueda, ya que de hecho la principal razón de algunos para no migrar de S.O. es precisamente por el software “legado” que corre sin problemas en Windows XP pero no tanto en los Windows más modernos.

Espero en breve agregar/actualizar info…

El estudio sobre Big Security Data de McAfee afirma que sólo el 35% de las empresas pueden detectar rápidamente las violaciones de seguridad.

McAfee publicó hace un mes un estudio que revela cómo las organizaciones de todo el mundo son incapaces de aprovechar el poder del Big Data con fines de seguridad. De acuerdo con el reporte “Needle in a data risk: the rise of big security data”, las empresas son vulnerables a las violaciones de seguridad, debido a su incapacidad para analizar o almacenar adecuadamente el Big Data.

La capacidad de detectar las violaciones de datos en cuestión de minutos es fundamental en la prevención de pérdida de datos, sin embargo, sólo el 35% de las empresas (norteamericanas, británicas, alemanas y australianas) del estudio declararon que tienen la capacidad de hacerlo. De hecho, más de una quinta parte (22%) dijo que se necesita un día para identificar una violación, y cinco por ciento dijo que este proceso podría tardar hasta una semana. En promedio, las organizaciones señalaron que se necesitan 10 horas para que una violación de seguridad sea reconocida.

La mal entendida confianza de la seguridad pone en riesgo a las organizaciones

Casi tres cuartas partes (73%) de los encuestados afirmaron que pueden evaluar su estado de seguridad en tiempo real, y también respondieron con confianza sobre su capacidad de detección para identificar amenazas internas en tiempo real (74%), las amenazas perimetrales (78%), malware de día cero (72%) y los controles de cumplimiento (80%). Sin embargo, el 58% de las organizaciones que dijeron haber sufrido una violación de seguridad en el último año, sólo una cuarta parte (24%) la había reconocido en cuestión de minutos. Además, para encontrar la fuente de la violación, sólo el 14% podría hacerlo en cuestión de minutos, mientras que el 33% dijo que le tomó un día y 16% dijo que una semana.

Esta falsa confianza pone de relieve una falta de conexión entre el departamento de TI y los profesionales de la seguridad dentro de las organizaciones, que se destaca aún más cuando los resultados de Needle in a Datastack se comparan con los del reciente reporte de incidentes de seguridad: Data Breach Investigations. El estudio de 855 casos mostró que al 63% le tomó semanas o meses para ser descubierto. Los datos que se obtuvieron de estos organismos lo fueron en cuestión de segundos o minutos en casi la mitad (46%) de los casos.

Infografía: http://www.mcafee.com/img/infographics/mcafee-big-security-data.jpg

Informe: http://www.mcafee.com/us/resources/reports/rp-needle-in-a-datastack.pdf

Fuente: http://www.mcafee.com/us/about/news/2013/q2/20130617-01.aspx

• 5 de junio: The Guardian informó que la NSA está recopilando los registros telefónicos de millones de clientes estadounidenses de Verizon por orden de una corte secreta.
• 6 de junio: The Guardian y The Washington Post reportaron que la NSA y el FBI están interviniendo compañías de internet estadounidenses para rastrear comunicaciones online en un programa conocido como PRISM.
• 7 de junio: Las principales compañías mencionadas en las diapositivas van negando su participación en PRISM: Google, Facebook, Apple, AOL, Yahoo! & Microsoft.
• 7 de junio: El presidente Obama defiende los programas. Asegura que son supervisados muy de cerca por el Congreso y las cortes.
• 8 de junio: The Guardian publica una quinta diapositiva que hace referencia a un “acceso directo a los servidores” de los proveedores.
• 8 de junio: El director de la inteligencia nacional de EE.UU. James Clapper niega el acceso indiscriminado a datos.
• 9 de junio: The Guardian identifica un extrabajador de la CIA, Edward Snowden, como la fuente de las filtraciones, mismo que “desaparece” al día siguiente.

