google/hacking

El blog oficial de Google ¿hackeado?

Publicado en por Josemaría / 0 comentarios

Si es que ya no respetamos nada… Lo cuenta brevemente dirson aquí y Eduardo Arcos entra un poco más en honduras. La nota oficial por parte de Google dice que el blog no fue hackeado realmente y que los hechos hay que achacarlos a torpeza propia. Vete tú a saber…

We’ve determined the cause of tonight’s outage. The blog was mistakenly deleted by us (d’oh!) which allowed the blog address to be temporarily claimed by another user. This was not a hack, and nobody guessed our password. Our bad.

Lo cierto y verdad es que el asalto no aparece registrado en el archivo de defacements de Zone-H… la verdad es que no me lo había preguntado nunca pero ¿se puede considerar un defacement un asalto a un blog? Imagino que si… en cualquier caso, aquí están los resultados:

ACTUALIZACI�N: Trey, el autor del desaguisado, confirma en sus páginas la versión dada por Google:

Regarding Google’s Official Blog, I didn’t hack it. I did re-register the username when I noticed, due to a Blogger bug, it had been deleted.

libros/necrológicas

Stanislaw Lem (12/09/1921 – 27/03/2006)

Publicado en por Josemaría / 1 comentario

Conocí a StanisÅ?aw Lem a través de una adaptación de dos de sus relatos en el álbum Erase una vez en el futuro del genial Carlos Giménez. A partir de esta experiencia leí sus maravillosos Diarios de las Estrellas, los Relatos encontrados en una bañera, etc. y me encontré con un escritor fabuloso, dotado de un corrosivo sentido del humor y que coincide plenamente con la literatura de ciencia ficción que a mi me gusta, esa que la utiliza como medio para transponer situaciones y hechos cotidianos a una situación imaginaria y futura.

Ojalá que la vida le haya dado al menos la mitad de las satisfacciones que él ha sabido transmitir con sus historias.

microsoft/seguridad

Internet Explorer de nuevo en el ‘candelabro’

Publicado en por Josemaría / 9 comentarios

Este fin de semana nos fuimos a casa con una nueva vulnerabilidad crítica en el Internet Explorer que permite ejecutar código de forma remota en la máquina del usuario afectado. O sea en aproximadamente el 80% de los ordenadores de este planeta. Una alegría, vamos.

La vulnerabilidad fue remitida por la gente de Computer Terrorism y, como decían en Kriptópolis, casi no merece la pena hablar de ello por acostumbrado… yo creo que a estas alturas lo que deberíamos de publicitar como noticia son los periodos en que no existiera ninguna vulnerabiliad conocida y no parcheada sobre este infame navegador…

No obstante, viendo las listas de configuraciones vulnerables publicadas por la propia Microsoft y por Computer Terrorism y comparando ambas yo creo que si que merece la pena comentar al menos un par de cosas al respecto:

  • Microsoft da como vulnerables todas las configuraciones de Explorer 6 (incluido el ‘super-seguro’ XP SP2) y también la versión 5.01 del navegador pero no la versión 5.5 del mismo… ¿que diablos ha pasado aquí?¿un bug que existía en la versión 5.01, se corrige en la 5.5 y vuelve a aparecer en la 6.0?¿pero cómo trabajan estos chicos?
  • Por otro lado, Microsoft no lo menciona pero Computer Terrorism si: la versión beta 2 del Explorer 7 también es vulnerable. Y se trata ya del segundo fallo crítico que ‘salta’ del código del Explorer 6 al 7 ¿de verdad que tenemos que creernos que la siguiente versión del explorer corregirá los continuos problemas de seguridad de la actual?

Microsoft ha anunciado que no habrá parche inmediato y que este se liberará en forma de parche acumulativo el 11 de abril a pesar de que reconocen (en la misma nota) que esta vulnerabilidad ya está siendo explotada. Los chicos de Hispasec (como siempre a pie de tajo) publican un boletín donde dan una serie de consejos para minimizar el problema y la lista de antivirus que detectan los primeros ataques detectados. Conseguir un exploit (o dos) para jugar con el es tan fácil como ir al supermercado, así que ya veremos si tenemos movida en estas dos semanas que restan hasta el segundo martes de abril…

Ahumado debe de estar ya… Y vosotros ¿A qué estais esperando?

