jueves, 2 de septiembre de 2010

El blog de APISCAM nuevo enlace en el Portal FlashTicSalut de la Generalitat de Cataluña


'Asociación de Profesionales de Informática de la Sanidad de la Comunidad de Madrid

APISCAM es la única asociación profesional que representa los intereses del colectivo del personal informático propio del Servicio Madrileño de Salud y que trabaja para mejorar las condiciones laborales de este sector. En su blog se pueden encontrar las noticias más destacadas de la informática de la sanidad, aunque también hay espacio para la salud, las nuevas tecnologías, aspectos de la gestión hospitalaria, temas sindicales y política sanitaria, en el ámbito de la Comunidad de Madrid.

URL: http://apiscam.blogspot.com '

Fuente: Sección Enlaces , categoría Telemedicina, de FlashTicSalut desde 2/09/2010

WhoHIT 2011: Próxima la fecha de fin de plazo para enviar comunicados

'La Conferencia y Exhibición "World of Health IT" de 2011 tendrá lugar en Budapest, Hungría, junto con la Conferencia de alto nivle ministerial, eHealth2011, coorganizada por la Comisión Europea y la Presidencia Húngara de la Unión Europea.

Este evento anual representa la más grande y completa conferencia de ámbito europeo sobre IT en salud; incluye reuniones, ponencias, debates, presentaciones y casos sobre la contribución de la e-Salud al cuidado de la salud.

WoHIT admite comunicados para el desarrollo de las tecnologías de la información europeas. Se destacarán propuestas que aborden las necesidades educativas de los profesionales en el sector de la salud, las soluciones empresariales y los resultados prácticos en materia de tecnologías de la información en aanidad.

Se han elegido tres temas en el área de e-Salud:
  • la e-Salud Funcona: Evidencias- ejemplos concretos de los beneficios reales que la e-Salud puede aportar;
  • el mercado de la e-Salud: Estado y Futuro- aplicaciones en e-Salud que ya han resultado en nuevas métodos y modelos de negocio o están a punto de dar fruto en un futuro próximo
  • Plataforma de usuarios de e-Salud– examinando las necesidades, expectactivas e ideas de los profesionales europeos en e-Salud

WoHIT acepta comunicados hasta el viernes 10 de Septiembre de 2010'

Fuente y noticia completa original en inglés: HealTech Wire 30/08/2010
Traducción nuestra


Entradas relacionadas:

La Comunidad versus el Social Media

'Los hackers y partidarios del Software Libre llevamos 20 años de práctica con comunidades. Pero ahora, súbitamente, desde que se popularizaron Twitter y Facebook, de repente parece que se haya inventado el Social Media de la noche a la mañana.

Y siguiendo el principio de que si existe algo de valor, alguien debe necesariamente ser el propietrio/gestor de dicho valor, a la par de las nuevas comunidades han surgido los community managers, algo así como una especie de animadores de feria cuya misión es generar buzz.

Y sucede que la mayoría de estos neófitos en realidad no saben muy bien lo que tienen entre manos, y como consecuencia de sus experimentos con la gaseosa ya ha habido varios tremendos piñazos en relaciones públicas en medios sociales.

La verdad es que nadie tiene ni puñetera idea de cómo se maneja el cotarro del social media (ni yo tampoco) pero hablar por hablar, oigo tantos despropósitos que voy a probar a ver si puedo arrojar al menos un mínimo de luz sobre el asunto.

Lo primero que es conveniente entender es que tiene sentido (man)tener comunidades de usuarios pero no comunidades de consumidores.' [...]

'En segundo lugar, está la cuestión de (n)etiqueta por la cual puede que la empresa quiera mantener una conversación con el cliente pero que el cliente no quiera mantener la misma conversación con la empresa. Algunos relaciones públicas son como los ligones de bar nocturno a quienes no importa cuántas veces les des calabazas porque siempre siguen siendo igual de plastas.' [...]