El pasado fin de semana se suscitó un escándalo en torno a la NSA (National Security Agency) de los EE.UU. Primeramente fue revelado por The Guardian que la empresa Verizon entregaba el registro de todas las llamadas telefónicas a las agencias de gobierno. Posteriormente The Washington Post y The Guardian publicaron información y documentos que muestran que la NSA tiene en marcha desde el 2007 un programa de “vigilancia”, denominado PRISM, para acceder a los datos alojados en los servidores de Internet.

“PRISM permite a la NSA recopilar el contenido de los correos electrónicos, de los archivos enviados o de las conversaciones de chat”, señala The Guardian. The Washington Post incluye también “audios, vídeos y fotografías”, dentro del paquete de elementos susceptibles de ser investigados.

Fuente: ‘The Washington Post’. / EL PAÍS

El material publicado muestra que la NSA habría estado realizando minería de datos a partir de la información obtenida directamente de los servicios de empresas estadounidenses que operan en Internet: Microsoft, Google, Yahoo!, Facebook, PalTalk, YouTube, Skype, AOL y Apple. Lo anterior ha sido negado enfáticamente por algunas de las compañías implicadas (Google, Facebook, Apple, AOL, Yahoo! & Microsoft) y suavizado por el Gobierno de EE.UU. al alegar que PRISM es otra cosa. Sin embargo en otra diapositiva se sugiere claramente el acceso directo a los servidores mientras que en el Daily Mail aparece que tanto Google como Facebook habrían colaborado conscientemente con dichos accesos.

Para tranquilizar a los norteamericanos la Oficina de Inteligencia publicó una nota de prensa que dice textualmente que el programa se usa sólo para el resto del mundo:

"They involve extensive procedures, specifically approved by the court, to ensure that only non-U.S. persons outside the U.S. are targeted, and that minimize the acquisition, retention and dissemination of incidentally acquired information about U.S. persons."

La legislación de EE.UU. permite recopilar información de clientes de empresas que residen fuera del país o de los estadounidenses cuyas comunicaciones incluyen a personas que no se encuentran en territorio de EE UU. En los demás casos es necesaria una autorización judicial, salvo excepciones muy concretas recogidas en la sección 702 de la Ley de Supervisión de Inteligencia Extranjera que es bajo la que opera PRISM. Por lo que las acciones de las agencias de seguridad son completamente legales gracias a la USA Patriot ACT & FISA que permiten al gobierno federal la obtención de cualquier tipo de información bajo el argumento que es algo esencial para la lucha antiterrorista y la prevención de atentados. Por lo que bajo una orden judicial todos están obligados a colaborar entregando desde registros de acceso hasta el contenido de las comunicaciones.

USA Patriot Act & FISA

Posteriormente se filtró la existencia de otra herramienta: Boundless Informant, para aplicar la tecnología del Big Data a los datos que se generan en Internet para procesar la información como material de apoyo para la toma de decisiones. Por lo que más que enfocarse en los contenidos de los datos extraídos de llamadas telefónicas o de transmisiones de datos, la NSA contextualizaría la información y la catalogaría para realizar colecciones de datos con los que poder, por ejemplo, visualizar la información que manejan de un país o región en concreto.

Finalmente, The Guardian revela la identidad de su fuente tras la propia petición de la misma. Se trata de Edward Snowden, un informático de 29 años que trabajó para la CIA y que más recientemente desarrolló su labor profesional para distintas firmas privadas que colaboraban con la NSA. La entrevista fue realizada en un Hotel de Hong Kong mas después abandonó el mismo y actualmente se desconoce su paradero.

…

Actualización Nov. 1o. 2013

A estas alturas ya “todos” saben que Snowden se encuentra en Rusia y que junto a “otras fuentes” sigue proporcionando información, entre ella el espionaje a 35 mandatarios alrededor del mundo, incluso a los “amigos”, creando una crisis diplomática. Lo más reciente es el siguiente gráfico sobre la forma en que la NSA se está infiltrando en redes privadas, en éste caso particular a Google. Click sobre la imagen para ver el infográfico completo desde el sitio de The Washington Post.