ACTUALIZACI�N: Leo en Kriptópolis que, al igual que ya ocurrió con la vulnerabilidad de los WMF, ha aparecido un parche no oficial para cubrir la vulnerabilidad. En este caso el desarrollo ha corrido a cargo de eEye Digital Security (ya sabeis, la gente de Retina). Microsoft, por su parte, al igual que hizo ya en la otra ocasión, desaconseja la aplicación de este parche a pesar de que los fuentes del mismo están disponibles para todo el mundo.

microsoft

Microsoft Windows Vista Rrrrroadmap

Publicado en por Josemaría / 2 comentarios

Tengo una extraña sensación de «déjà vu» con el continuo retraso en la fecha de lanzamiento de la nueva versión de windows. Los más viejos veteranos recordareis que algo muy similar ocurrió hace unos 14 años con la primera versión profesional de Microsoft Windows (la NT 3.1) y, por ello, el NT (de New Technology) fue rebautizado como Not Today. A fecha de hoy el nuevo producto de los chicos de Redmon lleva ya acumulados dos años de retraso respecto a las fechas inicialmente previstas:

  • Lanzamiento en el 2005
  • Lanzamiento en el 2005 para particulares y en el 2006 para empresas.
  • Lanzamiento en el 2006
  • Lanzamiento a finales del 2006 para particulares y en el 2007 para empresas

Hace 14 años, cuando se preparaba el lanzamiento de NT, teníamos la sensación de que la tecnología evolucionaba de forma más lenta. Además, ciertos sectores estaban deseando de echarse en los brazos de cualquier alternativa a una Novell que reinaba de forma indiscutible en las redes empresariales pero que no parecía creer necesario adaptarse a los nuevos entornos gráficos que tan atractivos comenzaban a resultar. Los técnicos que se movían bien con Novell eran gente curtida y escasa y, por tanto, cobraban bien y eso tampoco gustaba mucho al empresariado… Para cuando Novell se quiso dar cuenta de la jugada le había quitado el trono y le habían hundido la corona en la cabeza a golpes de cetro.

Ahora la situación es bien distinta. Microsoft no acaba de adaptarse a lo que más se le exige en el momento actual: seguridad. Las empresas comienzan a aburrirse de tantas falsas promesas y algunas de las grandes funcionalidades prometidas para el nuevo windows van quedándose por el camino durante este goteo de fechas… Un año más (si no hay nuevos retrasos) es mucho tiempo en este sector y aunque no soy un analista de mercados estoy convencido de que esto le acabará pasando factura a los chicos de Ballmer.

Quiero recordar en este punto a todos los suscriptores de la modalidad de licencia de Software Assurance (y en particular a las empresas públicas) que esta está concebida para pagar aproximadamente la mitad del precio de renovación cada año (ver post al respecto), es decir, que si tenemos una nueva versión cada cuatro años estamos pagando el doble del precio de su valor de actualización. Si no hay nuevos retrasos las nuevas versiones saldrán entre cuatro y seis años después del lanzamiento de sus antecesores (windows xp salió al mercado en marzo de 2001 y windows 2003 en octubre de ese año). Haced números y tomad nota.

google/publicidad

¿Alternativas (más) inteligentes al Ads de Google?

Publicado en por Josemaría / 8 comentarios

La tribuna del Ombusman de El País del pasado domingo titulada Sarcasmo Tecnológico (sólo suscriptores y piratas, lo siento) recogía las quejas de algunos lectores sobre la ‘escasa sensibilidad’ demostrada por el sistema de anuncios a la hora de insertar según que publicidad en las noticias. Aunque no creo que haga falta poneros en contexto, os corto unos párrafo:

David Escorial remitió el lunes pasado un correo electrónico para criticar la publicación de unas inserciones publicitarias en la edición digital del diario. El lector concretaba su queja en tres pequeños anuncios que figuraban ese día al final de un artículo titulado El salto de la patera a la piragua y cuyo subtítulo precisaba: ‘Los traficantes de inmigrantes aumentan el tamaño y la potencia de sus embarcaciones para rentabilizar más sus viajes hacia España’.

El dramatismo del artículo contrastaba con los textos de los anuncios, seleccionados por un robot virtual de escasa sensibilidad social. En el primero se podía leer: «Préstamos inmigrantes. Cumplir tus sueños nunca fue tan fácil. Decide sólo cómo y cuánto». En el segundo: «Barcos crucero. Alquiler de barcos sin licencia por los ríos y canales de Europa». Y en el tercero: «Todo para el piragüista. Piraguas, kayaks, canoas».