'En tercer lugar, vale la pena tener en cuenta de que si se crea una comunidad de verdad amenudo se acaba perdiendo el control sobre ella. La comunidad toma vida propia y empieza a ir por libre, y no siempre en la dirección que a la empresa le gustaría. El control de una comunidad por parte de la empresa interesada es algo que sólo se puede hacer si dicha comunidad está esencialmente desvirtuada, lo cual la priva en gran parte de su valor y de su credibilidad.'

'Otra idea comunmente equivocada es percibir las redes sociales como una herramienta de long tail marketing cuando en realidad son más bien un mass media. Hay unas pocas empresas que sí generan suficientes novedades y eventos como para que les resulte interesante mantener un canal de noticias permanente. Pero la mayoría de las empresas no generan más de tres o cuatro comunicados relevantes para los clientes al año.

Pocos community managers son conscientes de lo fácil que es manipular la rumorología en las redes sociales para sembrar FUDs.' [...]

'Por último, es todavía muy difícil medir el ROI de la comunicación en redes sociales. ' [...]

'Como conclusión, yo daría las siguientes pautas genéricas para la comunicación en redes sociales:

1ª) Usar la red para escuchar y no para hablarle al cliente.

2ª) Reconocer que la comunidad es un ente con vida propia y no un brazo del departamento de marketing.

3ª) Explicitar los límites de la participación, comprometerse a escuchar a los clientes no es lo mismo que comprometerse a hacer ciegamente lo que ellos digan.

4ª) Crear una política de incentivos (tangibles o intangibles) a la participación.

5ª) Hacer un análisis DAFO específico para redes sociales con el cual defenderse de forma rápida y contundente de crisis y/o ataques por FUD.

6ª) Trabajar en la elaboración de métricas e indicadores de efectividad del esfuerzo invertido en redes sociales.'

Fuente y noticia completa: La Pastilla Roja 3/8/2010


Un sistema sanitario 'bueno' pero muy 'dispar'

'Madrid, Galicia, Canarias y la Comunidad Valenciana son las comunidades autónomas que cuentan con los peores servicios sanitarios, según asegura un informe presentado por la Federación de Asociaciones para la Defensa de la Sanidad Pública (FADSP).

Las reacciones a esta conclusión no se han hecho esperar. El vicepresidente del Colegio de Médicos de Madrid, Miguel García Alarilla, comenta que "como en cualquier estudio, en función de las variables seleccionadas, el ranking puede variar mucho". Y añade: "En mi opinión, la sanidad madrileña está a la cabeza en comparación con el resto de Comunidades Autónomas, sobre todo si se tienen en cuenta también otras variables como la tecnología o la capacidad para llevar a cabo operaciones pioneras.

De hecho, añade, "Madrid acoge a pacientes de comunidades periféricas con patologías complicadas y que no pueden ser tratadas en su comunidad, ya que no cuentan con los recursos sanitarios necesarios tanto profesionales como tecnológicos".'

Fuente y noticia completa: El Mundo 1/9/2010

Entradas relacionadas:


Adjudicado contrato de mantenimiento de los antivirus en puestos y servidores Windows de la Comunidad de Madrid

NOTA PREVIA DEL EDITOR: La soluciones antivirus referidas en la resolución y para la que se contrata soporte son soluciones de Panda Security


'RESOLUCIÓN de 20 de julio de 2010, del Consejero-Delegado [de la Agencia de Informática y Comunicaciones de la Comunidad de Madrid], por la que se eleva a definitiva la adjudicación provisional del contrato de servicios titulado “Soporte técnico y mantenimiento de las soluciones de seguridad (antivirus), instaladas en puestos y servidores Windows en centros dependientes de la Comunidad de Madrid” por procedimiento negociado.'

'5. Adjudicación definitiva:
a) Fecha: 20 de julio de 2010.
b) Contratista: “Panda Security, Sociedad Limitada”.
c) Nacionalidad: Española.
d) Importe de adjudicación:
— Base imponible: 170.959,68 euros.
— Importe del IVA: 30.772,74 euros.
— Importe total: 201.732,42 euros (IVA incluido).'