Por otra parte resulta interesante revisar la compilación de información sobre el caso y su “decodificación” en el The Guardian: NSA Files: Decoded. What the revelations mean for you.

Fuentes principales:

• Nota de The Guardian sobre el [supuesto] espionaje de la NSA y su programa #PRISM:
  http://www.guardian.co.uk/world/2013/jun/06/us-tech-giants-nsa-data
• Otras notas al respecto: http://ow.ly/lPJW2, http://ow.ly/lPJTz y http://ow.ly/lPJXN
• Boundless Informant: the NSA’s secret tool to track global surveillance data http://gu.com/p/3ge6t/tw
• Edward Snowden: the whistleblower behind the NSA surveillance revelations http://gu.com/p/3gec7/tw
• #TheNSAfiles http://bit.ly/1bhRaQV
• How the NSA is infiltrating private networks [New!]
• NSA Files: Decoded [New!]

El estudio se centra en la fase de “ingeniería de requerimientos”, la cual comprende a las tareas que determinan las necesidades y condiciones que el software a desarrollar debe satisfacer. Teóricamente los requerimientos deben ser medibles, comprobables, sin ambigüedades o contradicciones, pero en la práctica no siempre es así y los usuarios a menudo se disgustan por una deficiente recolección de requerimientos, cuya explicación es uno de los objetivos del estudio.

Para indagar la importancia que tienen las emociones en la ingeniería de software, los investigadores aplicaron al campo de la ingeniería de requerimientos una herramienta de la psicología social: la Rejilla de Afecto creada por J. A. Russell. "Este instrumento proporciona trazabilidad emocional entre diferentes versiones de los requisitos, además de facilitar un análisis de las emociones de los implicados en el desarrollo del sistema, [con el cual] hemos comprobado que las versiones de requisitos más evolucionadas provocan una inclinación del usuario hacia emociones más cercanas a la relajación", explica Ricardo Colomo, uno de los autores del estudio.

Los resultados obtenidos concluyen que las emociones son un factor a tener en cuenta a la hora de establecer y negociar los requerimientos. También revela las distintas maneras de afrontar las situaciones por parte de los agentes de dicho contexto: los usuarios y desarrolladores; en donde los desarrolladores sufren mayor estrés que los usuarios, aunque en las versiones finales de los requerimientos las puntuaciones tienden a equilibrarse.

Este trabajo, publicado en el Journal of Universal Computer Science con la colaboración de investigadores de la Universidad Complutense de Madrid y la Universidad de Murcia, se enmarca en una línea de investigación más amplia que analiza la importancia del factor humano en las Tecnologías de la Información y las Comunicaciones. En la actualidad Ricardo Colomo también estudia las implicaciones de la multi-culturalidad en el proceso de desarrollo de software.

Más información:

Using the Affect Grid to Measure Emotions in Software Requirements Engineering
Ricardo Colomo Palacios, Cristina Casado Lumbreras, Pedro Soto Acosta y Ángel García Crespo.
Journal of Universal Computer Science, volumen 17. Número: 9 (2011)
http://hdl.handle.net/10016/13341

En resumen, se puede descifrar las cookies, los “ViewState”, tickets de autenticación, contraseñas de membrecía, datos de usuario, y cualquier otra cosa cifrada usando la API del framework

– Juliano Rizzo

Ante ello Scott Guthrie escribió un post sobre dicha vulnerabilidad, mientras que Microsoft lanzó el Aviso de Seguridad (2416728) que describe la vulnerabilidad que afecta a todas las versiones de ASP.NET. La vulnerabilidad afecta a todas las versiones de ASP.NET desde 1.x hasta el 4.0 y afecta a todos los frameworks de desarrollo de ASP.NET (ASP.NET WebForms, ASP.NET MVC,  etc.). Por ende productos basados en ASP.NET, como SharePoint, Team Foundation Server, entre otros, se ven afectados también.

