viernes, septiembre 29, 2006

Seguridad en La Web

Este es el artículo que publicó PC World, en nosecualo numero, pero este verano, vamos.

----------------------------------------------------------------

Entre boquerón y cazón en adobo comentábamos varios personajes, dedicados al tema de la seguridad en este país, cómo está el tema en la web. Hablábamos, antes de pasar a mayores en un pub de la zona, de lo que significa para nosotros realizar los tests de intrusión en las empresas. “Es genial que nos paguen por romper cristales”, decía yo, “siempre encuentras algo”, comentaba otro con mucho más prestigio en este país y autoridad que el resto de “tapensales”. Él venía de hacer un test de intrusión a una empresa, que mediante una vulnerabilidad conocida, publicada y solventada hace mucho tiempo, le había permitido entrar hasta la cocina, yo venía de haber terminado otra que también había resultado “productiva” mediante la búsqueda de fallos en el código de la web.

Lo cierto es, que cuando se realiza un test de intrusión en una empresa suelen ser pocas las que aguantan un análisis hacker completo, de ahí los sorprendentes resultados que se pueden apreciar diariamente en la web de defacements de Zone-h (http://www.zone-h.org) donde se puede ver en tiempo real lo que se acaban de “cepillar” y se contabilizan más de 2000 intrusiones con éxito al día. Esto sucede incluso, con aquellas empresas que realizan test de intrusión periódicos pues la web es un entorno cambiante, que es modificado por los programadores muchas veces en cortos periodos de tiempo.

¿Por qué está así la situación?

Los motivos por los que se produce esta situación hoy en día en las webs de las empresas en España son diversos y a veces poco acotables, pero si tuviéramos que hacer una selección de los motivos que más se repiten serían los siguientes:

1.- Pruebas antes de puesta en producción: Probar es un rollo, esto lo sabemos todos, hacer la fase de pruebas no es divertido, además de requerir una disciplina y metodología que pocas veces se realiza, suele tener poco “glamour”. Al final, los productos se quedan en la web con las pruebas iniciales de funcionamiento y unidad que realiza el propio programador, aunque esto no sea confesable.

2.- Tests de seguridad externos: Como siempre decía un amigo que pasó a mejor vida (a programar en Google donde disfruta de una agitada vida londinense) “El código es como tu niño, si le tienes que pegar por su bien, lo haces, pero le pegas poco y flojito, cosa que otro no va a hacer igual”. Y es así, cuando alguien viene con ganas de probar, le va a arrear de lo lindo, así que es mejor haberlo probado todo lo posible antes con alguien externo que lo pruebe de verdad haciendo esas cosas que al programador, tal vez, nunca se le hubiera ocurrido realizar con su código.

3.- Percepción de la seguridad. La gente percibe la seguridad como un sentimiento, en un cliente nos dijeron: “yo con [este producto que no voy a decir el nombre] me siento seguro”, da igual que luego se demostrara que no lo fuera, él se sentía seguro, o “a mi no me van a atacar por que yo no he hecho nada”, sin olvidarnos de “Los hackers sólo atacan a Microsoft así que yo estoy a salvo porque no uso nada de Microsoft” o “Me da igual si me hacen algo, yo no tengo nada de valor” son reducciones simplistas de la percepción de la seguridad que generan un entorno fácil de vulnerar para los atacantes .

Aprovechando justo esta motivación, quiero hacer notar este defacement de un argentino que lo hace por amor a una mujer. ¡Qué Lindo!

http://www.zone-h.org/index2.php?option=com_mirrorwrp&Itemid=44&id=4291311

4.- Costes de los productos. A la hora de realizar un proyecto de desarrollo en la web, siempre hay dos costes que parecen no entrar dentro lo admisible: los costes de formación de los desarrolladores y los costes de la auditoría de seguridad. Son los costes prescindibles para reducir el montante de cualquier proyecto. Parece como si los programadores pudieran pasar de una tecnología de desarrollo a otra con solo planteárselo. “El que sabe programar en un lenguaje sabe programar en todos”. Quizás tirar bucles, variables, y resolver problemas algorítmicos, sí sea cierto, pero hoy en día las tecnologías .NET, plataformas Java o PHP funcionan de forma muy diferente y es necesario conocerlas en profundidad si lo que se desea es hacer código seguro. Además si no se conoce como actúa un atacante es más que probable que fallos típicos, documentados y redocumentados en la comunidad hacker, que dan lugar a técnicas de ataque, como SQL Injection, Cross-Site Scripting, Remote File Inclusión, WebTrojans, Hijacking, etc… se repitan una y otra vez.

Me preguntan muchas veces, al finalizar una sesión, una demo o una conferencia, sobre que contramedidas se pueden tomar para securizar una web publicada en Internet. La verdad es que cada uno tiene su visión de la seguridad pero existen ciertas reglas básicas que siempre se pueden aplicar.

1.- Te van a atacar, asúmelo. Es lo que hay, las alternativas son: Te van a atacar Sí o Sí. Lo que tenemos es que estar preparados para resistir el ataque.

2.- La seguridad no es un producto, es un proceso a lo largo del tiempo, así que cuando prepares tu plan de seguridad, piensa en las acciones que vas a ir realizando a lo largo del tiempo para mantenerla.

3.- Formación, Formación, Formación. Forma a tus desarrolladores en la tecnología elegida, forma a tus desarrolladores en seguridad y forma a tu equipo de seguridad en técnicas hacker.

4.- Que te pegue otro. Periódicamente planifica test de intrusión en tus sistemas con alguien externo. No te garantizan que tu sistema esté seguro, pero si te ayudan a saber si es capaz de resistir el ataque de alguien de un determinado nivel.

5.- No uses sólo herramientas automáticas. Estas hacen una parte grande del trabajo de la auditoría, pero un test de intrusión requiere la participación de un atacante “inteligente” detrás que sea capaz de “imaginar” acciones contra una aplicación web concreta.

6.- Defensa en profundidad: Aplica el máximo número de medidas de seguridad a todos los niveles que puedas siempre que una medida no anule a otra y no falle la disponibilidad del sistema. Nada esta de más en seguridad.

7.- Mínimo punto de exposición: Haz que un servidor o una aplicación web sólo ejecute el software estrictamente necesario para el cumplimiento de su rol. Cuantas menos cosas puedan fallar mejor.

8.- Mínimo privilegio posible: Configura el sistema y la aplicación para que cada componente se ejecute con la menor credencial posible dentro del sistema. Si algo queda comprometido que pueda hacer el menor daño posible.

Mantener una aplicación web segura exige disciplina, pero se puede conseguir independientemente de la tecnología utilizada,… aunque, hay algunas que lo ponen más fácil que otras. ;)

jueves, septiembre 28, 2006

Un Comino me importa

A pesar de lo que parezca el título la cosa no va por donde os pensáis. A lo largo de estos años trabajando en este sector he ido conociendo a gente de lo más peculiar, divertida, genial, rara y diferente de la que me he ido enganchando.

Conocer a Jacobo Crespo, David Sonrisas y el gran Ivanin (cuanta ternura me despertó desde sus primeros pasitos) cuando estaban en Sybari, a Germán Díaz, un PM DPM en Microsoft, a Bernardo, Cea y Ropero de Hispasec de los que en una tarde aprendí un huevo cuando visitaron Microsoft, a los Sergios y los pescaos de Málaga, a JM Crespo de Panda, adicto como yo a los comics y las niñas de Manara, a la presencia imponente de Cuartango y la cercanía de Cristobal de Instisec, trabajar con Baby Face Morón y Olvido en Technet, Carles y Aurora en Windows TI Magazine, que solo tuve que decirles que era fan de Vizcarra para que me consiguieran que me hiciera una caricatura, a Antonio y Marta en la URJC, luchando por mover el cotarro y realizar cosas en la uni, al brujo, luchando por sostener ese gigante que se llama elhacker.net, a anelkaos y hackeo de gmail, a Julitio de ONO, al abuelo, cervi, Rodol...

La mayoría están en mi vida personal pq son geniales. ¡Y me pagan por currar en esto! ¡genial!

El último que ha entrado en mi vida con relevancia fue Dani Comino, que después del encuentro en Amsterdam narrado en el post anterior, en lugar de hacer el bicho bola y enfadarse conmigo, se puso a currar. 1 año después nos encontramos en el Security Day en Madrid y le dije: "¡coño! ¡tuporaki!" (gracias faemino y cansado por existir). Me contó que estaban cambiando la revista hacía un tiempo y que quería hablar conmigo para alguna cosa.