Fuente y texto completo: BOCM nº 204 de 26/08/2010

miércoles, 1 de septiembre de 2010

Madrid, Galicia, Canarias y Valencia cuentan con los peores servicios sanitarios, según Defensa de la Sanidad Pública

'Madrid, Galicia, Canarias y la Comunidad Valenciana son las comunidades autónomas que cuentan con los peores servicios sanitarios, según los datos de un informe presentado por la Federación de Asociaciones para la Defensa de la Sanidad Pública.

El objetivo del informe, según ha explicado el portavoz de la federación, Marciano Sánchez Bayle, es el de comparar a las comunidades autónomas entre ellas, ya que "aunque el sistema sanitario español, en general, tiene una situación buena, dentro del país existen diferencias preocupantes".

Así, ha señalado que mientras que en el año 2009 la ratio entre la comunidad autónoma de mayor y menor puntuación fue de 1,71, este año ha aumentado hasta 2,15. Lo que a juicio de la federación, evidencia "una gran disparidad en los servicios sanitarios entre las CCAA", que "pone en peligro la necesaria cohesión y equidad entre territorios", ha afirmado Sánchez.

Uno de los datos "más preocupantes" es el número de camas por 1.000 habitantes, en el que hay una diferencia de dos camas por cada 1.000 habitantes entre comunidades como Valencia (2,69) y Cataluña (4,50), ya que, según ha indicado, "limita la posibilidad de hospitalización de los pacientes".'


'Igualmente, ha explicado que los puntos negros de las comunidades peor situadas son un gasto per cápita muy bajo sostenido durante años y una apuesta por la privatización, especialmente en Madrid y Valencia. Así, ha resaltado que entre la comunidad que más invierte (País Vasco con 1.623,08 euros) y la que menos (Baleares con 1.066,37 euros) hay una diferencia de casi 500 euros por persona.'

Fuente y noticia completa: Europa Press 1/09/2010 vía Qué, 20 Minutos


Reformado el Servicio de Farmacia del Hospital Universitario Príncipe de Asturias.[Almacén automatizado e informatizado]

'La Comunidad ha reorganizado el Servicio de Farmacia del Hospital Universitario Príncipe de Asturias, situado en Alcalá de Henares, para mejorar la cadena logística interna de medicamentos y la ampliación de espacios y dependencias. La principal novedad ha sido la instalación de un almacén automatizado para guardar medicamentos que permite un mejor control del stock, optimizando gestión.

Este carrusel también permite mejorar la calidad en su dispensación y una capacidad de almacenaje de más de 800 medicamentos diferentes. La nueva instalación permite ganar espacio ya que optimiza el almacenamiento de los medicamentos. La colocación y la dispensación se hacen de una forma más rápida y con un mayor control de acceso a los fármacos, ya que queda registrado el momento, la persona y la cantidad que se dispensa.

El almacén dispone de un software de gestión que clasifica los medicamentos según la frecuencia de uso y facilita el control de stocks, permitiendo un seguimiento adecuado de las caducidades. Este sistema de gestión automatizado de medicamentos es sencillo de manejar, de modo que el personal del Servicio de Farmacia del hospital accede a los cajones de dispensación en pocos segundos ahorrando desplazamientos.'

Fuente y noticia completa: Portal de Salud de la Comunidad de Madrid 23/08/2010

Sanidad y Vodafone presentan una aplicación para agilizar las donaciones de órganos

'La ministra de Sanidad y Política Social, Trinidad Jiménez, presentó este miércoles en rueda de prensa un nuevo sistema tecnológico que permitirá agilizar e incrementar la seguridad en el proceso de donación y transplante de órganos, desarrollado por Fundación Vodafone.