Siempre bajo el epígrafe Anuncios Google, los textos publicitarios que acompañaban al día siguiente el mismo artículo no eran menos chocantes. El primero: «Hipotecas inmigrantes. Hipotecas al 100% de tu vivienda. Gestión rápida. �ptimas condiciones». El segundo: «Alquiler de barcos en Ibiza. Embarcaciones yate, velero, goleta, catamarán en Ibiza y Formentera». Y el tercero: «Ibiza chárter veleros, yates, catamaranes, motos acuáticas».

Bastante menos dramático es el anuncio que, de forma casi invariable, nos acompaña todos los días junto a la cabecera de Meneame, el sistema de promoción democrática de noticias de moda:

Lo que está claro es que vendría bien una alternativa más inteligente al sistema de anuncios actúal. Algo que no tenga en cuenta sólo palabras claves sino algún otro tipo de atributos o etiquetado manual por parte del webmaster que ayude a elegir correctamente los anuncios más apropiados y evite disparates como estos.

O, en caso contrario, Virginia seguirá pagando por meneársela todas las mañanas a las personas inadecuadas… pobrecilla.

recetas de cocina

Pollo con alcaparras

Publicado en por Josemaría / 4 comentarios

Tenía muy olvidada la sección de recetas de cocina, así que vamos allá de nuevo. Hoy os dejo una cazuela muy sencillita de preparar pero sabrosa y muy peculiar. Eso si, abstenerse completamente los paranoicos de la gripe aviar 😉

  • 1 Pollo grande y entero trozeado.
  • 1 tarro de alcaparras (ojo, no alcaparrones) en vinagre.
  • 2 puerros.
  • 1 o 2 cebollas.
  • 2 zanahorias.
  • Vino blanco.
  • Sal.
  • Pimienta negra molida.

El pollo se salpimenta al gusto y se mantiene en reposo unos 30 o 40 minutos. Luego se saltea con un buen chorreón de aceite y a fuego medio, dandole vueltas de vez en cuando para que se dore por igual.

Cuando está a nuestro gusto (es recomendable que ni muy crudo ni demasiado quemado y yo, particularmente, prefiero dejarlo poco hecho) se aparta en un plato y, en el mismo aceite y grasa que ha sudado el pollo, se echa el puerro, la cebolla y la zanahoria cortados en rodajas.

Una vez que la verdura está pochada se vuelve a echar el pollo en la cazuela, se vierten las alcaparras (con el vinagre con el que vienen en el tarro) y un par de vasos (de los de agua) de vino blanco. Se deja consumir a fuego medio y se retira cuando el vino se haya evaporado casi por completo.

GNU/Linux/ofertas de empleo

Oferta de trabajo para el equipo de Guadalinex en Sevilla

Publicado en por Josemaría / 0 comentarios

Luis Mayoral publica hoy en su bitácora una oferta de trabajo de la que me gustaría hacer eco por dos motivos: porque está relacionada con el mundo del Software Libre y porque buscan un perfil tecnológico bastante interesante y en la ciudad de Sevilla ¡y no se cual de ambas cosas es más difícil de conseguir!

Cito textualmente de su entrada:

  • Se Necesitan auténticos especialistas en Linux, y software libre en general para formar parte del equipo de Guadalinex (trabajo estable en empresa pública).
  • Se valorarán conocimientos de perl, python, bash, administración de servidores (apache, mailman, qmailâ?¦), capacidad de diagnóstico y respuesta a usuarios, inglés, y todo lo que se te pueda ocurrir relacionado con el mundo de las distribuciones gnu/linux.
  • Enviad curriculum a gifted.developers@gmail.com.

¡Suerte!

criptografía/privacidad/VoIP

Zfone: cifrado de tráfico VoIP

Publicado en por Josemaría / 2 comentarios

Ocurre tan pocas veces que, cuando un programa se lanza antes para plataformas GNU/Linux y MAC OSX dándoles preferencia frente a los entornos de Microsoft merece la pena hacerle toda la propaganda posible a la iniciativa.

Mucho más en este caso en el que la herramienta viene de la mano de Zimmermann (creador del PGP) y se trata de una interesante implementación que posibilita cifrado sobre VoIP.

Interesados aquí.

