viernes, junio 30, 2006

Solo Linux (2)

Hola, holita, holita a todos. Voy a escribir este segundo y último post sobre mi encuentro con la revista de título del post, aunque después de lo visto y leido creo que no hace mucha falta, me parece un poco triste, pero en fin. Os pongo los últimos comentarios antes de hacer que se pierda en la estántería de mis revistas entre los 20.000 comics que decoran mi vida.


Página 8: Noticias. Open BSD 3.9 ya ha sido lanzado. A pesar de su crisis financiera
[Otro que parece que va a poder dar un gran soporte y servicio]

Página 9: Noticias. Fin del soporte para SUSE 9.1. [...]Habiendose soportado esta versión con correcciones de seguridad relevantes por 2 años, las vulnerabilidades descubiertas en SuSE Linux 9.1 posteriormente al 15 dde junio del 2006 ya no será corregidas.[...]SuSE 9.0 se discontinuó el mes de Diciembre pasado.
[El titular debía ser: "Novell abandona una distribución antes de haberla instalado completamente (en Marzo del 2004 comenzó su migración y 2 años y....algo después está aún a ver si la acaba. ZdNEt "]

Página 9: Symantedc recomienda cambiarse a Macintosh. "son más seguras que las máquinas operadas con Windows"
[comenzó la guerra]

Página 10: Apple cierra Mac OS X. Ahora es un sistema propietario. Gracias a los piratas, o mejor dicho, por miedo a ellos, la edición Intel de Apple es ahora un sistema operativo propietario.
[Gracias? piratas? miedo? Naaaa, si publicar el código fuente ayuda a securizar el sistema... ¿o no?]

Página 11: Marcelo Tosatti trabajará en el ordenador de los 100 dolares.
Páigna 11: El PC China de 146 dolares.
Página 11: Eduwise, la portatil para el 3er mundo. Pequeña computadora portatil de $400 USA...
[En Mediamark hay algunos por 455 €. Esto no empieza a sonar raro???]

Página 12: Distribuciones olvidadas. Linspire (antes Lindows).
[Bueno, vayamos tachando las que no valen que con tanto lio....]

Página 12-20: Seguridad WIFI con Linux.
[...]El protocolo DHCP incluye tres métodos de asignación de direcciones IP: Asignación manual:[...]Asignación automática: donde una dirección de IP libre obtenida de un rango determinado por el administrador se le asigna permanentemente a la computadora que la requiere. Asignación dinámica: el único método que permiter la reutilización dinámica de las direcciones IP.[...]

copiado integro de lawiki.

Ahora bien, si la red no tiene activado el DHCP, tenemos dos opciones, o buscar otra red que si lo tenga, o bien intentar averiguar los datos por nosotros mismos.

[Ja,ja, no has oido hablar de los sniffers? para ver que ips se comunican con los APS? y si está con WEP, sacas primero la clave, y luego configuras el AIROPeek para ver las tramas con esa clave y ves las IPs...aaaaamos!!!]

Una vez [..averiguada o cambiada a otra red..] lanzamos el Ehtereal y [...] jugando un poco podemos ver la puerta de enlace y tenerla así asignada[...]

[...viendo como averiguas la ip...¿a que llamas jugando un poco con el ethereal?...Es más fácil hombre, es localizar una conexión a una IP de internet, ver la MAc de destino (esa será la de la puerta de enlace) y luego localizar una conexión interna con la misma MAC viendo las que hay o forzandola (haciendo un ping a las ips una vez asociado a la red) ay! es que no venía en la wiki]

[El artículo es "apasionante", pero solo una más cuando habla del ARP Spoofing]

Lo más peligroso actualmente es el robo de contraseñas que se envían por http (que son muchas las webs qeu aun no se deciden a cifrar sus conexiones, al menos las del intercambio de datos sensibles, como contraseñas). Debemos comentar tambie´n, que el temido robo de números de tarjetas de credito mediante ataques del tipo man-in-the-middle es prácticamente nulo, ya que las webs que se dedican al comercio electrónico tiene https implementado[...]