En la siguiente que nos vimos fue en la presentación a la prensa de Windows Vista donde en la comida me dijo que quería que escribiera en PCWorld alguna cosa. Para convencerme me invitó a sus oficinas a ver otra vez a carlos en su reino y ver el laboratorio, etc... Para acabar de convencerme de que algo había cambiado en PCWorld me trajo las últimas revistas y me dijo que leyera las secciones de seguridad e infraestructura a ver que me parecían. La verdad es que no me parecieron mal (no siempre voy a estar pegandome con todo el mundo en mi blog ;) ) Y me animé.

Este mes de septiembre publicaron un artículo de opinión sobre la seguridad en la web y le pedí permiso para publicarlo luego aquí en el blog, a lo cual accedió y por eso lo voy a publicar esta semana. Después del artículo de opinión me dijo:

"Mu bonito y mu lindo, pero... ¿qué tal si trabajas algo?" Y me ha mandado escribir sobre seguridad, pero en plan técnico, así que a partir del mes de Octubre tendré que entregar un artículo mensual. Amos...

Un saludo a este trotamundos que, en pro, de conseguir tener buen material se nos pira por todo el planeta persiguiendo a Riley, Russinovich o el que se deje!!

miércoles, septiembre 27, 2006

Haciendo el Indio

Hace más o menos un añito y algo, a punto de dar la sesión de la gira de Seguridad en Bilbao en el palácio de Euskalduna, nos trajeron la revista de PCWorld que querían que entregaramos en ese evento de la Gira Technet de Microsoft. La revista en cuestión venía con un bonito cd de la distribución Linux euskera (no recuerdo el nombre, euskaldinux?) y otro lindo artículo en portada. HACKING IIS!!!.

Coño!, joder!, hostias! laputa!. Primero. ¿Como vamos a entregar en un evento de Microsoft una distribución de Linux? ¿Han hackeado IIS 6 y yo no me he enterado?Rápidamente abrí la revista para leer el artículo, y me encontré con 2 páginas sobre como hackear IIS 3.0 (¿en el año 2005?, manda huevos!). Una bonita página de como hackear IIS 4 (viva la fiesta!) y media página de como hackear IIS 5 (pis tu pistu, numa numa ye!) y del iis 6, cero patatero.

Meses después en Amsterdam (mmm Amsterdam, cuantos viajes, cuantas aventuras, que pocos recuerdos tengo de allí) tomando una hamburguer de cocodrilo, vino la gente de la prensa española. "¿Quién es el de PC World?" Grité. y allí salieron los buenos de Daniel y de Carlos. ¡yo! dijo Dani. "Pues ven aquí que te voy a dar pal pelo".

Tras contarle la situación de la entrega de la revista (que no se entregó pq se me olvidó) y lo del artículo, se ofreció a que escribieramos un artículo sobre lo que quisieramos y nos pidió disculpas por el artículo del IIS. Meses más tarde, la señora directora, responsable de ese artículo ya no estaba en su puesto (no por esto, no penséis mal) y ya me pasaron las ganas de dar más guerra.

Sobre el tema de los servidores web se habla mucho, hasta el serñor Galli, miembro participe y activo de la comunidad blogera, en febrero del 2005 hacía la siguiente reflexión dentro de un texto sobre las ventajas de la diversidad (no de los inconvenientes) relativas a Seguridad:

"Aunque hablamos del Apache, que a pesar que domina el mercado tiene menos incidentes graves que el IIS de Microsoft"

Claro, pensando en que estamos en febrero de 2005, no debe estar hablando de IIS 4 o IIS 5, ya que el iis 6 llevaba ya bastante tiempo por las tierras del señor. Así que sería del IIS6. Vaya!. Al final va a ser premonitorio y sí que se lo van a cepillar.

Mirando los expedientes de seguridad vemos que el IIS 6 ha tendio 5 fallos de seguridad en 3 años, de los cuales, 1 es un XSS sobre el módulo de administración Web, otro es común a los apaches e iises, otro es de descubrimiento de la ip local, otro es de una biblioteca de componentes y afecta a casi todos los productos y el último es un exploit de shell metiendo pudiendo subir al servidor un fichero. 5 fallos jodidos.

Expedientes IIS 6

La versión 1.3.29 de Apache, que es de la misma edad, más o menos que el IIS 6 ha tenido alguno más.

Expedientes Apache 1.3.29

Pero es que al final el problema no suele ser del IIS o del Apache, sino de una mala administración. Es cierto, que por defecto las versiones de Apache no te cerraban el listado del directorio, pero para eso tienes que estar tú y cerrarlo, ¿que culpa tiene Apache de que te dejes los listados abiertos?

Algunos ejemplos:

http://www.uib.es/depart/

claro y si encima dejamos un fichero de texto con el listado de todos los ficheros del servidor sería comodisimo descubrir alguna información que no se debiera, que alguien por descuido dejara en el servidor

http://www.uib.es/depart/duks01-12

¿y si las fotos de arturo fueran privadas?

http://www.uib.es/depart/dqu/fotos_arturo/

No es el caso pq están en la web para que acceda todo el mundo, pero... podría ser que hubiera algún LOG que diera incluso info de alguien en local al subir archivos por FTP, vete a tu a saber. ¿y eso sería culpa del Apache?

o ¿sería culpa del Apache si le hackean pq se monta una aplicación que se rompe y alguien encuentra la forma de ejecutar código?

http://swww.uib.es/borsa/plsql/beques.FerPagRegistreBeca

http://www.uibcongres.org/congresos/ficha.ct.html?cc=75%20%3D

Es que la gente es descuidada montando sus Apaches y luego le quieren echar la culpa al software, que si es mejor, que si es peor, que si la diversidad es guay que si no lo es...

No hay nada importante en este directorio, pero no me negaréis que es un descuido

http://mnm.uib.es/images/
aunque esto parece que es normal porque lo deja así mucho admin

http://www.linex.org/images/

lO peor, quizas, es que esté sobre un Apache 1.3.34, que necesite ser actualizado

(telnet mnm.uib.es 80
head / http/1.0)

cuando Apache ha alertado que tiene fallos de seguridad y hay que aplicar parches.

http://www.apache.org/dist/httpd/CHANGES_1.3

que luego te puede pasar como al pobre servidor Gluck de Debian, un més sin parchear y ya ves....

Ataque a gluck.debian.org

Yo recuerdo con ternura el mail de un colega en el que me retaba a tirar su Apachito (no actualizado), pero con cariño.

Reto

Luego fue muy majo cuando acabamos.

Resultado

Pero ¿quién les va a atacar a esos que dejan los apaches así, mal cuidados?. A veces es mucho peor que se monte una aplicación PHP mal programada y te venga cualquier chaval y te toque un poco los pies, como ya le sucedio a este pobre Apache de marras, tiempo ha:

http://mnm.uib.es/gallir/posts/2006/03/03/658/

Por suerte esos que fueron, son los de la operación Kronen y con el susto estarán tranquilos un tiempo. Si es que quien les manda meterse con quienes no deben, ¿verdad mis queridos comentaristas?

Operación Kronen

En fin, dejemos un poco al margen a los pobres IIS y Apaches, que muchas veces la culpa es nuestra y los ataques pueden ser a cualquiera. Echemos un ojo a los ataques en real time que se publican en Zone-h, a ver que va cayendo.

¿Cómo decía la frase?

"Aunque hablamos del Apache, que a pesar que domina el mercado tiene menos incidentes graves que el IIS de Microsoft"

¿seguro?

Y.....¡me piro a Zaragoza de Fiesta!

martes, septiembre 26, 2006

El Donut

Tiempo ha, el abuelo y yo, recien conocidos y enamorados, compartíamos nuestro primer hotel en Amsterdam, la ciudad de tantas cosas de mis amores. Allí tenía luegar el Teched (que este año está en Barna y donde estaremos de fiesta!) y decidimos ir a mogollón de sesiones, de las cuales, después de la primera resaca hicimos una selección, que fue depurada después, a la hora de la siesta y filtrada posteriormente para irnos de copas por la noche.

En definitiva que fuimos a ver la sesión de Bill Hilf, uno de los que se dedican a estudiar el Open Software en Microsoft y que actualmente dirige el proyecto Port25 donde se prueba y análiza la competencia del OSS.

Allí, en esa sesión pude divertirme y aprender algunas cosas como cuando se "enfadó" porque le dijeron que Firefox había innovado las tabs para navegar.