Visto en Error500.

seguridad

¿Se puede ganar dinero encontrando vulnerabilidades?

Publicado en por Josemaría / 0 comentarios

Una de las vulnerabilidades publicadas ayer día 14 por Microsoft hace referencia a un problema en Excell que afecta a las tres últimas suites de la empresa de Redmon (2000, XP, y 2003) y que, explotada a través del plugin del navegador, podría proporcionar acceso remoto al ordenador de la víctima. El código asignado por Microsoft a esta vulnerabilidad ha sido el MS06-012 y ha sido reportado, entre otros por la Zero Day Initiative de 3COM.

ZDI es un programa de recompensas a investigadores de fallos de seguridad lanzado por 3COM a mediados del año pasado y cuyo planteamiento parece bastante correcto. O al menos así es sobre el papel porque en la práctica no parece haber tenido demasiado éxito. El funcionamiento de ZDI es muy sencillo. Cuando un investigador descubre un fallo de vulnerabilidad lo envía a ZDI para su evaluación. Los técnicos de este programa comprueban la vulnerabilidad, valoran el alcance de la misma y le hacen una oferta económica a su descubridor. Si este la acepta, 3COM se hace con la exclusiva de la información (que no con el crédito de la misma a no ser que el descubridor prefiera permanecer en el anonimato). A partir de este momento ZDI se pone en contacto con el fabricante del producto afectado para notificarle la incidencia y respeta el public-disclosure hasta que el fabricante elabora un parche de seguridad, momento en el que hace público el descubrimiento a través de las listas de correo usuales (full-disclosure@lists.grok.org.uk y bugtraq@securityfocus.com).

Las ventajas para el descubridor son dos: la recompensa económica, evidentemente, y evitar la engorrosa labor de tener que tratar con los fabricantes. A 3COM le proporciona la iniciativa para, antes de que la incidencia sea pública, crear los filtros pertinentes en los IPS de su divisiòn Tipping Point. Además, aunque 3COM notifica a otros fabricantes de IPS los detalles de la vulnerabilidad (según publicita en el modus opernadi del programa) lo hace con un cierto decalaje para contar con un valor preferencial. Esto puede apreciarse en el Timeline que publican acerca de esta última incidencia:

    DISCLOSURE TIMELINE

  • 2006.01.24 – Vulnerability reported to vendor
  • 2006.02.21 – Digital Vaccine released to TippingPoint customers
  • 2006.03.13 – Vulnerability information provided to ZDI security partners
  • 2006.03.14 – Coordinated public release of advisory

Por último, el incentivo económico sobre la labor de investigación y la mayor presión que alguien como 3COM puede hacer sobre las empresas fabricantes para que los parches se elaboren lo antes posible es algo que beneficia a todos los usuarios.

No obstante el éxito de la iniciativa como os comentaba antes ha sido escaso: en algo más de medio año de existencia han publicado sólo 7 exclusivas. ¿Quizás son demasiado tacaños a la hora de pagar? El programa de recompensas no lo parece así…

La competencia de ZDI es el programa VCP (Vulnerability Contributor Program) de iDefense. Es un programa con mucha más solera que funciona desde mediados del año 2002 y que parece tener bastante más actividad. La vulnerabilidad del Windows Media Player del mes pasado (MS06-006) fue reportada por este programa y, para escarnio de los de Redmon, en el timeline se revela que en este caso pasaron seis meses, seis, desde su notificación hasta la publicación del parche:

    DISCLOSURE TIMELINE

  • 08/31/2005 Initial vendor notification
  • 08/31/2005 Initial vendor response
  • 02/14/2006 Coordinated public disclosure

La metodología de iDefense parace más flexible e imagino que en eso (aparte de la antigüedad, que ya se sabe que es un grado) reside su mayor éxito. Permite, por ejemplo, negociar el nivel de la ‘exclusividad’ o incluso que no exista y este será uno de los factores que valoren a la hora de pagar al descubridor.

En el suplemento de seguridad de Computer.org (una publicación de la IEEE) de abril de 2002 se publicó un interesante artículo (aún hoy aprovechable) llamado Bug Hunting: The Seven Ways of the Security Samurai dónde se desvelaban técnicas y secretos para convertirte en un experto cazador de bugs. Si el honor y la fama no es lo tuyo y te faltaba un aliciente económico ahora lo tienes.

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información

ACEPTAR
Aviso de cookies