[Lástima que existan los fakes de certificados digitales y que, pese a nor ser perfectos y dar una alerta en el navegador, funcionen de maravilla. Te recomiendo cain para que lo pruebes con https]

página 28 y 29: Iniciación. YAST.
Acrónimo de Yet another.... [para que copiarlo si ya lo ha copiado el de la Wiki.]

página 30: VESA. Video Electronicx.. [..de ya sabéis donde wiki.

página 31: Geeko. Nombre del camaleon verde [...que yo como no tengo tiempo y todo vale, lo copio de la wiki... lo pego, relleno hoja y cobramos la revista a 6,95 €
wiki.]

[No voy a seguir poniendo todo lo que se ha copiado de la wiki pq son un mogollón y no me queda mucho sitio en el post]

página 39: Kinphone. El Skype de Linux.
[Bonito artículo con 1 columnita de texto y cuatro "cutre-capturas" muy didacticas todas ellas en FRANCÉS. Menús como Aide, Appeler ou Répondre y Raccroucher ou Refuser. Con 2 kOJONES!]

página 40: KToon.... [Igual pero las capturas en inglés (más normal)+

página 41: Grisbi. Contabilidad personal para GNU/Linux.
[Mismo rollete, con menos líneas y 5 capturas en FRANCES y... ALEMAN. Con menús tan claros como: "Startseite, Buchungen, Konten, Empfänger...."]

Página 47: Publicidad. Curso Práctico de Microsoft Word

Página 52: Konqueror y CGI. 8. Soluciónn al bug de Konqueror. En la versión de Konqueror que viene con el Debian Sarge, la 3.3.2, he encontrado un pequeño, pero en algunos casos molesto bug. El problema está que despue´s de los 2023 caracteres de la respuesta del CGI, Konqueror introduce un espacio en blanco.
[¿?¿?¿?]
Dependiendo de la aplicación esto puede o no tener importancia. Para resolver el problema, si la respuesta va a tener más de 2023 caracteres, se introducen 2024 caracteres en blanco después de haber hecho la llamada al Content-type.

[Y nos da un codigo en Perl para hacerlo. Yo flipo. Me niego a comentar esto, menos mal que luego dice que esto solo se debería usar en el caso de que el molesto espacio sea un problema. Además esto lo han destacado y puesto en negrita.]

Página 53 y 54: El poder de la multitarea en Linux.
[Sacado integramente, enterito, punto por punto de este link: Linux-party ]

Página 59. ¿Quien soy y donde estoy?

[Al final del tutorial de la multitarea venía eso de quien soy y donde estoy, pero lo repiten en la página 59 arriba. Es curioso pq en ámbos casos, en el tutorial y ahí han traducido cwd por "Current Work Directory" en lugar del "Current Working Directory" y por eso encontré el tutorial. Ahí si deberíais haber tirado de la Wiki en lugar de ....]


[Ya cierro pq esto es infinito, la revista es un cúmulo de despropositos, pero lo más gracioso es que usan fuentes y ni las citan ni el tutorial, ni la wiki, ni ná de na.

Debe ser que en "El lado del Bien" todo vale]

lunes, junio 26, 2006

Solo Linux

En dos semanas he perdido más neuronas de las que se deberían perder. La fiesta de este finde empezó un viernes y acabó un domingo y la verdad no creo que esto pueda ser bueno. Encima hoy me te tenido que poner a escribir informes y movidas varias, que me están aburriendo infinitamente.

El aburrimiento infinito es cuando estás en los aeropuertos.Dios que puto coñazo. En algunos de esas esperas reconozco que me lo he pasado debuti metiendome con el abuelo u oirle contarme sus historietas. Otras veces te juntas con cualquiera que tiene el mismo problema que tú, que se ha levantado muy temprano o lleva un guevo de horas o viajes encima y lo último que puede hacer es ponerse a leer. Somos una fauna un poco peculiar.

Lo cierto es que algunas veces si que te animas a leer, unos comics de bolsillo o algún librito (en mi cumple me han caido tres novelas de cuentos de Raymond Carver que parece que serán mis próximos compañeros de viaje).

Pero alguna vez... no llevas nada, así que a comprar una revista, y como yo estoy muuuy desentrenado de la epoca de la academia en el lado del bien, pues llevo un par de meses ilustrandome con las noticias del Pinguino.

Este mes le toco el turno a la revista Solo Linux: La revista profesional para todos los usuarios de GNU/LINUX.