Curiosamente las Tabs son una patente de Adobe que demandó a Macromedia , (como mola la informática). Las Browser Tabs sin embargo, los primeros navegadores que las tuvieron fueron Opera y Explorer (aunque este último no fue en una versión pública) en una versión que no se hizo pública.

Aparte de eso, dijo muchas otras de las que yo tomé buena nota, y alguna que otra con mala uva. Recuerdo que uno por allí dijo que gracias a que los proyectos eran abiertos, había muchos más desarrolladores a lo que otro, no recuerdo quien, que estaba por allí dijo: "Sí, dice la historia que si pones a un millón de monos a aporrear durante mil años máquianas de escribir, uno de ellos escribirá las obras de shakespeare. Yo pienso que es mejor contratar buenos escritores". (!Joder que mala uva!)

Ahora se ha publicado una entrevista en inglés en la que Bil Hilf explica su teoría del donut, y es que dice el modelo de negocio de estas empresas consiste en ofertar productos OSS y llevar a los clientes hacia el agujero del donut, el corazón, que no es OSS y utilizan otro modelo, servicios, funciones de pago, etc...

Entrevista con Bill Hilf

La verdad es que a veces no queda claro como lo hacen y que me van a cobrar en un futuro. Puedo contar varias anecdotas, pero os voy a contar sólo una, con Mysql. Una empresa que tenía un sw de contabilidad con Access se quiso pasar a MySQL. Estos, al final, le pidieron un 8% de las ventas (casi el diezmo. Al final se quedo con mssqldb que es gratis de verdad (que no libre)

Tienes que tener claro lo que quieres. Aquí otra reflexión de un estudiante, que tampoco lo veía claro.

lunes, septiembre 25, 2006

Joder, que estoy malito

Los tengo todos, como el Robe, todos los malos vícios, todos los problemas de la generación X más todos los problemas de los barrios como Bronxtolex. Las drogas, los tacos, las malas formas. Estoy jodido. Bastante tengo con lo que tengo como para pillar alguna otra mierda.

Pues resulta que sí, que lo único que me mantiene sedado es, al igual que la morphina al Luisma y a Homer (Morphina...mmmm), el IAD.

¿IAD? ¿Qué coño es el IAD? Pues el Internet Addiction Disorder. Toma, soy un adicto. Bueno, perdón, soy un adicto A OTRA COSA MÁS. Eran pocos los que tenía, pues toma. Ya me imagino en las reunioes de IADs anónimos.

"Hola soy el maligno, tengo adicción a las drogas, soy un friki de star wars, del señor de los anillos, bebo más que respiro, me pierden las mujeres, me disfrazo de superheroe, estampo huevos en la cabeza de los asistentes a mis charlas, digo palabrotas, soy de bronxtolex, no visto bien y soy un IAD"

Y la gente echandose las manos a la cabeza sorprendida pq sea un IAD y compungida.

Parece ser que hay una residencia para curarnos, ¿quién más se viene conmigo?

Internet Adiction Disorder

Nota: No es coña, tengo todos los putos síntomas.

domingo, septiembre 24, 2006

Te lo Prometo

Spectra, en el loco mundo de ser espías profesionales, tiene como responsabilidad tener a los mejores espías, antítesis malvadas de James Bondes, Mataharies, y Modesty Blasties, pero también es necesario contar con algunos de esos, que como Q, hacen algunos cacharrines especiales muy chulos para que jueguen los malos (bolis lanzallamas, calentadores USB de café, o vibradores de titanium electrificados).

En nuestra Spectra, la de la realidad alternativa que nos ha tocado vivir, en esta sin superheroes con capa, se encuentran también estos Qs y entre estos, están tipos como el tal Don Box. Después de ser evángelista de COM y predicar el amor (COM is love decía, je, y yo soy el raro), junto con otros pájaros, a saber, Dave Winer, Bob Atkinson y Mohsen Al-Ghosein, crearon una cosa que se llama SOAP. Desde ahí este cacharrín se fue poniendo de moda, y fue gustando. Pero, ay,ay,ay, que esto pertenece a Spectra!! La gente lo usaba, pero .... ¿y si se empieza a cobrar royalties por los creadores?

Como en este mundo de la informática funciona todo de una forma muy peculiar, ahora la gente de Spectra ha tenido que emitir una promesa, no han jurado, por no tocar más el tema de la religión porque entre evangelistas, talibanes y demases esto ya parece de todo menos artesanía...digo... ingeniería.

El caso es que, no solo el SOAP sino un montón más de especificiaciones alrededor han sido recogidas dentro de esta promesa que dice que no se va a cobrar nunca a nadie ningún leuro a quién implemente estas especificaciones. Algo así como una liberación de royalties a estas especificaciones, que en la actualidad están gestionados por grupos de estándarización.

Open Specification Promise

Amor y promesas, que bonito. Esto me recuerda que estamos en el año del LOVE (Lanzamiento de Office Vista y Exchange) aunque yo sigo como mi SEX (Security Enhanced eXperience).

viernes, septiembre 22, 2006

Con 3 huevos

Ayer, diez años después, mi mama, que a mi me mima, vino a verme en una sesión. Y fue a verme en la de Madrid, para terminar verme echando 3 huevos encima de las cabezas de tres técnicos que no supieron responder a las preguntas. Jejeje.

Repartí 10 entradas de teatro, e incluso a los que perdieron (y se comieron el huevo) se les regaló. Las preguntas que fallaron fueron echas con mala uva.

A Alberto, de Zaragoza le hicimos comerse un huevo pq no respondió bien a esta pregunta:

¿En abecedario cuál es la tercera letra?

las opciones era: A) C, B) A, C) A, D) E id pensando....

Jesús, la palmo con esta:

Los parches en el la mayoría de los proyectos SL salen:

el pobre se lio y respondió la opción

A) El segundo martes de cada mes

y el último se comió un huevo por no saber el valor del número de Avogadro.

Me tiraron fotos mientras yo cascaba los huevos, así que ya las publicaré por aquí. Lo mejor fue la despedida de Jesús:

"Chema, me has caido un huevo de bien". A punto de troncharme. Vaya imagen se llevó mi mami de mi. jeje.

Para terminar, en la sesión, fui a buscar el doc del Csic con los datos de los investigadores de la univerisad que linké en el post de la vida universitaria, pero lo habían quitado. Sniff, Sniff. Bueno, la ventaja es que siempre nos quedará google y sus opciones: En Caché en HTML.

No solo hay que quitar la info sensible de URLS públicas, también hay que protegerla de los buscadores. De algo similiar a esto hablamos hace muuucho tiempo en un post que se llamaba "Noticias del 5º canal".

jueves, septiembre 21, 2006

El Negro Zumbón

Hola holita, sigo vivo, aunque algo menos. La aventura por Iruña, fue cuando menos ¡¡divertidísima!!

Llegamos el abuelo y yo anocheciendo, después de una mañana atareada. Allí nos largamos de fiesta, yo primero, lo reconozco, él se quedo haciendo ppts, mientras el menda y el komando "Diario de Noticias" nos ibamos de farra a dar cuenta de unas botellas de vino. Después se unió el abuelo, como siempre sin dinero y tuvo que dejar el taxi en la entrada para que le prestara pasta. Amos que...

Después de eso, cubata1 en garito 1, cerca del café con sal, luego, cubata 2 y cubata 3 en el Nicolete, donde, entre apuesta y cachondeo, acabamos hablando con dos Suizas que estaban, extrañamente, en Pamplona y que nos invitaron a, ¿cómo es eso que es como el tabaco pero que no es tabaco?, y... (bueno, no os cuento su vida). De ahí al Negro Zumbón en donde tiempo atrás no me dejaron entrar, pero esta vez sí. Allí calleron cubata 4 y cubata 5 y... Se venció el maleficio de no entrar en esa puta mierda de garito!! Ya, a esas horas de dios, había superado el punto de no-retorno, y podríamos haber acabado los cuatro que ibamos en el supermodels o alguno del estilo

Total, que hubimos de dejar el coche tirado pq la policía nos vigilaba y regresar en taxi. A la mañana siguiente diana a las 8 y resakote pa ke te quiero.

Parecía imposible, pero después de tener a más de 10 personas preocupadas por mis demos, las cosas salieron bien.

Allí, pasé lista, pero me faltaron algunas caras que me hubiera gustado ver, la del señor PTarra, que en sus palabras "TENÍA TRABAJO", a Iñigo de navarrux, y a Patxangas, que después del post del Santo Grial publicó un texto modificando su post, poca gente hubiera hecho eso Patxangas, te honra y gracias por tus comentarios haci mi. Te debo unos potes.