El “Padding Oracle”

Serge Vaudenay, profesor del Laboratorio de Seguridad y Criptografía (LASEC) del Instituto Federal Suizo de Tecnología (EPFL), publicó en 2002 el documento "Security Flaws Induced by CBC Padding Applications to SSL, IPSEC, WTLS…" [PDF], donde señala que varios sistemas de "relleno" (padding) de cifrado utilizados en sistemas de entrada de longitud variable pueden introducir grandes fallos de seguridad.

Cuando un mensaje cifrado de entrada de longitud variable se descifra basado en el algoritmo RFC 2040, el receptor tiene que determinar lo que es relleno, si el relleno es correcto, entonces lo descarta. Pero el RFC 2040 no especifica lo que el receptor debe hacer si el relleno no es correcto. Esto conduce a un ataque que utilice un oráculo para cualquier boque de secuencia que le diga si el relleno de la secuencia CBC-descifrada correspondiente es correcta de acuerdo al algoritmo RFC 2040.

Según Vaudenay, esta vulnerabilidad puede afectar a protocolos como SSL, IPSec, WTLS, SSH, existiendo la posibilidad de descifrar los datos cifrados sin tener la clave secreta. Él demuestra cómo funciona el ataque y sugiere una posible vía para solucionar la vulnerabilidad.

¿Como funciona?

Se puede consultar este artículo: Automated Padding Oracle Attacks with PadBuster, que también muestra cómo funcionan los algoritmos explotados.

En resumen, los algoritmos de cifrado trabajan sobre bloques de datos (de 8 o 16 bytes por lo general), los bytes restantes son de "relleno" (padding). Por ejemplo, una palabra de 6 letras "BANANA", se rellenará con dos bytes para convertirse en el bloque de 8 bytes.

Se le denomina "Oracle" al mecanismo dentro de un sistema de cifrado capaz de proporcionar una respuesta Válido o Inválido para un determinado texto cifrado. Por lo tanto, el "Padding Oracle" es un mecanismo, capaz de responder, si el relleno del texto cifrado es válido o no.

Los algoritmos de cifrado construidos en Microsoft .NET Framework, disparan un System.Security.Cryptography.CryptographicException con el mensaje "Padding is invalid and cannot be removed" en caso de que el relleno no sea válido. Así que ese es nuestro Padding Oracle a utilizar…

El ataque

El siguiente video muestra cómo se puede tirar una instalación de DotNetNuke, al obtener la clave de cifrado y cifrar sus propias cookies SuperUser:

Lo cual podríamos resumir a lo siguiente:

• El atacante localiza una cadena Base64, que suele ser un texto cifrado. En ASP.NET podría obtenerse fácilmente de la URL del WebResource.axd o de una cookie de autenticación.

• El atacante cambia un byte del texto cifrado y lo envía al oráculo, preguntando "¿es válido?", hasta que el byte es descifrado. Las respuestas "Vaildo / Invalido" son simplemente entendidas por el examen de las respuestas del servidor, por ejemplo, el código de error 500 significa que el texto no es válido y los 404 que es válido pero no se pudo descifrar.

  El ataque no está en función del código de error en sí, sino que basta vigilar cualquier comportamiento anormal. Incluso si el sitio web devuelve la misma página de error en todos los casos, el atacante podría hacer uso de las diferencias de tiempo, según lo declarado por Thai Duong.

• Después de conseguir con éxito la clave secreta ASP.NET, la machineKey, el atacante puede crear sus propias "cookies" y comenzar a usar el sistema como administrador o bien podría descargar sus archivos sensibles, por ejemplo, web.config.

  Adicionalmente, el atacante podría utilizar la vulnerabilidad para cifrar su propio sistema de cifrado sin tener la clave de cifrado original.