Después de comprarla estaba sentado en la Terminal 2 de Barajas en unas escaleras descojonao de la risa hasta que llegaron 2 amigos y el abuelo. "¿De que te ries loco?" acto seguido les enseñé la portada, el título y el slogan que os he copiado arriba y luego les dije: "Mira, Mira tío, revista Solo Linux....

página 2: a tamaño de una hoja WINDOWS GAMES MANÍA
[pq los usarios de Solo Linux tendrán todos windows para jugar?]

página 3: Editorial: Linux toma ventaja en escritorios 3D
[De momento están en desarrollo, pero ya tienen ventaja... jajaja, que jeta!!!]

página 6: Buzón del lector "... Cada vez estoy más harto del navegador (alavado hasta los altares por todos) Firefox, simplemente es una autentica castaña. No para de colgarse y de dar problemas de navegación, hay páginas que son totalmente ilegibles por este navegador que en cambio con otros (y no hablo de IE) se ven perfectamente. Por lo que he visto en estas cartas no soy el único que se ha quejado y espero que los desarrolladores se cuenta que les queda mucho por hacer...)
[por favor, pasarme todas esas cartas!!!!]

página 6: No Nos ha gustado: "Saber que Richard M. Stallman cobró 3 dolares por un autógrafo y 2 doláres por dejarse fotografiar en el 7th international Free Software Forum en Porto Alegre....."
[No comment]

página 7: Y HE DICHO: "Aquellos que se aventuren a ejecutar Red Hat en sistemas donde la seguridad sea un elemento crítico deberán vivir con las consecuencias. Scott McNealy, presidente de Sun Microsystem"
[Y yo no he abierto la boquita]

página 7: Este mes Felicitamos a "Fedora Project, por no parar de currar. HAce 4 días teniamos aquí la versión (5) final y ya nos están anunciando la 6. No hemos acabado algunos de incluso instalar la versión 5 y poder probarla....."
[Claro, pero no era tan inmejorable la 5? en tan poco tiempo ya hay que sacar la 6?, aguantará alguna los 10 años de NT con soporte??, ay, que esta no tiene!, que cabeza la mia]

página 8:Noticias "FreeBSD compite con Linux para conseguir un entorno de escritorio más amigable"Según Scott Long, desarrollador del proyecto BSD[...]: Mi opinión es que los desarrolladores del nucleo de GNOME no usan nada más que Linux como su principal plataforma de desarrollo [...] Los modulos que están considerando no tienen soporte para FreeBSD, no tienen soporte para Solaris, son muy específicos para Linux"
[No era tan importante la interoperatibilidad de sistemas? o mejor, no es open source? programatelos tú!!]

Bueno me quedo a medias de la página 8, pero aún me quedan hasta 68 páginas. y este post ya es muy largo.

Bueno, os pongo la última que tb es guena:

Página 68 (contraportada): Cursos de Informática en DVD interactivos. Microsoft Outlook

[Solo Linux,... pero poco]

miércoles, junio 21, 2006

Clasificación del Mundial

Dice el anuncio de Mercedes que al ser humano le gustan las listas y debe ser asín, porque no paran de la salir.

Esta última está realizada por la empresa Bit9 que está centrada en la seguridad en el Desktop. En ella, se han localizado las 15 aplicacines con exploits críticos más desplegadas en los desktops y que se posicionan como el principal problema para la seguridad de las empresas.

El problema de esas aplicaciones según el informe es que suelen ser aplicaciones descargadas por los usuarios, que no están controladas por el equipo IT de la compañía y cuya gestión de actualizaciones de seguridad depende del propio usuario.

Así, la lista está encabezada por:

1. Mozilla Firefox 1.0.7
2. Apple iTunes 6.02 & Quicktime 7.0.3
3. Skype Internet phone1.4
4. Adobe Acrobat Reader 7.02, 6.03
5. Sun Java Run-Time Environment 5.0 Update 3, JRE 1.4.2_08
6. Macromedia Flash 7
7. Winzip compression 8.1 SR-1
8. AOL Instant Messenger 5.5
9. Microsoft 5.0
10. Yahoo Instant 6.0
11. Sony / First4 Internet DRM Rootkit
12. BitDefender 9 antivirus client
13. Kazaa peer-to-peer 2.0.2
14. RealPlayer media player 10
15. ICQ Chat

La lista completa la tienes en la siguiente URL:

http://www.bit9.com/docs/15VulnerableApps.pdf

Para que esto sea aun más complicado de gestionar, no solo contamos con productos cuya actualización suele requerir del usuario y de que tengan permisos adecuados, sino que ahora son objetivos prioriotarios con las herramientas de ataque.