Conocido como "Carla", el proyecto tiene por objetivo “optimizar aún más los excelentes resultados del sistema nacional de transplantes”, ya que “permite a los coordinadores enviar y recibir en tiempo real datos por escrito del donante, que quedan registrados a través de una aplicación informática”, aseguró

Por un lado, prosiguió Jiménez, esta plataforma “recoge información del sistema central de la Organización Nacional de Transplantes (ONT)”, y posteriormente la distribuye entre todos los profesionales (coordinadores autonómicos y hospitalarios) en tiempo real, mediante el envío a sus blackberrys, agregó.

Entre las ventajas de "Carla", Jiménez destacó la transmisión en tiempo real de datos para valorar la idoneidad de los órganos; la capacidad de verificar el grupo sanguíneo; una mayor rapidez en la búsqueda del receptor adecuado; la mejora de la logística referida a la extracción y transporte de los órganos, y la posiblidad de presentar esta información resumida y con datos estadísticos en la pantalla del terminal.

La ministra hizo hincapié en que gracias a "Carla" se “agilizará” el proceso”, ya que “todo el mundo recibe la información a la vez”, y “mejorará la seguridad en la transmisión de los datos”, que aparecerán por escrito evitando así las confusiones que la tradicional trasmisión de viva voz y por teléfono podría ocasionar

Además, en una segunda fase (a partir de 2011) permitirá una mejor gestión de la información sobre todos los procesos de logística.

“Nuestro objetivo es seguir afianzando el liderazgo del sistema nacional de transplantes”, y para ello es preciso” incorporar las nuevas tecnologías de la comunicación a todos los agentes implicados”, señaló Jiménez.

Por su parte, el presidente de Vodafone España y de su Fundación, Francisco Román, destacó que “ésta es la verdadera importancia de la telefonía móvil”, y sugirió la posibilidad de que en el futuro "Carla" se implantase en otros países.'

Fuente: SERVIMEDIA 01/09/2010 vía EcoDiario 01/09/2010

Buen inicio de una relación a largo plazo: las concesiones. El modelo público-privado en el Puerta de Hierro

' "Han sido dos años de trabajo con un modelo no muy conocido en nuestro sector". Con estas palabras se ha referido al modelo de colaboración público-privada Jorge Gómez Zamora, director gerente del Hospital Universitario Puerta de Hierro, en Majadahonda (Madrid), durante el I Encuentro sobre eficiencia de gestión e innovación en los servicios hospitalarios no sanitarios en modelos de concesión, que se ha celebrado en el Puerta de Hierro, uno de los centros de la Comunidad de Madrid en los que, además de la construcción, la gestión de lo no sanitario corre a cuenta de una sociedad concesionaria."Pero el balance es positivo", ha añadido Gómez Zamora. "No es mejor o peor sino que aporta diferentes formas de actuar, porque el modelo tradicional también ofrece buenos resultados". Se trata de dos equipos de trabajo "con un objetivo común: la seguridad y la atención al paciente".

Para llegar hasta el punto común "se requiere un compromiso serio, pero también un respeto mutuo, con cauces de colaboración permanentes", según Gonzalo Otero, director general de la Sociedad Concesionaria Hospital Majadahonda. ' [...]

'En cuanto a los puntos fuertes que ha conseguido el hospital con este modelo, Gómez Zamora ha señalado la confianza entre ambas partes. Y en lo que se refiere a áreas de mejora, ha adelantado que habrá que "avanzar en temas como las tecnologías de la información y de la comunicación -ampliando sistemas wifi-, automatizar el transporte y trabajar en la biblioteca de pacientes...".'

Fuente y noticia completa: Diario Médico 7/7/2010
Imagen (Ana Sánchez, viceconsejera de Sanidad de la Comunidad de Madrid; Gonzalo Otero, director de la sociedad concesionaria del Puerta de Hierro, y Jorge Gómez Zamora, gerente del hospita): Diario Médico

Diferencias de calidad entre los proyectos sanitarios

'FUNDAMENTO: Actualmente, los proyectos sanitarios de empresas con ánimo de lucro afectan a la mayoría de los beneficiarios de Medicare que optaron por este sistema. Los estudios realizados anteriormente arrojaban conclusiones contradictorias en cuanto a la menor calidad sanitaria de los proyectos con fines lucrativos.