Dado que HTTP es un protocolo sin estado, los desarrolladores web deben manejar los estados en el servidor, o empujarlos al cliente. Por motivos de rendimiento y escalabilidad, muchos desarrolladores web tienden a ir con este último método. Quieren mantener al estado como un secreto, y recurrir a la criptografía, que es la herramienta adecuada. Sin embargo, la usan indebidamente, es decir, sin aplicar un MAC para el texto cifrado, ni utilizar un modo de cifrado de bloque autenticado, haciendo sus sistemas vulnerables

– Juliano Rizzo

NOTA: Si bien este post se centra en el ataque dirigido a la plataforma ASP.NET, el ataque Padding Oracle no es exclusivo de dicha plataforma, de hecho un primer ataque fue dirigido hacia la plataforma JSF, específicamente a MyFaces, cuyo video se puede ver a continuación:

Así mismo se la lanzado otra implementación en JavaScript y nada descarta que en el futuro se implementen otros exploits para otros objetivos…

Protegiéndose

Scott Guthrie a dicho que su equipo está trabajando en un nuevo parche de seguridad que se publicará como parte de la actualización Windows lo más pronto posible. Mientras tanto los profesionales de TI y desarrolladores necesitan proteger sus propias aplicaciones mediante las siguientes medidas.

• Nunca permita que su aplicación devuelva la página amarilla de error (aka YSOD) cuando se produzca una excepción, esto es de por sí malo ya que permitirá a los usuarios finales examinar las excepciones al detalle. Por ello, el solo encender la opción <customeErrors> no es suficiente si solo enviará un mensaje YSOD

• Nunca guarde información sensible en cookies, ViewState o cualquier otro estado del lado cliente, porque siempre habrá una oportunidad que sea filtrado a usuarios malintencionados. Considere la posibilidad de almacenar datos en el servidor

• Lea y aplique el paseo descrito en el post de Scott Guthrie: Important: ASP.NET Security Vulnerability, que muestra cómo redirigir todos los errores de página y añadir un tiempo de retraso al azar; si bien no es suficiente, hará las cosas más difíciles para el atacante y lo confundirá más. Así mismo lea la actualización: Update on ASP.NET Vulnerability y las P&R: Frequently Asked Questions about the ASP.NET Security Vulnerability

• Adicionalmente asegúrese que el servidor de su aplicación se puede defender contra ataques DoS. La vulnerabilidad expuesta inunda el servidor con miles de peticiones. La defensa de los servidores web y sus aplicaciones contra ataques de denegación de servicio es siempre un requisito a tener en cuenta cuando se implementa un servidor web. Para ello puede utilizar cortafuegos, routers, ISA o el IIS, así mismo a nivel de hardware. Consulte al respecto con el soporte técnico de su servicio de host

[Actualización – 28 de Septiembre]

Microsoft acaba de publicar el boletín de seguridad MS10-070 anunciando el lanzamiento de la actualización de seguridad para hacer frente a la vulnerabilidad de seguridad de ASP.NET. La actualización de seguridad está programada para ser lanzada hoy martes 28 de septiembre a través del Centro de descarga de Microsoft, y en unos días a través de Windows Update y Windows Server Update Services.

El boletín tiene por objeto que los administradores estén mejor preparados una vez que la actualización sea liberada. Puede aprender más acerca de la actualización de seguridad en el Microsoft Security Response Center. También se llevará a cabo una transmisión especial hoy a las 1:00 PM PDT (3:00 PM México), donde se presentará información sobre el boletín; si está interesado en asistir, haga clic aquí para registrarse.

Mas Info:

• Padding Oracle Attack

  • Security Flaws Induced by CBC Padding Applications to SSL, IPSEC, WTLS… [PDF] (Serge Vaudenay, 2002)

  • Practical Padding Oracle Attacks [PDF]

  • Padding Oracle Exploit Tool (POET)

  • Automated Padding Oracle Attacks with PadBuster

  • A Padding Oracle Attack Implemented In Javascript ¡Nuevo!

  • PadBuster v0.3 and the .NET Padding Oracle Attack ¡Nuevo!

• Fear, uncertainty and and the padding oracle exploit in ASP.NET

• ScottGu’s Blog:

  • Important: ASP.NET Security Vulnerability

  • Frequently Asked Questions about the ASP.NET Security Vulnerability

  • Update on ASP.NET Vulnerability

  • ASP.NET Security Update Shipping Tuesday, Sept 28th

  • ASP.NET Security Update Now Available  ¡Nuevo!