Webattacker es un do-it-yourself para hacer malware y ya viene cargado con los exploits para Firefox que como se dice en la entrevista en e-week, tiene un abanico ámplio de vulnerabilidades que, al igual Internet Explorer, si no se parchea, es víctima de los ataques.

En los foros de Internet ya están circulando las reglas para detectar mediante sistemas de detección de intrusos los ataques del juguete. Aquí tenéis unas reglas para detectar algunos ataques a IE no actualizados.

jueves, junio 15, 2006

Como un Leon

Hola pájaros,

ayer Microsoft nos "regaló" parches para 21 vulnerabilidades así que hay que parchear y bien rapidito. Las técnicas de Ingeniería inversa de parches hacen que al momento se ponga a currar toda la comunidad investigadora de seguridad para sacar exploits que ataquen a esas vulnerabilidades.

En E-week sacaron una lista de las vulnerabilidades que en menos de 24 horas ya tienen pruebas de concepto para explotarlas. http://www.eweek.com/article2/0,1895,1976666,00.asp

Desde los más de 300 días que tardaron en aparecer los exploits en el año 2001 y 2002, pasando por los 27 días del Blaster y los 5 días del Sasser hemos llegado a momentos en los que los exploits tardan en salir horitas. Sin contar los 0-days que, cada vez menos, pq no es rentable o por responsabilidad, se hacen públicos.

Uno los exploits para estos parches existe desde el minuto 1, ya que lo había descubierto un investigador de León, pero, siendo responsable, no lo había publicado, ha sido justo cuando Microsoft ha dado la solución cuando él ha publicado la prueba de concepto.

Nosotros los hemos compilado y... rulan, así que o ha currado muuuuuy rápido o es totalmente cierto que ya les había avisado. Bien por Rubén.

http://www.reversemode.com/

Es molesto que Microsoft no le haya reconocido en los creditos, cuando él afirma haberles avisado con mucho tiempo. En el Blog del Washinton Post se hacen eco de lo mismo.

Así que yo también me hago eco Rubén. 3 puntos.

lunes, junio 12, 2006

Hacktivistas

Alonso gana en Silverstone y Nadal en París, creo que después de esto ya estamos preparados para quedarnos en cuartos. En fin. Ojala no sea así.

La verdad es que no tenía muchas ganas de dar guerra así que me he puesto a recorrer los lugares de siempre para entretenerme, ya sabéis, porno, drogas, extremo y albertucho, que se sale!. Y deambulando, deambulando he llegado a la web de zone-h, a ver que habían hecho los defacers recientemente.

En la web me he encontrado con la publicación de una vulnerabilidad de phpbb, es un gestor de contenidos, de los muuuchos que están por ahí circulando. Me ha hecho gracia por varias razones. Primero es un ataque de RFI, (vamos, que injectas codigo PHP de servidor en la víctima a través de un servidor web controlado) y de eso hago mañana una demo, en segundo lugar es en PHPBB. Este gestor nos lo encontramos en un trabajito y la verdad fue bastante fácil, tanto que, en la web de zone-h, hace un mes o así, había un mensaje que decía que no se admitían defacements triviales como los de este sw.

Curiosidad.

Os paso los links,

El de la vulnerabilidad RFI en PHPBB:

http://www.zone-h.org/content/view/4708/92/

El de alguno que ya debe de haberlo probado:

http://micancun.net/phpBB2_Plus_152_readme_english.html

http://zachsmarketscore.com/phpbb/index.php


Un saludo, desde el lado del mundial.... digo del mal!!

martes, junio 06, 2006

Lo Malo de Linux

Con este título y en mi blog? Algo mu malo será!

Bueno, bueno, bueno, la verdad es que después de terminar el primer examen, que espero aprobar, (gracias a todos los que me habéis llamado para interesaros) me quedé un poco chof, pero hoy estoy a las 6 y media de la mañana de vuelta en la carretera y he decidido animar esto.

Lo cierto es que en este país hay muy poca autocrítica de los que generalmente piden autocrítica, somos un sitio especial aquí en Iberia. Con el tema de Linux se puede decir cualquier cosa siempre que cumpla dos reglas mágicas:

1.- Hable bien de linux
2.- Hable mal de Spectra (ya sabéis quien son spectra, no?)