OBJETIVO: Comparar la calidad de los servicios prestados por sistemas sanitarios con ánimo de lucro con la de los proyectos sin fines lucrativos utilizando como sistema de medida el utilizado por el Medicare Health Plan Employer Data e Information Set (HEDIS).

DISEÑO: Se realizó un estudio observacional que comparaba la puntuación HEDIS obtenida por los proyectos sanitarios con fines lucrativos frente a la de los planes no lucrativos, en relación con los usuarios de Medicare en Estados Unidos durante 1997.

MATERIAL Y METODOS: Se utilizaron parámetros de calidad para cada uno de los cuatro servicios seleccionados por HEDIS: despistaje de cáncer de mama, fondo de ojo en diabéticos, fármacos beta-bloqueantes utilizados después de un infarto de miocardio, y seguimiento de los enfermos mentales tras alta hospitalaria.

RESULTADOS: La calidad de las prestaciones resultó ser inferior en los proyectos sanitarios con ánimo de lucro en cada uno de los 4 servicios analizados (67% frente al 74,8% en despistaje de cáncer de mama, 43,7 frente a 57,7% en examen del fondo de ojo de diabéticos, 63,1 frente a 75,2% para los beta-bloqueantes, y 42,1 frente a 60,4% en seguimiento de enfermos mentales). El posterior ajuste estadístico que se realizó considerando la variable socio-demográfica, redujo pero no eliminó en absoluto las diferencias ya que éstas continuaron siendo estadísticamente significativas en 3 de los 4 servicios (la excepción fue la utilización de beta-bloqueantes después de un infarto). La distinta ubicación geográfica de los proyectos tampoco pudo explicar las diferencias halladas en el estudio.

CONCLUSIÓN: Mediante la utilización de datos estadísticos estandarizados en un estudio comparativo, encontramos que los servicios sanitarios prestados por empresas con fines lucrativos son de peor calidad que los proyectos no lucrativos. Sería recomendable llevar a cabo un esfuerzo especial con un objetivo: inspeccionar y mejorar los planes sanitarios de las entidades con ánimo de lucro.'

Fuente: Schneider EC, Zaslavsky AM, Epstein AM vía CAS-Madrid. Traducción de CAS-Madrid

Visto en MiSaludNoEsUnNegocio 30/08/2010


El Infanta Leonor prueba una nueva aplicación informática de diálisis

' El consejero de Sanidad, Javier Fernández-Lasquetty, ha visitado el Hospital Infanta Leonor, para conocer una nueva herramienta informática que el Servicio de Nefrología está aplicando para la gestión integral del tratamiento de los pacientes de diálisis. Se trata de una aplicación innovadora, denominada Therapy Manager Extended (TME ). De hecho, el Infanta Leonor ha sido elegido centro piloto mundial para la implantación de este sistema informático. Desde abril de 2010, toda la gestión clínica de los pacientes en hemodiálisis del Infanta Leonor se hace a través de esta nueva aplicación, que se ha enriquecido gracias a las aportaciones de los facultativos y enfermeras del Servicio de Nefrología.

Esta herramienta informática tiene como objetivo facilitar la gestión, aumentar la seguridad en las sesiones de diálisis y aportar mayor calidad en la prescripción terapéutica, lo que conlleva beneficios para los pacientes y los profesionales sanitarios. Por un lado, todas las mediciones que realizan las máquinas de diálisis durante la sesión quedan registradas de forma informatizada para su posterior consulta y análisis, permitiendo la individualización del tratamiento de los pacientes. Tanto el personal de Enfermería como los nefrólogos pueden vigilar en tiempo real las sesiones desde cualquier ordenador de la Unidad de Diálisis, lo que facilita la detección de incidencias y su rápida resolución.

Otra de las ventajas del sistema TME es que todo lo que se realiza al paciente en diálisis queda registrado.' [...]