  • ASP.NET Security Fix Now on Windows Update ¡Nuevo!

• “Padding Oracle” ASP.NET Vulnerability Explanation

• How to check if your application is vulnerable to the ASP.NET Padding Oracle Vulnerability

• ASP.NET Padding Oracle Detector

• The Microsoft Security Response Center (MSRC):

  • Security Advisory 2416728 Released

  • Update to Security Advisory 2416728

  • Security Advisory 2416728 – Workaround Update

  • Out of Band Release to Address Microsoft Security Advisory 2416728

  • MS10-070 Released Out-of-Band Today ¡Nuevo!

• Microsoft Security Advisory (2416728) => Microsoft Security Bulletin MS10-070 ¡Nuevo!

• Microsoft Security Bulletin Summary for September 2010 ¡Nuevo!

Oracle nos invita a ver su serie de Webcast sobre la estrategia de productos Oracle + Sun, en los cuales podremos conocer mas acerca de la combinación Sun y Oracle y de lo que ello significará para nosotros.

Mayor información en: oracle.com/us/sun

SOFTWARE STRATEGY WEBCASTS

• Java
• Operating Systems
• Virtualization
• Cloud
• Enterprise Manager and Ops Center
• Identity Management
• Application Server
• Developer Tools (adicionalmente: Oracle Java Development Tools FAQ)
• SOA
• OpenOffice

HARDWARE STRATEGY WEBCASTS

• Archive
• SPARC Enterprise Servers
• Storage
• Sun Blade Systems
• Sun x86 Systems

SYSTEMS STRATEGY WEBCASTS

• Database Machine

SOLUTIONS STRATEGY WEBCASTS

• Health Sciences

PARTNER STRATEGY WEBCASTS

• OPN Specialized

Otros Links:

• Middleware Home
• Overview and FAQ for Developer Community (SDN, Java.Net, Java.Sun.Com, BigAdmin, Kenai, JavaOne…)
• Developer Tools FAQ
• The Future of Kenai.com
• Opiniones: Cote & Stephen (Redmonk), Savio Rodrigues (IBM/Geronimo) and Mark Little (JBoss)
• Noticias: NYtimes, WSJ, PCWorld, MercuryNews…
• Despedidas: So long, old friend… -> So long, old friend… (new!), The rise and fall of Sun Microsystems

private static bool FirstInstance
{
    get
    {
        bool created;
        string name = Assembly.GetEntryAssembly().FullName;
        // created will be True if the current thread creates and owns the mutex.
        // Otherwise created will be False if a previous instance already exists.
        Mutex mutex = new Mutex(true, name, out created);
        return created;
    }
}

Nota: Para una mayor certidumbre se podría hacer uso de una cadena GUID en ‘name’.

Cuando la primera instancia crea el Mutex pasa a ser su propietario y la variable created se le asigna el valor True. Cuando una nueva instancia se ejecuta intenta tomar posesión del Mutex, pero dado que solo un hilo puede ser propietario de mismo (y primera instancia ya lo es) la nueva no puede tomar posesión del Mutex, por lo cual el valor de created permanece en False, misma que se regresa para indicar si existe (o no) una instancia de la aplicación en ejecución.

Así pues la propiedad FirstInstance la colocaremos en la clase principal de nuestra aplicación WinForm (“Program.cs”) o bien de nuestra aplicación WPF (“App.xaml.cs”) para ser utilizada según corresponda:

WinForm (Program.cs):

[STAThread]
static void Main()
{
    if (FirstInstance)
    {
        Application.EnableVisualStyles();
        Application.SetCompatibleTextRenderingDefault(false);
        Application.Run(new Form1());
    }
    else
    {
        MessageBox.Show("Application is already running.");
        Application.Exit();
    }
}

WPF (App.xaml.cs):

protected override void OnStartup(StartupEventArgs e)
{
    if (FirstInstance)
        base.OnStartup(e);
    else
    {
        MessageBox.Show("Application is already running.");
        Application.Current.Shutdown();
    }
}

Adicionalmente, usando la clase System.Diagnostics.Process se puede obtener la ventana principal y activarla mediante una llamada a la API SetForegroundWindow, tal como se muestra en: Comprobar si hay una instancia previa de nuestra aplicación, escrito en VB.NET por Eduardo Morcillo.