Sí estuvisteis otros muchos de por aquí pájaros, y luego por la tarde estuve con más de vosotros, Gogoz, Alberto, mi viejo amigo Crespo(con las cervezas en el caballo blanco), Elena y Kike, José Manuel, ....ah! y gracias a Carmela que me regaló los pinchos en la Navarrería.

Gracias a todos por acogerme siempre tan de puta madre.

Maligno

martes, septiembre 19, 2006

La Vida Universitaria

Mmmm, bucólicos momentos en la cafetería, tomando café y fumando un cigarrito nada más llegar, luego carrera al cuarto de baño, partida al mus, buscar alguna excusa para no ir a clase "¿vamos a ver si han salido las listas de grupos de prácticas de Compiladores?" u otra cualquiera: "Creo que en el CPD nos han abierto albeniz para conexión a Internet". Qué tiempos aquellos en los que chatear era un talk y en los que Internet era un conjunto de direcciones IP con servicios ftp en los que nos bajabamos canciones de guitarra de Metallica, pequeñas rutinas en pascal o C o algunas fotos de esas... jeje

Que buenos tiempos aquellos de vida universitaria, no como ahora, joder, que no tengo tiempo para nada, nada más que puedo ir cuando tengo que ir a entregar una práctica, hablar con algún profesor o para los examenes. Joder, los examenes, que putada examinarse. Creo que si no hubiera habido examenes yo hubiera sido estudiante toda la vida.

Lo peor es que tengas que hacer examenes para ponerte las notas, si pudiera ponerme las notas yo estaría genial. mmmm, oye, no suena mal.

Veamos como se consigue una password de un profesor, vamos primero a la herramienta de gestión de expedientes de alumnos.

Ya tamos ahí, ahora, ¿Cómo conseguimos la password de un profe que nos vaya a poner la nota?. No lo se, pero ahí pone:

¿Ha olvidado su contraseña?...
. . . Si es usted alumno haga click aquí.
. . . Si es usted pas o pdi haga click aquí.

Nosotros pas, of course, a ver que pide para darnos las passwords:

[Reflexiones en voz alta]
Ah, mira que bien, no las envía por correo, sino que si te sabes los datos, directamente la cambia. Deberemos tener cuidado, para cambiarla justo después de que el profesor haya puesto las notas y justo antes de que se cierre el curso, que si no nos sirve.
[/Reflexiones en voz alta]

Jo, pero, ¿de dónde saco yo el DNI de mi profe, con lo celosos que son de su privacidad?

¡Ah!, del nombramiento en el BOE. Eso está fácil, pero ¿y la fecha de nacimiento?, que muchos son como la Sara Montiel que se quitan años. mmmm, ¿dónde pueden estar estos datos?. Ah, fácil, como son investigadores los tendrá el CSIC, ¿no?. Así que usamos google, con algunas cadenas de búsqueda curiosa y .....

¡tachán!, mira que bien, en doc, formato.. ¿cómo es?

bueno, a por las última parte, las cifras de la pasta:

Bueno, en el peor de los casos un fuerza bruta, son 100.000 combinaciones. Las mentideros de los bajos fondos de Internet dicen que hay un control de 3 intentos por hora ¿seguro?. Si es así, creo que no nos da tiempo, pero tal vez podríamos hacer un barrido de todas las cuentas, así hacemos 3 intentos por cada profe por hora y echarle paciencia. Largo.

¿Y si nos aprovechamos de la pága de méritos? Sabemos cuando se paga, así que tal vez tengamos una ventana de tiempo en la que haciendo algún calculillo sepamos, lo que ha cobrado en esa última nomina, ¿no?. Es fácil, sólo hay que... un momento, esto se va de madre.

No, creo que no es un buen camino para aprobar, mejor estudiaremos y así nos hacemos hombres de provecho con el buen sistema educativo de este país.

Sed malignos.

domingo, septiembre 17, 2006

El Fichaje del Verano

La revolución de todos los veranos con el mercado de fichajes llena hojas y hojas de periodicos con horas y horas de entretenimiento, Reyes en el Atleti, Kimi Raikonen en Renault, Henrí en el Barsa o Kaka en el Real Madrid. Siempre con gran acierto.

Además muchos de los fichajes no funcionan como se espera y el más mediatico no suele ser el que triunfa. Mola el mercado de los fichajes. Al final de todos los veranos se suele elegir al que ha sido más cool durante el verano.

Este año, tengo claro quien ha sido el fichaje del verano. Ha sido la señorita Snyder. Su contratación fue anunciada hace unos días por Mozilla y ya ha dejado claro cual va a ser el camino:

"We want to reduce the overall risk [to Firefox] by evaluating where there are unused features, and then getting rid of that old code"

Vaya, eso suena muy bien, pero es que la amiga venía de @stake, un grupo hacker que se convirtió en compañía de seguridad y luego fue comprada por Symantec, con lo que sabe lo que se dice. Reducir el punto de exposición primera regla de la fortificación.

"Just counting up the bugs is not a good measure of how secure an application is".


Estoy con la señorita.

"People should be counting the days of risk. How long is the user vulnerable?".

Esta señorita sabe de seguridad de verdad. Hablando de las ventajas de Mozilla dijo:

"Most of our users are at home, and with automatic updates turned on by default, we can get 90 percent of our base updated to the next version in about 8 days."

Ya sabíamos más o menos donde andaban los usuarios de Firefox.

"Microsoft's patches to IE, on the other hand, often are deployed much slower because its enterprise customers must do internal testing before rolling them out to workers."


Jope, creo que me estoy enamorando de la nueva responsable de seguridad en Mozilla.

"We've already put anti-phishing into [Firefox] 2.0"


Mmm, algo me quiere sonar en esta parte, pero no caigo. También comentó por donde van a andar los tiros:

"...new memory management, managed code, and sandbox approaches and technologies. Changes in heap management, for example, can make it more difficult for an exploit to write to that area of memory.

Un montón de cambios, mmmm.

"Mozilla will respond quickly to vulnerabilities, fix all bugs with a security impact, and when we add features we will always look at the security impact"

Si no fuera porque me mirarían mal, diría que parece que esta señorita aun no se ha ido de Microsoft o que parece que Mozilla aprende de Microsoft con una pedazo de profesora.

Lee la entrevista completa en: Informationweek

viernes, septiembre 15, 2006

Juez Maligno

La Seguridad es Importante, un sistema inseguro puede permitir a malechores que te mangen pasta, o que un macarra te toque los webs o cualquier otra cosa, o simplemente enrede contigo.

Convencer a la gente de los riesgos de un sistema inseguro es siempre difícil, los mitos de "¿quién me va a atacar a mi?" o "Da igual, "yo no tengo nada importante en el ordenador" los he oido más veces que guiskises con cocacolas me he tomado.

Ahora, parece, que los ordenadores van a juzgarnos, y en China, van a decidir si aplicar o no la pena de muerte en los juicios:

Ordenadores decidirán, a lo Emperador en el Coliseo!

Esto empieza a acojonarme. Ya no hablo de las implicaciones Matrix de la historia, imáginaos que con la lógica borrosa, la inteligencia artificial o lo que fuera, se empezara a juzgar todo en la sociedad. NOS DOMINARÍAN LOS CABEZONES!!!

Pero y ¿si alguien descubre un bug en un sistema y la justicia la impartiría, pues no se, algún black hacker? O mejor, que coño, imaginaos que os juzgo yo! a lo Judge Dredd, el Maligno dictamina que "Tú, macarra, debes morir" o cargarme a alguno de vosotros en plan Castigador por tomar drogas (ah, que vosotros no tomáis, no problemo). Ya me estoy viendo repartiendo castigos. mmmmm.

Ordenadores decidirá pena muerte en China.

Creo que definitivamente la seguridad es importante.

Saludos Malignos!

jueves, septiembre 14, 2006

Ya lo se, Ya lo se

cero horas cinco minutos del nuevo día. Cada día madrugo más al poner los posts. Naaaaa, jeje, me quedé estudiando y preparando las próximas sesiones, así que me he puesto a buscar un poco de información. Advinais el tema, seguridad.

Asín que así estaba yo, buscando información sobre el tema de VoIP que me tiene muy enfrascado el último mes, cuando llegué a la web de una de esas páginas que tienen una temperatura muuuuuy fria, tan fria, que se llena de animalitos que disfrutan a bajo cero.