Fuente y noticia completa
: Redacción Médica 31/08/2010
Imagen: Redacción Médica

MADRID: Más hospitales pero menos camas públicas en funcionamiento

Madrid necesita 1.300 camas más, para situarse al nivel de las Comunidades con mayor oferta

'A pesar de que la Sanidad ha sido el principal compromiso político de Esperanza Aguirre y de la fuerte inversión en nuevos centros, la Comunidad de Madrid no ha ampliado su capacidad de camas hospitalarias en la red pública desde 2003, cuando Aguirre llegó a la Presidencia Regional, y hay menos camas funcionantes por cada mil habitantes que entonces.


A día de hoy, de acuerdo con el estudio comparativo realizado por UGT-Madrid, el Servicio Madrileño de Salud, tras una inversión de dinero público en la construcción de 7 nuevos hospitales que hipoteca a los madrileños para los próximos 30 años, tiene en funcionamiento 1,99 camas hospitalarias públicas por cada mil habitantes, las mismas que en 2007 y ligeramente menos que en 2003 (2,01 por cada mil habitantes), cuando Esperanza Aguirre llego a la presidencia de la Comunidad de Madrid.


La construcción de nuevos centros hospitalarios, primero 7 en funcionamiento desde 2008 y después 4 más aún en proyecto, sin duda, ha sido una de las principales apuestas de Esperanza Aguirre.


La inauguración de los nuevos hospitales en el año 2008, tenía el compromiso de alcanzar su pleno rendimiento a lo largo de 2009; sin embargo, hoy es frecuente ver en ellos módulos completamente diáfanos o con camas instaladas que no disponen de los medios, tecnología, ni profesionales para su funcionamiento regular, lo que acaba en una derivación continua de pacientes a los hospitales tradicionales, de tal manera que la gestión que se hace de la fuerte inversión realiza, no supone una mejora tangible ni perceptible para la ciudadanía madrileña.


En definitiva, al tiempo que el Gobierno Regional inauguraba nuevas camas en los hospitales de reciente construcción las cerraba en los hospitales tradicionales, de modo que cuando Esperanza Aguirre llega a la Presidencia de la Comunidad de Madrid en 2003, hay 11.553 camas hospitalarias públicas funcionantes de promedio para 5.723.333 habitantes; en 2007, año anterior a la apertura de los nuevos hospitales, hay 12.143 camas hospitalarias públicas funcionantes de promedio para 6.081.689 habitantes; y en 2009, hay 12.730 camas hospitalarias públicas funcionantes de promedio para 6.386.932 habitantes.


En términos netos hay un promedio de 587 camas hospitalarias funcionantes más que en 2007, pero también la Comunidad de Madrid ha incrementado su población en el mismo periodo en 305.243 habitantes, lo que determina que la ratio de camas hospitalarias públicas funcionantes por cada mil habitantes no haya mejorado en 2009 respecto de 2007, manteniéndose en 1,99 y sea ligeramente peor que en 2003 cuando se encontraba en 2,01.


Por último, la Comunidad de Madrid está muy por debajo de la media nacional, situada en 2,31 camas públicas por mil habitantes, y es la penúltima Comunidad Autónoma, solo por delante de Cataluña y de la Ciudad Autónoma de Ceuta. En definitiva, manteniendo en volumen actual de población, Madrid necesita 1.300 camas más, para situarse al nivel de las Comunidades con mayor oferta: Extremadura 3,59 camas/1000 hb; Aragón 3,37 camas/1000 hb; Asturias 2,95 camas/1000 hb; Galicia 2,87 camas/1000 hb; Castilla-León 2,83 camas/100 hb; etc.


UGT-Madrid considera que el balance de camas públicas funcionantes por cada mil habitantes, computando los nuevos hospitales, no mejora la capacidad hospitalaria de la Comunidad de Madrid, demuestra que en sanidad no hay mejora solo ruido y representa la incompetencia del Gobierno de Esperanza Aguirre para la gestión sanitaria.'