Usando WindowsFormsApplicationBase de VB

Otra opción sería recurrir al Modelo de Aplicaciones de Visual Basic (aka My) para crear un gestor de instancias mediante el WindowsFormsApplicationBase (el cual además nos ofrece el evento OnStartupNextInstance) tal como se muestra a continuación para Windows Forms con C#:

Nota: No es necesario traducir el siguiente código para una aplicación Windows Forms con VB. En ese caso solo basta seguir las instrucciones de la segunda mitad del post: Ejecutar solamente una instancia (VB 2005+).

Program.cs

using System;
using System.Windows.Forms;
using Microsoft.VisualBasic.ApplicationServices;

namespace WinForm1
{
    public static class Program
    {
        [STAThread]
        public static void Main(string[] args)
        {
            Application.EnableVisualStyles();
            Application.SetCompatibleTextRenderingDefault(false);
            SingleInstanceManager manager = new SingleInstanceManager();
            manager.Run(args);
        }
    }

    // Using VB bits to detect single instances and process accordingly:
    //  * OnStartup is fired when the first instance loads
    //  * OnStartupNextInstance is fired when the application is re-run again
    //    NOTE: it is redirected to this instance thanks to IsSingleInstance
    public class SingleInstanceManager : WindowsFormsApplicationBase
    {
        SingleInstanceApplication app;

        public SingleInstanceManager()
        {
            this.IsSingleInstance = true;
        }

        protected override bool OnStartup(Microsoft.VisualBasic.ApplicationServices.StartupEventArgs e)
        {
            // First time app is launched
            app = new SingleInstanceApplication();
            app.Run();
            return false;
        }

        protected override void OnStartupNextInstance(StartupNextInstanceEventArgs eventArgs)
        {
            // Subsequent launches            
            base.OnStartupNextInstance(eventArgs);
            app.Activate();
        }
    }

    public class SingleInstanceApplication
    {
        protected Form mainForm;

        public void Activate()
        {
            // Reactivate application's main window            
            mainForm.Activate();
        }    

        public void Run()
        {
            Application.Run(mainForm = new Form1());
        }
    }
}

Para un ejemplo con WPF usando WindowsFormsApplicationBase tanto con VB como con C# ver: WPF: Single Instance Detection Sample.

Microsoft Security Advisory (979682)
Vulnerability in Windows Kernel Could Allow Elevation of Privilege

La vulnerabilidad se encuentra específicamente en el subsistema Virtual DOS Machine de Windows NT (NTVDM). Por lo que dicha vulnerabilidad afecta a toda la familia de sistemas operativos NT de 32 bits, desde el extinto NT 3.5, pasando por Windows 2000 y hasta el reciente Windows 7, estando exentos sólo los sistemas de 64-bits. De hecho eso es lo que ha incendiado la web, pero sobretodo porque el problema tiene su buena cantidad de años.

A su favor MS afirma que la vulnerabilidad es difícil de explotar, ya que requiere que sea explotada con una cuenta local y no puede hacerse remotamente. Empero no obstante la mayoría de los usuarios no son muy cuidadosos al abrir/ejecutar archivos, por lo que fácilmente podrían abrir/ejecutar un archivo adjunto o bien descargado desde las redes P2P.

En el aviso MS señala que aún esta bajo investigación por lo que aún no existe parche (fix) para mitigar la vulnerabilidad. Por lo mientras solo recomiendan “bloquear” la ejecución de programas de 16 bits mediante el deshabilitado del subsistema NTVDM vía la consola de políticas de grupo (gpedit.msc), el cual no obstante no está presente en las ediciones “básicas” (aka Home y Started) de Windows XP/Vista/7. Por lo que ciertos blogs proponen la siguiente medida alterna, la cual he comprobado y (aparentemente) funciona:

1. Cree un archivo de texto con la extensión *.reg, por ejemplo: “VDMDisallowed.reg” (y asegúrese que tiene dicha extensión y no *.reg.txt).

