microsoft/seguridad

Hay algo que no es como me dicen

Publicado en por Josemaría / 1 comentario

Llevamos años oyéndolo: Microsoft apuesta por la seguridad. Yo creo que la primera vez que lo escuché fue tras aquel famoso comunicado interno que Bill Gates, allá por el año 2002, envió a toda su plantilla y que se difundió a lo largo y ancho de este mundo. Desde entonces los medios afines a la empresa de Redmon nos repiten lo mismo una y otra vez a ver si a fuerza de escucharlo nos lo creemos. Pero nada ha llovido mucho desde aquel momento y se ve que no hay manera. Las recientes vulnerabilidades descubiertas en torno a las betas de sus «productos estrella» para este año (Internet Explorer 7. OneCare y Windows Vista) demuestrán, además, que o bien no tienen ninguna intención de cambiar o el éxito les ha convertido en una empresa tan ‘pesada’ que no son capaces de hacerlo.

Parémonos en primer lugar en la reciente vulnerabilidad en torno a los archivos WMF y que, aunque Microsoft no ha tratado de airearlo mucho ocultándolo en el boletín oficial que emitió, lo cierto es que esta vulnerabilidad afectaba también a la beta de Windows Vista. Independientemente de toda la polémica surgida en torno a ella, hay algo de lo que no se ha hablado y que a mi me parece muy significativo: Microsoft declaró que conocía la existencia de esa vulnerabilidad desde hacía años. Entonces ¿cómo es posible que fuese portada a la beta de su nuevo sistema? Desde luego es difícil creer que una empresa que actúa así esté especialmente motivada por la seguridad de sus productos.

Después de esto y en apenas un mes hemos tenido un par de nuevos ‘problemillas’: uno de ellos afecta a la beta de Microsoft OneCare, una suite de seguridad que pretenden lanzar durante este año. Los expertos que han analizado dicha beta (e imagino que lo habrán hecho a conciencia puesto que aquí Microsoft arremete contra un floreciente negocio que ha crecido a su sombra y les ha dado mucho dinero) han advertido que el cortafuegos de dicha suite permite en su configuración por defecto que cualquier aplicación firmada digitalmente o que use la máquina virtual java tenga acceso a Internet. En este caso se trata claramente de un error de diseño gravísimo: «cualquier cortafuegos, cualquier dispositivo de seguridad, debería de denegar el acceso por defecto» ha declarado Mark Curphey, vicepresidente de Foundstone. Se trata de algo tan evidente para cualquiera que trabaje o conozca el mundo de la seguridad que casi parece estúpido tener que decirlo.

Por último, tenemos un fallo que podría posibilitar la ejecución de código de forma remota y que afecta nada más y nada menos que a la beta de Internet Explorer 7, un producto que, se supone, debería de estar especialmente mimado por los de Redmon debido a la sangrante pérdida de mercado que está sufriendo a manos de Firefox. Microsoft contesta con lo de siempre: que se preocupan mucho por la seguridad, que ya sabían que ese error existía (¿cómo diablos sacas la beta entonces sin advertirlo?), que no está tan claro que se pueda ejecutar código remoto y que no es correcto que la gente vaya por ahí aireando sus trapos sucios sin enseñárselos a ellos antes para que puedan enterrarlos convenientmente.

Tenemos, pues, tres errores, tres, en torno a los futuros nuevos lanzamientos de los de Redmon. Uno debido a la reutilización de código mal diseñado, otro debido a un error conceptual de diseño y un tercero que repite los mismos fallos de siempre en un desarrollo nuevo… ¿es esta la forma de actuar de una empresa que se preocupa por la seguridad?

Y no me canso de repetirlo: a todos, incluso a los que tratamos de no usarlo, nos interesa que Microsoft desarrolle productos seguros porque por culpa de estas meteduras de pata tenemos que convivir con el spam, con gusanos que saturan el tráfico de redes completas, y con decenas de problemas en el trabajo que no nos dejan ocuparnos de lo que realmente nos interesa. Repito: no me gusta el software de Microsoft pero quiero que, de una vez por todas, se tomen en serio la seguridad de sus productos.