Estaba tan cansado y enfrascado que ya buscaba lo que fuera, todo se me nublaba. No son muchas las veces que buscando algo técnico google devuelve 0 resultados. Mala noche.

El tema es que me fuí a la parte de SECCIONES e hice cliqui en la parte de Seguridad, 12 documentos en la primera página. A ver, a ver...., na, aquí no hay nada, bueno sí, un "M$" en el documento 11. En palabras de Torrente: "Chavalotes, jejeje, sólo quieren divertirse un rato".

Esto..., allá abajo ahí un botón de ¿¿anteriores??, será una errata, será siguientes porque va del 13 parriba. Nada, a hacer cliqui y llegamos a la siguente página. ¿Vacía? ¿qué raro? Seguro que es algún parámetro raro en la URL, miradita a la URL y ....

Joder, ¿quién me mandaría? Si es que luego cuando digo eso de que hackear está chuapo no se lo creen. La hostia, pero es que encima estos enseñan seguridad, son un huevo de autores, y...¿nadie lo ha visto?

La web de los de los documentos de seguridad: http://bulma.net/

¿Vosotros tampoco lo habéis visto?

Ya lo se, ya lo se, no me digais nada,... que ya lo se. En fin. Que alguien los invite a algún curso de seguridad de nivel 0 (curso CEAC).

Malignidad para todos.

miércoles, septiembre 13, 2006

Si tienes huevos

**************************** Off Topic ****************************
Link Agenda y Registro evento Pamplona 20 de Septiembre
**************************** Off Topic ****************************

Hoy la pinícula tiene que ver con el teatro, ya ves, pínicula con teatro, que forma más tonta de comenzar. El post de hoy solo es para contaros que unos amigos mios, han estrenado una obra de teatro, se llama Sálvese Quien Pueda y va sobre unos tipos que entran a robar en un chalete. Entre ellos está un hacker.

Bueno, la historia es que me he hecho con un buen número de entradas y he pensado en regalar algunas entradas a aquellos que tengan huevos, asín que.... en las próximas sesiones me voy a llevar un par de huevitos y un par de preguntas. El que tenga huevos se lleva dos entradas si responde correctamente a la pregunta y se come un huevo si falla. ¿Fácil, no?

Esto lo pusimos de moda en la despedida de soltero de un amigo, y se le quedó un cabello precioso después de "comerse" 20 huevos. Le hicimos 40 preguntas a su chica, y el tenía que adivinar las respuestas que había dado ella. Si no acertaba, huevo que te comes. Se los llevo en la espalda, con ale-hop, mates, etc... No se él, pero nosotros nos deshuevamos de la risa.

Como la obra está a partir de mañana en Madrid, pues lo haré solo en los eventos de Madrid, pero cuando esté fuera avisaré.

El próximo evento en Madrid es el día 21, que me invitó la gente del grupo de ussuarios .NET de Madrid a hacer el gamba. Si tienes huevos...

¿Seguro que estás Seguro?

Así que nada, cuida tu cabello con el Maligno.

***************************** UPDATE *****************************
Me acaban de enviar los videos de promoción de la campaña de Seguridad que grabamos.

¡PERO QUE MANERA DE HACER EL SUBNORMAL!

Vídeos Inseguros

¿Lo somos o no?
***************************** UPDATE *****************************

martes, septiembre 12, 2006

Técnico-Less

Hace unos meses me llamó un compañero y me dijo:"Oye, ¿te apuntas a oir a Enrique Dans a una sesión sobre el uso de los blogs como herramienta de comunicación?". "Sí, claro, ¿dónde es?". "En Microsoft, es interna, pero te puedes venir y así le oimos". El caso es que Enrique hablando sobre el uso de blogs es algo que hay que escuchar. Ahora bien, leer a Enrique Dans hablar de tecnología a nivel técnico es infumable. Primero porque creo que de tanto hacerse eco sin ni tan siquiera tocar máquina (que su trabajo le tiene muy ocupado y no debe poder) se está haciendo con un buen batiburrillo de grandes frases célebres que sus queridos Trolls (así llama a los que le critican en su blog) se encargan de recordarle periodicamente. He sacado en este estrácto una de las mejores frases que he leido en uno de sus últimos posts, pq yo soy así de malo y subnormal.

"El método de desarrollo utilizado por Microsoft ha demostrado haber llegado a su límite natural de eficiencia para productos de semejante complejidad. Mientras la compañía más rica del mundo, con recursos y talento de desarrolladores excepcionalmente buenos, ha sido incapaz de desarrollar con eficiencia un sistema operativo como Vista en un tiempo razonable, una comunidad de hackers y amateurs programando en sus horas libres unida al apoyo poco estructurado de algunas compañías ha podido poner en circulación, sin despeinarse demasiado, un sistema operativo con todas las mejoras y evoluciones que Linux ha tenido en los últimos cinco años"

Talento de desarrolladores excepcionalmente buenos. Eso no suena mal.
¿Tiempo razonable?. ja,ja,ja. ¿Cual es el tiempo razonable?
Hackers y amateurs programnado en sus horas libres. ¡Toma ya!
sin despeinarse demaisado!!!
El Fin del imperio

Creo, que si la frase no es suya y está asimilada de otro, el otro es un tipo con muy poco tiempo para conocer como ha sido el proceso de desarrollo de Windows Vista, ni como está el desarrollo que esos "hackers y amateurs", que cualquiera de las dos palabras me parece poco apropiada para definir a los que construyen un sistema tecnológico que debe ser y de hecho es desarrollado por expertos e ingenieros. Decir que las funcionalidades que trae Windows Vista las han desarrollado de la misma forma que colecciono comics yo, a ratillos, es ridículo y no sabe como funciona el modelo de desarrollo del SL donde muchos profesionales trabajan a full time y mucho menos el SDL de Microsoft. Además, si ese modelo de desarrollo de Linux fuera la panacea, no hubieran salido Morton y Linus Torvalds a decir lo que dijeron en Mayo de este año, eso de:

1.- Morton: during a speech at the LinuxTag conference in Germany. He was reported as stating that he believed the Linux 2.6 kernel is “slowly getting buggier” and that if he could prove it, he would call a halt to the development process to fix bugs. Morton suggested that the problem was due to developers not being interested in fixing existing bugs and those affecting older hardware and peripherals.

2.- Torvalds himself has played down the rampant speculation that followed on message boards across the internet. Responding to questions from Linux.com, he said reports about the situation were “sensationalistic” but admitted there may be a problem. “The worry is certainly real".

Linux Faces Bug Assault

No creo que Linus Torvalds sea un técnico-less, eso seguro.

Pero según parece en el post de de Dans, o de la fuente donde lo ha asimilado, todo es jauja y tiene toda la tecnología que trae Vista. Creo que el amigo que ha escrito el post, Vista no lo ha Visto ni en foto, o tal vez sí, en un sitio de esos donde le ponen calaberas y tal. Es cierto que no trae todo lo que prometió, pero no me digas que hackers y amateurs han hecho lo mismo en sus ratos libres!! Primero no tiene exactamente la misma tecnología y en segundo lugar, son profesionales, que el SL tiene profesionales!. Parece que en pro de atacar a Microsoft hay quien es capaz hasta de desmerecerse a sí mismo.

Pero en un comentario en el post de otro espalibao, sí, espalibao, dice:

"Todas las tecnologías que ofrece Windows ahora, las ofrecía UNIX (incluso GNU/Linux mismo) hace AÑOS. Seguridad, comunicaciones, multitarea, multiusuario, programación... todo estaba bajo plataformas UNIX-like hace décadas"

Otro de los grandes mitos que los exportos-less en kernels y/o sistemas operativos, repiten una y otra vez. Todos se olvidan de que Microsoft creo el UNIX que más se implantó en el mundo. XENIX que luego daría lugar a SCO-UNIX con su venta. Se olvidan que la tecnología preemtiva de kernels estuvo primero en Windows, como muchas más tecnologías, pero.. ¿que hago yo hablando de kernels si no es mi fuerte? Windows Linux: a Tale of two kernels de Mark Russinovich.

Otra cosa tan tonta como las ACLS en seguridad, solo son soportadas mediante añadidos o en el framework SE en el kernel de Linux, si piensas que la granularidad ugo es lo mejor del mundo es que no has administrado más sistema que el Linux de tu casa para copiar cds o tu ps2. Y en programación???