2. Introduzca en el archivo el siguiente texto:

Windows Registry Editor Version 5.00



[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\AppCompat]

"VDMDisallowed"=dword:00000001

3. Guarde el archivo.

4. De click derecho sobre el archivo y en el menú contextual elija la opción “Combinar”.

Nota: Para poder combinar el archivo con el Registro de Windows se requieren privilegios de administrador. Si no sabe de que hablo pregunte a su administrador local o su amigo geek pro-MS mas cercano.

5. De Aceptar en el cuadro de dialogo que aparece.

Eso es todo, de ahora en adelante sus viejos programas y juegos de MS-DOS/Win16 ya no se ejecutarán mas, al menos hasta que MS publique el parche que solucione correctamente el problema.

Para volver habilitar VDM cree otro archivo *.reg (“VDMAllowed.reg”) con lo siguiente:

Windows Registry Editor Version 5.00



[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\AppCompat]

"VDMDisallowed"=dword:00000000

Guarde el archivo y combínelo.

ADVERTENCIA Y RENUNCIA: La manipulación del Registro de Windows puede llegar a ocasionar efectos adversos al sistema si no se realiza adecuadamente. Tenga en cuenta que si lo realiza es bajo su propio riesgo, por lo que no me hago responsable por cualquier daño que pueda sufrir su sistema/equipo y/o persona, ni por el mal uso que se le pueda dar a ésta información.

Microsoft Enterprise Library (aka EntLib) es una colección de componentes de software reutilizables (conocidos como “Application Blocks”) diseñados para ayudar a los desarrolladores de software de la plataforma .NET a lidiar con los problemas comunes en el desarrollo empresarial tales como registro, validación, acceso a datos, manejo de excepciones, y muchos otros. Los application blocks son un tipo de guías directivas, proporcionadas en forma de código fuente, casos de prueba, y documentación que se pueden utilizar "tal cual", o bien ampliarse o modificarse por los desarrolladores para utilizarse en proyectos de desarrollo.

Unity Application Block (o simplemente Unity) es un contenedor DI (dependency injection) ligero y extensible, que puede utilizarse de forma independiente (existiendo una versión para Silverlight) como integralmente con EntLib.

Mayor información en:

• Microsoft Enterprise Library
• Unity Application Block

A continuación el diagrama del Roadmap para EntLib 5.0 y Unity 2.0.

La imagen habla por si misma, pero para que quede mas claro:

• Primera Beta en Febrero, solo para VS2008 SP1
• Segunda Beta en Marzo, tanto para VS2008 SP1 como VS2010 RC (a liberarse en Febrero)
• El RTW se espera sea lanzado en Abril (a la par de VS2010)

Mayor información en:

• Announcing Enterprise Library 5.0 and Unity 2.0 Roadmap

Para utilizarlo solo basta colocar en la página algo como:

  <head>
    <script type="text/javascript" src="gordon.js"></script>
  </head>
  <body onload="new Gordon.Movie('movie.swf', 
    {id: 'stage', width: 400, height: 200})"> 
    <div id="stage"></div> 
  </body>

En el sitio del autor podemos ver en vivo algunos ejemplos de Gordon. De momento Gordon solo soporta el formato SWF 1.0 y el soporte para SWF 2.0 se encuentra en desarrollo. Por otra parte, dado que depende de HTML5, solo funciona bien en versiones recientes de Firefox, Chrome, y Safari.

Así mismo Gordon ha sido probado en el iPhone con resultados favorables, por lo que a pesar que Apple no desea incluir el reproductor de Flash de Adobe, en un futuro próximo dicho formato podría desplegarse en el iPhone gracias a Gordon.

La documentación de Gordon aún es escasa, por lo pronto hay una tabla de soporte de tags SWF y una tabla de soporte de navegadores, así como el código mismo. Así que hacer:

git clone git://github.com/tobeytailor/gordon.git