(Espero que Juanjo Millás no se moleste por haber tomado prestado para este post el título de su excelente trabajo sobre el caso de Nevenka Fernández).

resúmenes semanales

Lo mejor de la semana (y V)

Publicado en por Josemaría / 1 comentario

Ni he leído ni he escrito mucho durante la última semana. He tenído la cabeza (y las manos) en otras cosas y lamentablemente no he disfrutado de mucho tiempo libre. No obstante y aunque no llego ni de broma a las 10 entradas semanales que suelo marcarme como objetivo, tampoco quiero dejar de escribir unas líneas acerca de las cosas que me han parecido reseñables durante estos días:

  • La compro, no la compro, la compro…¡no la compro! Y continúa el culebrón de la compra de Digg por parte de Yahoo. Un día es casi seguro aunque no hay aún precio. Al día siguiente ya resulta que hasta tenemos precio. Y cuando estamos ya fantaseando sobre que agujerillos se podrían tapar con esos dineros va el señor Rose en persona y lo desmiente. País…
  • Definiciones. Hardware y Software. Por fin una forma exacta y concisa de describirlos.
  • ¿Acaso lo duda alguien? Dice Kobylanski que los blogs pueden ser una excelente forma de perder el tiempo. Y pone como ejemplo

    «¿qué pensariáis de una persona que invierte 20 horas por semana (o más) jugando al parchis con el único objetivo de ganarse una reputación entre los aficionados a ese juego de mesa?»


    Probablemente lo mismo que pensamos de quien se pasa 20 horas viendo Gran Hermano o películas de Fassbinder. O lo mismo que pensamos de quien se pasa 20 horas leyendo novelas de Corin Tellado o libros de Dostojewsky. Incluso lo mismo que de quien juega durante 20 horas a la semana al ajedrez: que le gusta, le satisface, le compensa la ‘inversión’ y no hace daño a nadie con ello ¿no?

  • Un virus en mi bitácora. Lo he visto en las páginas de Luis Mayoral y me ha parecido tan ‘mono’ que no he podido evitar que me contagie… Hala, aquí están los verdes efectos visibles de la infección…
    Blog.Worm
  • Cruzadas. Enrique Dans se embarca en una campaña para denunciar con las nuevas armas que tenemos a nuestra mano el pesimo trato del que fue objeto por una compañía aerea. Lógicamente y debido a su fama la nota se amplifica en otros sitios. No va como crítica al señor Dans, ojo, que a fin de cuenta es un individuo más y puede estar equivocado o en lo cierto pero lo hace, creo, únicamente con la intención de defender sus derechos (¿y tal vez llevado también un poco por las egorías?). Pero me preocupa que gente con más o menos escrúpulos pueda decidirse a usar estas nuevas armas para hundir empresas o reputaciones… No es nada nuevo: es algo que los ‘grandes medios’ han hecho siempre pero que ahora está en las manos de más gente… ¿es esto bueno? No lo se, pero imagino que es algo que tendremos que ver (y mucho) en el futuro…
  • Más sobre el borrador de la GPL v3. Ricardo Galli aclara algunas dudas al respecto con ese tono suyo tan «correcto» ;-), desenfadado, y didáctico.
  • Es palabra de Dios. Todos los derechos reservados. El contenido de esta encíclica está protegido por la ley (de Dios) que establece penas de condenación eterna además de las correspondientes jaculatorias idemnizadoras para quieres reprodujeren, plagiaren, distribuyeren o comunicaran públicamente en todo o en parte y en cualquier tipo de soporte lo dicho en estos santos papeles sin la preceptiva autorización. Dónde vamos a llegar… (A David Bravo también le pone este asunto.)
opinión

Asco

Publicado en por Josemaría / 2 comentarios

Soy un ferviente defensor de la libertad de expresión. Con todas sus consecuencias. Pero hay veces que se me revuelven las entrañas cuando tengo que leer cosas como esta:

Ojalá nuestro pueblo español, nuestros civiles y nuestros militares, contaran con más ??Tejeros? en su haber, con más hombres de honor, con tu misma gallardía y patriotismo, con el mismo compromiso del que siempre has hecho gala y que siempre ha representado tu timbre de gloria.

Esta bazofia ha sido escrita por Ricardo Saenz de Ynestrillas en su blog (al cual me niego a enlazar con su URL para no hacerle propaganda gratuita) en un texto en el que ensalza las últimas declaraciones del miserable que hace unos años quiso dar un golpe de estado en este país (el cual, ya de paso, me trae sin cuidado que sea uno, trino o más).

Hay días que me gustaría que hubiese límites en algunas cosas… Afortunadamente luego se me pasa.

criptografía

Se ha escrito un crimen

Publicado en por Josemaría / 0 comentarios

Bruce Schneier, uno de los grandes genios de la criptografía de nuestro tiempo, publica hoy en su bitácora una entrada digna de un guión cinematográfico. En ella nos cuenta que ha recibido un extraño correo electrónico donde (traduzco como buenamente puedo) le dicen lo siguiente:

Sé que esto va a sonar como el guión de una película. No lo es. Linda Rayburn, una buena amiga mía, y su hijo Michael Berry fueron brutalmente asesinados por el marido de ella que era, a su vez, el padrastro de sus hijos.