Fuente: Comunicado de UGT-Madrid de 31/08/2010 recibido en APISCAM

El mercado servidor experimenta su mayor repunte desde 2003

'Según IDC, en el segundo trimestre del año las ventas mundiales de servidores experimentaron su mayor repunte desde 2003, con un incremento del 11 por ciento de los ingresos por ventas hasta 10.900 millones de dólares.'

'
En el segundo trimestre de 2010 los ingresos por venta de servidores a escala mundial gozaron de un crecimiento del 11 por ciento hasta los 10.900 millones de dólares. Así lo constata la consultora IDC, que destaca que se trata del mayor repunte desde 2003 experimentado por este mercado, que encadena su segundo trimestre consecutivo de crecimiento.'


'
Ciertamente, la demanda de sistemas de volumen y rango medio -con un coste entre 25.000 y 250.000 dólares- fue fuerte en el segundo trimestre, anotándose, respectivamente, un crecimiento de los ingresos del 32 y el 16 por ciento con respecto al mismo periodo de 2009. Sin embargo, la demanda de sistemas de alta gama -con un coste superior a los 250.000 dólares- se hundió al sufrir una caída de los ingresos del 27,2 por ciento en el segundo trimestre, que se convierte así en el séptimo trimestre consecutivo de descenso.'

'
Por proveedores, los grandes ganadores en el segundo trimestre de 2010 fueron HP y Dell que, en la primera y la tercera plaza, gozaron de un incremento de los ingresos por ventas del 26 y el 37 por ciento, respectivamente. IBM, que ha descendido a la segunda plaza desde la primera posición que ocupaba hace un año, ha visto en el segundo trimestre descender sus ingresos por venta de servidores un 3,2 por ciento ' [...]

martes, 31 de agosto de 2010

Más sobre las vulnerabilidades de rutas de DLL en aplicaciones sobre Windows

No para de aumentar la lista de programas informáticos -algunos de ellos muy populares- que sufren vulnerabilidadas con métodos públicos de aprovechamiento ("exploits") ya públicamente disponibles -algunos de uso sencillo al ser incluidos en la conocida herramienta Metasploit- donde las vulnerabilidades están relacionadas con el problema del orden de búsqueda de librerías (o ficheros de biblioteca) dinámicas (DLL) en Windows, en especial con que el "directorio actual" esté incluido en el orden de búsqueda de Windows (el directorio actual de una aplicación suele ir cambiando, por ejemplo, cuando se va explorando con la respectiva ventana de "abrir ficheros" de la aplicación) y la aplicación contenga fallos -lamentablemente muy habituales- como del tipo de intentar cargar una librería propia que ya no necesita realmente y ya no existe o no instala.

Los exploits y mecanismos de ataques son tan simples como depositar un fichero DLL normal (con la funcionalidad maliciosa deseada, generalmente instalar malware) en un recurso externo (disco USB, recurso de red ,etc) que tenga el nombre de una de las librerías mal programadas para ser cargadas en una de las aplicaciones vulnerables y esperar a que desde dicha aplicación se abra o "vaya" a ese directorio. Nótese que en especial no se requiere construir ningún fichero con contenido complejo hábilmente preparado como suele ser habitual en exploits de otras vulnerabilidades.

Ante la explosión de exploits disponibles de cada vez más aplicaciones muy conocidas y para mitigar la proliferación de instalación de malware vía esta familia de vulnerabilidades, Microsoft ha publicado una actualización cuya instalación define un nuevo parámetro de configuración de Windows que permite eliminar el directorio actual del camino de búsqueda o restringir su uso, si bien , esta contramedida está suponiendo problemas colaterales en muchas aplicaciones, algunas de Microsoft, tal y como podemos leer en los siguientes extractos traducidos de la noticia de ISC de SANS y comentarios de lectores:


'Las DLLs más importantes se especifican en una rama del registro (HKLM/System/CurrentControlSet/Control/Session Manager/KnownDLLs). Aquí la situación es sencila – si una aplicación necesita cargarla, el sistema sabe que tiene que ser desde el directorio especificado en la clave de registro DllDirectory, que suele valer %SystemRoot%/system32.