Lo bueno de esto es que los técnico-less que se leen los unos a otros entre me cambio este ipod por este otro que tiene más chulo el color del calcetin, juegan al teléfono estropeado. Hace ya un laaaaaaaaaargo tiempo un tipo, con mucha visión escribió un artículo de lo más técnico-less con grandes aseveraciones para contentar al respectable. Yo le escribí un bonito mail, largo, largo, largo, lleno de esos datos que tan poco nos gustan, con desagradables críticas hacia sus datos, que nunca me fue contestado (a lo mejor me lo bloqueo el antispam). El caso es que durante bastante tiempo saque esta noticia en mis conferencias para comentar un "gran artículo tecnico" entre la gente. Es viejo, pero sigue siendo divertido: Microsoft en Decadencia

Y... pa qué seguir, si estoy enfermo.

Por cierto, me encantan sus posts sobre su tablet, la musica y demás, pero por favor, que los técnico-less dejen de hablar de Seguridad y Sistemas Operativos, o por lo menos que se instalen algun SO en su tablet que no sea el que les puso el ST, para que puedan probar alguna otra maravilla y característica técnica. En fin, que me hace mucha gracia los técnicos-less que se meten a hablar de tecnología. Sea quien sea.

lunes, septiembre 11, 2006

Prudencia

Bueno, bueno, bueno, es lunes, ¿que tal la vuelta al curro? Ya se empiezan a acabar las fiestas de los pueblos, y cada vez se pone en el horizonte más cerca la cuestita de Octubre, Noviembre y Diciembre. Uff, vaya Tourmalet!!

Aprovechando que Txipi se pasa ahora por este blog, vamos a volver hablar del tan traido caso de "publicar el código fuente hace que se detecten antes o más número o se arreglen antes los fallos de seguridad" que el hacía refencia en su blog.

Muchas veces me han dicho, joder, ¿cómo es que Microsoft, teniendo herramientas de análisis automático de código para hacer análisis estáticos y dinámicos sigue teniendo fallos?

La respuesta es que las herramientas de revisión de código tampoco son perfectas, y a pesar de la retroalimentación siempre se dan nuevas situaciones de código, nuevos patrones, nuevos entornos de ejecución que pueden resultar vulnerables. Ya hemos hablado varias veces de que un mismo código, puede ser o no vulnerable, dependiendo del linkador, el compilador, el entorno de ejecución, etc...

Así, después de ver los resultados del primer examen de Coverity sobre productos como Apache, el kernel u Open Office, vimos que los ojos no ven todos los fallos, y que son necesarias eses tipo de herramientas. Pues bien, a principios de este mes se volvió a repasar el código base de Firefox, con otra herramienta de análisis automático estático, Klocwork K7, y han vuelto a aparecer fallos, 655 defectos y 71 que pueden ser vulnerabilidades de seguridad. ¿Es que Coverity es mala herramienta que se dejó todos estos sin descubrir? La respuesta es que las herramientas van evolucionando y retroalimentandose de nuevos patrones y ojala llegaramos algún día al famoso bugfree que uno publicó tras los análisis de coverity.

En fin, lo curioso de todo esto es, que tras el análisis se ha decidido no dar información sobre los fallos por prudencia. Vaya, ¿no dar información sobre los fallos por prudencia?. Me quiere sonar esto a alguna otra compañía, pero no caigo ahora. Creo recordar, entre las nubes que dejan las drogas en mi mente, que a las compañías que han argumentado esto les ha acusado de "Seguridad por Oscurantismo". Qué difencia de palabras Prudencia y Oscurantismo.

En fin, todo cambia, hasta en Mozilla contratan personal de Seguridad de Microsoft.

sábado, septiembre 09, 2006

Me encanta el Software Libre

tanto con el que no lo sea, de hecho, para que me guste o no me guste un software me la pela si es libre o no. Los que intentan buscar batallas imposibles entre es más seguro/inseguro el software Libre en general que el software comercial en general están condenados a encontrar mil excepciones que revoquen su regla.

Desde el principio he discutido con mucha gente por decir que los productos de Microsoft no son peor en seguridad que los demás y que la seguridad es mucho más que una percepción de colegas en un bar.

Repito, me encanta el software Libre, tengo mi ordenador con muchos productos de software libre, y además, por lo que veo en las estadísticas de las descargas de sourceforge, cuando un proyecto es para plataforma Linux y Windows, hay muuuuchos que tienen Windows como yo que tb disfrutan del software Libre.

Cuando hay que evaluar una solución técnica, hay que intentar elegir la mejor, y la mejor es, la que resuelve mejor los problemas del usuario dentro de las restricciones del mismo. Es decir, si no tienes un pavo y tienes que comer, coge un pipa y robale al primero que venga como decía el grandisimo Makinavaja, y de ahí en adelante buscando la solución que mejor resuelva tus necesidades. ¿Que más dará que lo haya programado un zurdo o un diestro?, ¿que más dará que la forma de adquirirlo sea pagando una licencia o pagando soportes o instaladores? ¿que más dará el modelo de negocio? Hay que buscar la solución con las restricciones, evaluar todos los aspectos de tu restricción (seguridad, costes, mantenimiento, ....) pero sin perder de vista el foco: Resolver las necesidades.

Muchas veces se intenta confundir lo que digo y se me busca etiquetar fácilmente como un defensor del sw privativo, (la hostia!!) o como un anti sw Libre (tomaya!) o como un defensor a ultranza de Microsoft (cheque en blanco pa tí!). Nope, hice este blog para hablar, como mucha gente piensa tambien, sobre que Microsoft no es peor que los demás en seguridad, y los demás pueden ser Oracle, Linux o Cisco, tanto sw libre como propietario. Al principio pensaba que casi iba a estar en el lado del mal (defendiendo en seguridad a Microsoft) pero veo que no estoy tan solo. Mientras que unos contaban con un bulo real que les permitía y permite hacer casi cualquier cosa como dejarse passwords de roots en archivos 777 en ascii o no parchear los servidores y recibir un "excellent Job" como el fisichella cuando gana una carrera, los otros se ven machacados por el gran público pq han tenido un bug en la versión beta2.

En una conferencia nos presentó, "un experto de seguridad", diciendo que estaban aquí para habla de seguridad en Microsoft, "je, cuyo sistema operativo es conocido por todos como queso gruyere!". Qué simpático el tipo. En palabras de mis colegas de fiesta sería algo así como que simpático el asqueroso o que hijoputa más salao. Después yo dije otra frase, a los dos minutos de empezar, que pasó a ser la coña que me persiguió durante 1 año y es: "¿vosotros no sereis de esos subnormales que hablan de seguridad sin tener ni puta idea, no?" No se por qué alguien se sintio mal.

En fin. Repito: Me encanta el Software.

Cuanta malignidad hay en el mundo.

viernes, septiembre 08, 2006

Iruña, 20 de Septiembre

Hola holita malignos de la tierra de Iruña y alrededores. El próximo día 20 vamos a abrir la temporada con un evento en la tierra de los San Fermines, los Indurains, Los Carlistas, los gogoz, los ___neusss, los iñigos, los grulinex, los diarios de noticias, los egas, los benignos, los .... (joder! parezco de Pamplona!)

Bueno, el caso es que vamos a hacer un evento para 70 personas, solamente y tengo que publicar la agenda hoy y....quería saber, si tenéis alguna preferencia sobre algún tipo de contenido (Seguridad y/o infraestructura). Estaré con más gente, y entre ellos, el abuelo, que trabajará un poquito.

Los contenidos que tengo que hacer yo no los he decidido, así que os pido alguna opinión.

- En Enatech hice una sesión sobre Troyanos.
- En la gira de Seguridad Práctica hablamos sobre Seguridad en Windows Vista, Firewalling con ISA Server 2004, Exchange Sever 2003 SP2 y Seguridad en aplicaciones Web.
- En la camara de comercio tocamos MITM, WSUS, etc...

Así que, que queréis que toquemos?

- Malware: Rootkits y Troyanos
- Seguridad en Messenger, transmisión de ficheros, chatting, etc...
- Voip
- Hacking Wireless y como montarlas bien
- Hacking Web2 sobre Blind SQL Injection, cucharones, etc....
- Smartcards, DNI digital, PKI, .....
- MITM, ARP-Spoofing, Port-Stealing
- VPNS entre sedes
- AD y Políticas de Seguridad
- Seguridad en Vista: Bitlocker, UAc, OneCare, IE7,..
- Antigen 9
- AntiSpam (Filtros estáticos, Dinámicos, RBLs, SenderID,...)
- Passwords
- ....