El asesinato ocurrió el 3 de febrero de 2004. El asesino fue encontrado ahorcado en el sótano de la casa entre algunos inquietantes objetos.

El más intrigante de todos ellos es un criptograma manuscrito en papel que utiliza letras, números y símbolos de un teclado de ordenador. Jenn, la otra hija de Linda, fue quién encontró los cuerpos y me ha pedido que haga todo lo que esté en mi mano para ver si este criptograma posee realmente una información valiosa o si es una macabra broma del asesino para mantenernos eternamente intrigados acerca de su significado.

Y este es el criptograma que acompañaba al correo (el recuadro que enmarca algunos de los símbolos en la parte superior de la nota no fue hecho por el presunto asesino sino por uno de los familiares de la víctima):

Schneier, preguntándose acerca de la veracidad de lo que le cuentan, encontró una nota acerca de este suceso en una web donde se denuncian casos de violencia doméstica:

2 de Febrero: Linda Rayburn, de 44 años, y Michael Berry, de 23, fueron asesinados en su casa. De acuerdo a las informaciones de la policía, el marido de Linda, David Rayburn, asesinó a su mujer y a su hijastro con un martillo. Sus cuerpos fueron encontrados en camas adyacentes. David Rayburn dejó una nota de suicidio y se ahorcó en el sótano.

Increible ¿verdad? Es como los viejos cripto-juegos que se publicaban antaño en Kriptópolis, pero ahora en serio… ¿Se anima alguien a echarle una mano a Miss Marple… digooooo… al señor Schneier para resolver este caso?

GNU/Linux

¿Necesitas que una aplicación funcione en LINUX? ¡Pidela!

Publicado en por Josemaría / 1 comentario

Novell, la empresa patrocinadora de la distribución OpenSuse lanzó hace un par de semanas una curiosa encuesta preguntando a los usuarios por aquellas aplicaciones críticas para su actividad que les impiden o dificultan gravemente una hipotética migración a LINUX. Su objetivo, según comentan, es hacer presión de forma conjunta a los fabricantes de los productos más demandados con objeto de que se diesen cuenta de que la inversión estaba justificada.

Hoy, dos semanas después del lanzamiento de la encuesta, Novell ha publicado los primeros resultados parciales de la misma y es interesante ver los datos y comentarios que se hacen sobre ellos.

hacking/howto´s/networking/privacidad

TOR: Fiebres anónimas

Publicado en por Josemaría / 10 comentarios

La privacidad y el anonimato siempre han sido puntos que han preocupado bastante a un gran porcentaje de los usuarios de Internet, sobre todo a los que tienen un poco de más conocimiento sobre lo que están haciendo y el uso que se le puede dar a los datos que van dejando por ahí. Pero últimamente, no se si por casualidad, he recibido una avalancha de información referente a dos de las mejores herramientas que existen para conseguir esto: sendos artículos en las revistas de enero de Linux Magazine y @rroba, entradas en el meneame y mucha publicidad referente a una nueva distribución de GNU/LINUX centrada en el uso de dichas herramientas. Me estoy refiriendo, por supuesto, a TOR y a Privoxy Privoxy es un proxy web con algunas funciones muy útiles para control de cookies, eliminación de publicidad en las páginas, bloqueo de popups, etc. Está basado en el Internet Junkbuster. TOR es el verdadero ‘anonimizador’ de nuestra conexión y para ello usa un sistema muy curioso: hace viajar nuestras peticiones a través de una red de servidores (denominados Onion Routers, de ahí las siglas del producto) de forma que sea imposible identificar su procedencia ni realizar un seguimiento de la misma (luego veremos un poco más el método que usan para ello). Ambas herramientas combinan perfectamente entre sí para proporcionarnos Privacidad (Privoxy) y Anonimato (TOR) en nuestra navegación y están disponibles para una amplia base de plataformas. Yo uso ambas herramientas desde hace ya tiempo y voy a tratar de aprovechar el ‘tirón’ de popularidad que están teniendo en los últimos días para poner mi granito de arena y darles un poco más publicidad. Para ello os voy a contar la instalación que tengo hecha en casa y la forma más rápida y práctica de ponerlos en marcha. Para empezar, os copio el esquema de mi red tal y como lo entrega mi nagios y os doy unas explicaciones:

Como podeis ver después del cortafuegos tengo cuatro máquinas: aquilino es el portatil de mi mujer (Windows 2000 Professional, y mira que lo siento…), susie es mi máquina de trabajo habitúal (OpenSuse 10.0), Debbie es mi servidor (Debian Sarge 3.1) y Valeria es el equipo que uso para cacharrear, hacer pruebas con productos inestables o de los que meramente quiero hacer una evaluación, etc. En susie tengo una instalación de Privoxy en local y la uso siempre para eliminar la publicidad y los Ads de las páginas por las que navego. OpenSuse viene con la versión 3.0.3 de esta herramienta. En debbie tengo una instalación combinada de Privoxy (versión 3.0.3 en stable) y TOR (versión 0.1.0.16 en unstable) y la uso cuando… digamos, quiero que lo estoy haciendo pase lo más desapercibido posible… La forma más cómoda de combinar las distintas opciones que ahora se nos ofrecen es mediante firefox y su extensión SwitchProxy que me permite cambiar con sólo dos clicks entre cualquiera de las tres posibilidades de navegación que tengo disponibles de forma inmediata:

Pero regresemos a la forma en la que TOR trabaja ¿cómo nos proporciona el anonimato?¿es algo realmente fiable? La forma de trabajar (de forma reducida) es la siguiente: TOR puede trabajar como cliente y/o como servidor. Un cliente TOR lo primero que hace es obtener una lista de servidores TOR disponibles y confeccionar una ‘ruta’ aleatoria y privada (el tráfico está cifrado) entre varios de estos servidores. Cada minuto (o tras un reinicio del demonio si necesitamos un cambio más rápido) TOR confecciona una nueva ruta para nuestro tráfico. El proceso seguido está explicado en detalle aquí.

Si disponemos de una IP fija y queremos ‘donar’ algo de nuestro ancho de banda al servicio del resto de usuarios de esta herramienta aquí se nos dice como hacerlo. El ancho de banda que nuestro servidor TOR usa está limitado y es configurable por el usuario, así que no hay que tener miedo de que nos eche abajo la conexión. La configuración de ambas herramientas es muy sencilla. Para hacer funcionar Privoxy en nuestra máquina local basta con arrancar el servicio y apuntar nuestro navegador para que use el proxy a través del puerto 8118 de la máquina en la que esté instalado.

Privoxy por defecto viene configurado para que sólo pueda ser accedido desde la misma máquina desde la que se ejecuta, así que para acceder a la instancia que tengo en el servidor debian tuve que modificar la siguiente línea en el fichero de configuración (/etc/privoxy/config para debian y /var/lib/privoxy/etc/config para OpenSuse) listen-address 192.168.0.3:8118 La dirección por defecto era, como podeis imaginar es la 127.0.0.1:8118 Por último, para que Privoxy use TOR como anonimizador hay que incluir una nueva línea en su fichero de configuración, esta vez bajo el epígrafe 5.2 (puedes ponerlo dónde te plazca, el emplazamiento sugerido es meramente para guardar la coherencia del fichero de configuración) forward-socks4a / localhost:9050 . Ni que decir tiene que para que Privoxy tome cada cambio que hacemos en su fichero de configuración hay que reiniciar el demonio, ¿verdad? Y poco más. Si ahora hacemos la prueba a través de cualquier servicio de localización de IP a través de Internet (como por ejemplo http://www.ip2location.com/) podemos comprobar que nuestra dirección de acceso no se corresponde para nada con la realidad…

Y a cada minuto (o cada vez que reiniciemos el demonio del tor) obtenemos una ‘identidad’ diferente:



Si meramente usamos Privoxy la diferencia de rendimiento es prácticamente despreciable pero si lo combinamos con TOR como podeis imaginar la navegación se hace un poco más lenta, así que no se trata de una opción para tener activada siempre sino sólo cuando realmente pensemos que lo necesitamos… Buen provecho…

resúmenes semanales

Lo mejor de la semana (y IV)

Publicado en por Josemaría / 5 comentarios

Semana de trancision en lo que a mi respecta… el sabado pasado hice mi examen del CAP y espero no tener que preocuparme mas de ello y poder centrarme por fin en prepararme las oposiciones… Pero vamos al resumen que esta semana han ocurrido cosas muy interesantes…