Sin embargo, en otros casos, el sistema intenta dinámicamente buscar la DLL. Al principio, Microsoft cometió un error al colocar el directorio actual en el primer lugar de búsqueda (algunos de los antiguos conocedores de Unix recordarán los tiempos cuando "." estaba en el primer lugar de la variable PATH). Microsoft corrigió esto con la introducción del valor del registro SafeDllSearchMode setting (registry value) que espeficica el orden en que una DLL debe buscarse. Por ejemplo, tal y como se especifica en http://msdn.microsoft.com/en-us/library/ms682586%28v=VS.85%29.aspx el orden de búsqueda con SafeDllSearchMode habilitado:

1. El directorio desde el que se abre la aplicación
2. El directorio de sistema.' [...]
3. 'El directorio de sistema de 16-bit ' [...]
4. 'El directorio de Windows' [...]
5. 'El directorio actual
6. Los directorios especificados en la variable de ambiente PATH. ' [...]

Si varios directorios contiene una DLL con el mismo nombre, el primer ajuste según el order anterior gana. Este ajuste viene establecido por defecto ya en Windows XP SP2.

El problema aparece, por ejemplo, cuando una aplicación intenta cargar una DLL que no existe en el sistema' [..]


'Microsoft ha publicado varios artículos describiendo los detalles de esta vulnrabilidad a la par que describiendo varias contramedidas ["workarounds"]. El boletín principal de seguridad está disponible aquí (2269637).' [..]' También ha publicaod una herramienta que permite crear listas negras de directorios para que no sean utilizados en la carga de librerías. Más información aquí y sobre la herramienta en sí aquí. La herramienta añade un nuevo valor de registro denominado CWDIllegailInDllSearch. '


'[...] si [CWDIllegailInDllSearch] se establece a 0xFFFFFFFF, el directorio actual de ejecuón ya no está en los caminos de búsqueda'

'Hemos establecido CWDIllegalInDllSearchValue=ffffffff en CurrentControlSet y Outlook ya no nos funciona. Tampoco Sendto en Word, Excel, Powerpoint,' [...] 'Añadiendo el path "C:\Program Files\Common Files\System\Mapi33 " a
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\winword.exe", ...excel.exe", ...
ya funcionan'


El valor , menos radical que la supresión completa del directorio actual de la ruta en todas las circunstancias, que se está recomendando para el nuevo parámetro CWDIllegailInDllSearch es 0x00000002 ya que bloquea la búsqueda de librerías dinámicas en recursos remotos para las aplicaciones que se han iniciado desde las unidades de disco locales, sirviendo por tanto en principio de protección si se combina esta medida con la de nunca iniciar una aplicación cuyo ejecutable esté en recurso remoto, pero establecer este valor parece que también está generando problemas para ciertas aplicaciones.


Entradas relacionadas:


Reducción a un tercio de los previsto de las ayudas para el Sector de las TIC en la Comunidad de Madrid

'Orden de 19 de julio de 2010, por la que se minora el importe previsto en la Orden de 23 de diciembre de 2009, por la que se convocan para el año 2010 las ayudas para el fomento de la innovación y el desarrollo tecnológico en el Sector de las Tecnologías de la Información de la Comunidad de Madrid'

' La necesidad de seguir cumpliendo con el objetivo de Estabilidad Presupuestaria fija-
do para las Comunidades Autónomas por el Consejo de Política Fiscal y Financiera (CPFF) hace preciso reducir los créditos iniciales asignados a esta convocatoria de ayudas, para mantener así el rigor y la estabilidad de las cuentas.' [...] 'Minorar en 1.950.000 euros el importe previsto' [...] 'El importe resultante es, por lo tanto, de 1.050.000 euros'

Fuente y texto completo: BOCM nº 180 de 29/07/2010