De momento, he recibido una petición de un compañero para que haga este número.

Show

Pero cualquier sugerencia será tenida en cuenta que luego quiero ir a Santander, Coruña y Malaga!

Alé, ser malos y dadme algúna mala idea!

jueves, septiembre 07, 2006

Populismo

En una de las últimas conferencias uno de mis compañeros me dijo que yo era como chaves, un populista "¿por qué?" respondí y me dijo que era porque estaba tirando unas camisetas a los asistentes.

Pero ya sabéis que no lo soy, pq si fuera así intentaría que siempre todo lo que dijese sentara bien a todo el mundo, y en este blog, con una de las tasas más altas de usuarios Linux (tened en cuenta que en el famoso estudio de hace unos días ponía que la gente usaba un 0,36 % linux y en este blog sale casi un 9%, es decir unas más de 20 veces más índice de usuarios Linux en este blog que en Internet) no debería decir las maldades, tan malas que digo en casi todos los posts.

Populista son los pelagatos estos que dicen chorradas y mentiras muuuchas más gordas que todas las que digo yo juntas. Estos pájaros han dicho cosas como que todo el software privativo propietario pertenece prácticamente a una persona, y nada de sutilezas, el tipo que tiene todo el software del mundo útil y que se usa para todas las máquinas se llama Bil Gates. Y dice algo tan sumamente elevado como "Lo único que sabemos del software propietario es el nombre de Bil Gates, su único propietario en el mundo". Flipo!

El intelectual-less del compañero dice que: "Microsoft ha instrumentado una forma de cobrar un impuesto de 100 $ de todas las computadoras del planeta al año". Eso son guevos tio y no los que tengo yo escribiendo este puñetero blog.

En fin, que no se ni por donde cogerlo. IBM está la pobre empresita que tiene sw en microscopios, hosts, servidores de app java, supercomputadores, hw de servidores, etc... pidiendole, al único propietario de todo el sw privativo no pagar su canon. HP, que ha salido como No. 1 mundial vendiendo licencias en software de administración u Oracle, que tiene 4 libertades en su Oracle Database Server 10G que son....., o el SW de CISCO, totalmente libre o el de la moto que están pidiendo en el metro. Totalmente lícito, que cada uno venda, como le salga de los guevos su trabajo, que ya que somos putas, pongamos el precio nosotros. O es que parece que cualquier empresa que hace un programa y lo intenta vender gana dinero.

Además, el Sistema Operativo más usado del mundo es ITRON , según el último comentario del post anterior, la gente usa windows es pq está pirateado, es decir, no solo Microsoft no gana dinero por los sistemas operativos que se usan sino que encima, a igualdad de precio (gratis o gratis pirateado) la gente prefiere Windows, la base de datos más usada es Oracle DB, en Host IBM es intocable, en supercomputadores (el top500) Linux, Java es el lenguaje que más se usa en aplicaciones empresariales, los ayuntamientos/administación pública apoyan en muchos casos al SL, y hay una gran comunidad de supporters del SL. Así que, pq coño decir MENTIRAS Y MIERDAS que averguenzan a cualquier informático?? Microsoft compite en un mercado como el resto de empresas.

Ah, lo mismo es que son populistas. O a lo mejor dentro de las libertades de su entorno les han obligado a decir esas cosas.

En fin, son y pico megas, contadme el final, p no he aguantado.

Patochada.

miércoles, septiembre 06, 2006

Mike!

En mi infausto y nada recomendable periplo por la china milenaria acabé los últimos momentos de mi estancia en un mercadillo de rebajas. Allí los relojes rolex costaban 20, los abrigos NorthFace 5 euros, las maletas sansonite 4 euros, las zapatillas puma 6 euros, las camisetas nike 2 euros, y un sinfín de artículos de armani, versache, vans, adidas a precios que ya nos gustaría ver a todos en El Corte Inglés.

Yo me compré, en plena vorágine consumista y tras disfrutar del regateo en inglés con chinas que decían Olé, Antonio y Real Madrid (con d, no como lo decimos los de la tierra de la empanadilla, con z), un reloj, que correa rota lo llevo en la mochila para cronometrar mis examenes, unas zapatillas Vans, que aún tengo, pero con dos trabillas rotas que no aguantaron un par de estirones de cordones (desde entonces me las pongo y me las quito sin desanudar) una mochila puma de 5 euros que pasó a mejor vida en los primeros instantes y unas camiseta que son formato chino, es decir, manga larga, pero larga china, es decir, que son cortas todas. (tengo un amigo que convencido de que la que se trajo de china suya es autentica ha cogido un tick de estirarse la manga,jejeje, pero es que una custo de 4 euros....)

Y asín es, que no es lo mismo Nike que Mike, que algo tendrán los Mercedes y los BMWs, los Armani y los Nike, las leches Pascuales y las leches Parmalates y al final, todos esos productos que la gente mayoritariamente usa, pese a años en el mercado, pues una vez puedes picar por el marketing consumista, pero no siempre.

Así, el paquete Microsoft Office sigue siendo mayoritariamente usado por la empresa, a pesar de que existen alternativas gratuitas y de código abierto, con toda la libertad y ahorro de costes y esas cosas que ofrece a la empresa supuestamente, pero es que algo tendrá el MS Office cuando lo usan tanto.

En un artículo en el Diario TI hablan sobre la NUEVA versión Premium de Open Office y dicen cosas como:

"Mejoras en Write.
Si el usuario está conforme con un extenso proceso de descarga del software, y el hecho que el paquete ocupe el doble de espacio en el disco, y considerablemente más memoria que MS Word, entonces puede ser interesante instalar el paquete ofimático."

Eso, y si eres capaz de soportar que te machaquen los pies con la rueda de un molino y que te disparen flechas en los ojos puede ser interesante también que te hagas el harakiri.

El artículo continúa con:

"...Write se asemeja considerablemente a Word..."

Bueno, no vamos mal, se asemeja... ¿ Como mis zapatillas Vans (chinas)?

vamos con:

"Hoja de cálculo deja que desear
La herramienta de hoja de cálculo Calc es considerablemente inferior. Presenta problemas al importar documentos existentes y carece de gran parte de la funcionalidad de Excel. El programa de presentación Impress tiene las funciones básicas de PowerPoint, en tanto que la base de datos Base es la aplicación más reciente e incompleta del paquete."

Todo virtudes por lo que veo, pero... tenemos esperanza porque...:

"Considerando que OpenOffice es un proyecto de OpenSource, gran parte de los errores serán corregidos rápidamente. Sin embargo, hay numerosas necesidades que OpenOffice no cubre."

Lee el artículo en : Diario TI

Eso, lo que le pasa es que es un proyecto joven que lleva ... ¿Cuantos años? .... y aún no les ha dado tiempo, pero en cuanto tengan un poco corregirán todo, todito.

Así, ya en el año 2000 en barrapunto, alguien vaticinaba, tras el abandono del 7 % de los clientes de una empresa de MS Office(tiembla puertas!!) que la tendencia continuaría...

Hoy 6 años después, aún faltan "cosillas", y es que a lo mismo no es lo mismo unas zapatillas Nike que Mike.

PD: Ahora que lo pienso yo nunca he tenido unas zapatillas Nike, pero si Mike, jejeje, y los calcetines que llevo ahora son HIKE, ke bueno!!

En fin. ¡¡Malignidad para todos!!

martes, septiembre 05, 2006

Lo Malo de Linux (...el retonno!!)

Ya puse un post hace tiempo sobre esta iniciativa sobre un grupo de "amantes del pingüino" que querían mejorar Linux marcando lo malo, pero hoy quería volver hablar sobre ella, ya que se han puesto (más o menos) de acuerdo sobre las 10 cosas que les parece a ellos Lo Malo de Linux. Quiero decir que han votado como unos 360 usuarios que "aman al pingüino" y que su intención es mejorarlo. Este no es un estudio que refleje la opinión general, pero sí de 360 usuarios que "aman al pingüino". Veamos a ver si os suenan:

con el número 1: La instalación de aplicaciones. Parece que el tar -xvzf y el config.conf y el ./configure.sh ./install y demases no acaban de convencer al respetable.

Con el namber tu: La falta de Drivers. Pero ya sabemos que la culpa es de los fabricantes de hw, ¿no?

Con el zzrrrii: CARENCIA DE UN ESTÁNDAR. Pq cada distro es muy distinta.

Catro: Problemas para configurar el Modem / Winmodem. aka falta de actualización de drivers en nuevas distros.