Bien, pues en palabras de Tarantino alguien del lado del bien ha dicho:
"Dejemos de chuparnos las pollas y pongamonos a currar pq no todo es bueno"

Se ha creado una iniciativa que trata de encontar las 5 cosas peores para los usuarios de Linux. Yo os he extraido aquí algunos fragmentos del texto de presentación y de algún comentario, pero, como ya sabéis, lo he hecho con "maldad", así que por favor, no os perdais la lectura completa y los 33 comentarios pq no tienen nada de desperdicio, y además, aún no ha empezado el mundial, así que tenéis tiempo.

"Ningún sistema operativo es perfecto, y obviamente Linux no escapa a esta definición. Aún hoy, luego de más de diez años de desarrollo, el sistema Linux sufre de "imperfecciones" que hacen que los que se quieran acercar a el se encuentren con muchos obstáculos.
[...]
No nos importan, e "invertimos" cinco horas para configurar nuestra impresora o nuestra webcam. Y seamos sinceros, por mas "geeks" que nos guste ser, no es lógico invertir cinco horas en configurar absolutamente nada, porque estamos en el año 2006, en la era del "enchufe y use, inalámbrico.
[...]
Pero, como nosotros amamos al pingüino, perdemos la noción de cuales son las cosas que más irritan a los usuarios nuevos.
[...]
Solo ellos lo saben, porque nosotros ya las asimilamos, y forman parte de nuestras vidas. Es por eso que hacemos un llamado a levantar la mano, y gritar bien fuerte ¡*esto* Es lo que me molesta de Linux!"

Algún comentario:

"
1-Me molesta por ahí si sale hardware relativamente nuevo que no tenga soporte por parte de la empresa a la cuál le compro el producto en linux; no puede ser que un miserable teclado usb genius no ande en el sistema del pinguinito.
[...]
4.- Lo de soft de calidad, creo que ya estan exigiendo mucho, recuerden que son soft propietarios Vs. soft libres; y hay una buena cantidad de $$$$ de por medio.
"

Blog "Lo Malo de Linux"

sábado, junio 03, 2006

Interludio

Maldita Ingeniería del Software,

es Sabado, son las 7 de la tarde y aquí estoy, chapando para el examen del lunes. ¿Quién me mandaría volver a estudiar a los 30?. Además cosas tan chulas como "El jefe de proyecto de demostrar que el proyecto PARECE rentable" (claro pq ya sabemos que la mayoría no lo son y si se dan cuenta al principio nos quedamos sin curro!) en fin.

A pesar de que estoy petao por este examen, estoy contento por varias cosas.

La prime: El caso es que necesitaba desconectar un poco, así que me he puesto a leer el correo y he recibido una invitación en firme para participar en la Party Quijote, en Ciudad Real (http://www.partyquijote.com/). Aún no he confirmado que iré, pero creo que es definitivo que si que estaré con un taller nocturno de técnicas hacker.

_next(): Tengo una caricatrua de VIZCARRA. Para todos los que ya lo sabéis soy un friki de los comics (agradezco todos los regalos de comics que ya no queráis!!!) y este mes la gente de Windows TI Magazine me hizo una entrevista, para conseguir que Vizcarra (el dibujante del jueves) me hiciera una caricatura. Y ya la tengo!! enmarcá y todo. Esa la cuelgo seguro.

_next(): Parece ser que Microsoft ha decidido renovarme un año más como MVP en Windows Security (me caducaba en Junio ya que el award es anual), así que seguiré dando el coñazo al menos otro año.

_next(): El 17 es mi cumple... y aunque estoy jodido por los años, cae en Sabado y la fiesta será de las de aupa!. Ese día me pidieron que participara en la Codecamp, que este año se hace en VIC, pero no puedo (tengo que estar borracho) así que hemos decidido que voy a hacer una sesión, entre cubatas y colegas, a través del Messenger para hacer alguna demo de....
La info de este evento aquí: Codecamp MSDN

-fin(): Este més visito, Pamplona, Bilbao,A Coruña (2 veces), Barcelona, Logroño, Zaragoza, León, con lo que veré a muuuuchos amigos!

Y........... time!

Me meto a seguir estudiando, sigo en modo off.