  • Buenas y malas noticias. La buena es que el estudio de XiTi, una consultora francesa especializada en TI confirma el espectacular ascenso en la utilización de Firefox en toda Europa que llega al 20% y encabeza las estadísticas de todo el mundo. La mala es que los españoles hacemos lo que podemos para bajar esa media… ¡qué no te vea por aquí con un Explorer!
  • Largo tiempo esperada. Se publica el borrador de la GPLv3
  • Poderosos refuerzos. Brainslayer llega a Madrid para echarles una manita a los chicos de FON. Desde luego si hay alguien capaz de sacar adelante técnicamente una parte bastante importante del proyecto es este chico, posiblemente el fichaje mas acertado de los muchos ‘galácticos de Varsavsky’, así que está claro que seguiremos hablando mucho y por mucho tiempo de FON. Eso si, me dejó un poco de mal gusto la rencorosa salida de tono con la que el empresario argentino hizo la presentacion de su nuevo talento… No hay que perderse tampoco la respuesta que le da Ricardo Galli.
  • Y otro más en la arena. Wibiki, una nueva red wifi comunitaria sale a la luz y arranca con muy buenas criticas por parte de Ansaria y el recién estrenado blog de Walter Kobylansky. Habra que echarle un vistazo aunque, por mi parte, aún no he encontrado hueco. A ver si esta semana tengo un rato…
  • Agujeros. Mark Russinovich, posiblemente una de las personas que mas sabe de las tripas de los sistemas operativos de Redmon, disecciona en su blog la vulnerabilidad de los archivos WMF buscando trazas del Backdoor denunciado por Steve Gibson y concluyendo que mas bien se trataba de un «diseño lamentable». ¿Algo que no sepamos?
  • Cargaditos de razones. 10 motivos por los que nadie lee tu blog. Qué lo sepas…
  • Peras y manzanas. Sergi de Tecnorantes sale al paso de los que vaticinan que AJAX sustituira a .NET y a Java. Cada uno en su patio y sin mezclarser señores, que no os enterais…
  • A las duras y a las maduras. Esta entrada de Ricardo Galli me hizo recordar los años en los que, realmente, usar GNU/LINUX era una aventura… mi primer LINUX (lo se porque conservo el CD) fue una Red Hat 6.0 que regalaban con el PC World en verano del 98. Compré la revista exclusivamente por el CD porque ¿quien iba a bajarselo con un modem de 36K? A pesar de que se supone que era una distribución para ‘principiantes’, hacerla funcionar con mi hardware y tener un entorno completamente operativo me llevó todo un fin de semana… Ahora las cosas han cambiado mucho y tienes decenas de distribuciones completamente funcionales y operativas tras los 30 o 45 minutos que dura la instalación y si no tienes otra forma puedes escribir a los chicos de Ubuntu y te la mandan a casa por correo gratis, así que ya sabes: quien te diga que cree en el Software Libre pero que no lo usa (por lo que sea) te está mintiendo.
  • ¿Feliz aniversario? Schneier nos recuerda que se han cumplido 20 años desde la aparición de Brain, el primer virus conocido para PC’s. En F-Secure hacen una interesante comparación entre la complejidad estructural de este y el más reciente Bagle. No hay color.
  • Barato, barato. Campaña del Ministerio de Industria para subvencionar la compra de ordenadores bajo el nombre de «Hogares Conectados». Me ha hecho particular ilusion que en las caracteristicas del ordenador objeto de la subvencion no exigen que venga con Windows como ha ocurrido en otras ocasiones… aunque para que vamos a engañarnos: ya sabemos lo que van a llevar la mayoria ¿no se podria aplicar discriminacion positiva a estas cosas?
recetas de cocina

Filetes de rodaballo al aroma de azafrán

Publicado en por Josemaría / 0 comentarios

Y hoy receta de pescado sencilla de preparar pero de un sabor exquisito, sobre todo si encontramos rodaballo para hacerla. Si no, la he preparado otras veces con pargo, mero o incluso perca y no desmerece tanto. ¡Que aproveche!

  • 500 grs. de filetes de rodaballo (a ser posible y si no algo similar)
  • 3 o 4 patatas
  • 1 vaso de cava o de vino blanco
  • Harina de maiz
  • Perejil
  • Azafrán
  • Aceite
  • Sal
  • Pimienta

Hacer un caldo con los desperdicios del pescado (raspas y cabeza) cociéndolas con agua, sal y perejil durante 10 minutos.
Con el horno precalentado a 200 grados se preparan los filetes (salpimentados y con un poco de aceite) en una bandeja de hornear y se mantienen en el horno durante 12 minutos (si es rodaballo… en caso de ser otro pescado más recio habría que dejarlo unos minutos más).

Las patatas se cortan finas en rodajas, se salan y se frien en sartén o freidora. El caldo de pescado se cuela, se le añade el azafrán (majado aparte con un poco del mismo caldo) y el vaso de cava o vino. Se deja reducir unos minutos y se añade un poco de harina para espesar la salsa.

Y ya está: se prepara una base de patatas fritas en cada plato con los fieletes de pescado encima y se ‘salsea’ ligeramente el conjunto.

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información

ACEPTAR
Aviso de cookies