Con el de Diana y Mark (uve): Linux es lento. Y no lo he dicho yo!! dicen que Linux es más lento que Windows XP en sus equipos. Perdón, no que Linux es más lento, que Linux es MUCHO más lento que Windows en sus equipos.

6. Falta "X" Aplicacion. destacan la falta de aplicaciones para usar en el ámbito de diseño web, producción sonora, diseño gráfico, etc. Tambien hubo muchos comentarios del tipo "faltan buenos juegos para Linux". Lo de los juegos ya no tiene nombre eh?

Seven 7. La interfaz visual tiene carencias. problemas en las interfaces visuales más populares como GNOME y KDE se ubican en la septima posición. Problemas de usabilidad, gestión de las ventanas, etc. aparecen en las descripciones de los usuarios. Muchas personas se quejan de que "Linux no ordena los íconos automáticamente!

Tendremos que localizar a Rodrigo, pq lo de los iconos....

Er oscho. Problemas para configurar la impresora / hardware nuevo. La impresora aparece como el segundo dispositivo más dificil de configurar en Linux. Otros sugieren que el "hardware nuevo" (sintonizadoras de TV USB, placas de audio USB/Firewire,etc.) es practicamente imposible de configurar en Linux.

Nota: Vease el comentario de Gabriel en el link de la iniciativa.

9. Linux se ve "feo" / "es dificil de usar".

¡¡Joder con los que aman al pingüino!!!

10. Problemas para configurar el escáner / Sistema de archivos complicado

BUeno, empiezo a pensar si realmente están pagados por Spectra.

Ahí tenéis el link: http://lomalodelinux.blogspot.com/

Por favor, no os perdáis el comentario de Gabriel!!

domingo, septiembre 03, 2006

¿Qué será será?

No he podido resisitirme a la tentación, no he podido. Estoy esperando para participar en un programa de radio a la 1:30 de la mañana y he decidido ponerme a escribir mi próximo post. En eso estaba cuando por fin encontré, de la forma más tonta, el origen del estudio de los sistemas operativos que utiliza la gente para navegar por Internete y abandoné el otro post para escribil (con ele) sobre esto.

El estudio es una estimación en base a una muestra de 2.000.000 de visitantes calculados sobre 20.000 visitantes en 100 paises distintos. No deja de ser una estimación pq además tienen que ser visitantes que hayan navegado a uno de los sitios web que tienen controlados para hacer este estudio y no sabemos si son representativos o no de un tipo de navegante o no, pero en fín, no deja de ser curioso.

Lo sorprendente del estudio no es que windows XP sea el sistema operativo más usado con un 86,8 %, lo más sorprendente no es que los sistemas Microsoft tengan un 96,9 % o que Windwos 98 sea más usado que su defenestrado sucesor Windows ME. Lo que más me ha llamado la atención es que la gente prefiere Windows ME a Linux. Ale, con dos cojones. Windows ME tiene un 1.09 y Linux tiene un 0,36.

Resultados del estudio de OneSat sobre Sistemas Operativos

¿Que tendrá el Windows Me que haga que la gente lo prefiera a Linux? ¿Por qué tan poca cuota para Linux en el queso total? ¿Será que la gente aún no sabe que es eso de Linux? Teniendo en cuenta que Ibarra ha salido en el New York Times (no taims, times) y que en las universidades estudiamos Linux no creo que sea la respuesta. ¿Hay tan poca gente usando Linux? Yo me he encontrado con muchos, o ¿a lo mejor en la intimidad hablan catalán como Aznar? ¿Será pq a lo mejor no les resulta del todo cómodo a los usuarios? ¿Será culpa de que las páginas están hechas par IE? No, eso no, pq entonces el uso de Linux sería parejo al de Firefox, y basta ver las estadisticas de cualquier web (o de este mismo blog) para que ver que esto no es asín.

Estadísticas de Web Browsers en http://elladodelmal.blogspot.com
Estadísticas de Sistemas Operativos en http://elladodelmal.blogspot.com

En fin, ¿algo será no? ¿Spectra? ¿Marketing? ¿somos todos subnormales? ¿a lo mejor hay que mejorar algo?

sábado, septiembre 02, 2006

Yo quiero tener 1 millón de amigos

La ley de los grandes números dice que cuantas más veces intentes ligar, más posibilidades tendrás de que alguien no te ignore (o eso dicen,no?)

Así que hay que buscar amig@s en cualquier sitio, parties, garitos, match, soysexy, la tele de barrio por las noches enviando un sms con la palabra QUIEROHARDSEX al 6969, etc... Así que ésta es una gran oportunidad para dar y recibir amor.

El pasado 15 de Julio, fecha que coincidía con el aniversario de la creación de la fundación Mozilla, dio comienzo la campaña para hacerse amigo de Firefox.

En dicha campaña, tu mandas un mail a un amigo para que éste se descarge Firefox y si el destinatario de la invitación se lo descarga pues entonces, en el Mural de Amigos de Firefox que se va a crear aparecerán vuestros nombres con un símbolo o una frase entre el invitador y el invitado.

Así puede aparecer:

El_abuelo ama a El_maligno o
Benigno dio la libertad a Maligno

aunque hay mejores como : "iluminó" o "salvó".

Así que ya sabéis, liberadme, salvadme o preocuparos de mi que yo quiero tener un millón de amigos!

Ah!!, el abuelo, Cervigón, Babyface y todos los que habéis caido sin remedio en el lado del mal también podéis ser salvados. Benigno puedes abrir una lista de peticiones, así en plan bautismo comunitario a lo richi.

Haz Amigos con Firefox

PD: Mi barrapuntero particular ya me ha enviado el mensaje de salvación, pero me podéis salvar con otros nombres, así tengo más amigos.

viernes, septiembre 01, 2006

Backtracking

Como molan los políticos!. Es una profesión donde está tan asumido que no vas a cumplir lo que prometes que ya no está mal visto que no cumplas, (siempre y cuando el número no tienda a todo). Así puedes prometer que vas a arreglar el paro, los sueldos, la vivienda, las leyes sociales, etc... y luego hacer 1 cosita en cada tema y listo calisto.

Y lo que mola son los anuncios a la prensa. Esas declaraciones que se hacen para subir o bajar puntos de popularidad son geniales!

Una ciudad de Noruega, como muchas otras, se sumó a la moda Linux para todo y anunció en el año 2004 una migración masiva de 50.000 equipos a Linux.

Es de suponer que este anunció se basó en un minucioso estudio técnico realizado por profesionales tecnológicos especializados en este tipo de proyectos y que no sería un calentón. Vamos esto debe ser seguro así, Porque a nadie se le ocurriría de otra manera. Todos lo hacemos así. Y más en proyectos grandes. Porque se debe hacer así. Como nos enseñan en la universidad. ¿No?

Bueno, pues dos años después dicen que lo de Linux en las 50.000 máquinas como que no, que hay una cosa que se llama Windows que usan y que seguirán usando porque no hay que perder la perspectiva y dicen que usarán Linux en lo que sea procedente.

Vamos un poquito de sentido común, que cada problema tecnológico tiene una solución mejor que otra en función de ciertos parámetros.

Sin embargo, lo más chupi, es que cuando se hizo el anuncio se daba por hecho ya ese paso a Linux con el consiguiente éxito y dijeron "Con el paso a Linux hemos conseguido un modelo de negocio abierto y democrático, y creemos que asegurará un grado mayor de libertad en la elección, más eficiente operatividad y ahorros de coste que beneficiarán a los ciudadanos."

Parece que como en los algoritmos de Backtracking llegaron por el camino Linux a alguna condición de parada que les hizo detenerse volver al nodo anterior y elegir otro camino del árbol de posibles soluciones, pero... ¿cual fue la condición de parada?

¿Si ya era más eficiente, más operativo, más democrático, más abierto, más libre, más guay? Qué motivos les ha hecho usar windows o más mejor, no llegar a quitar windows?

Opción 1: Teoría de la conspiración. Spectra mando a un equipo de hombres de negro a lavar el cerebro y untar y sobornar a diestro y siniestro en el famoso ayuntamiento de este, ¿como se llama? Bergen, eso, para que nadie se desalinie.

Opción 2: ¿A lo mejor no es tan guay, y tan operativo y tan eficiente para todo?

y la pregunta: ¡ahá! ¿Por qué justifican el paso a Linux y no se justifica la utilización de Windows?¿Es que está prohibido políticamente hablar de cosas buenas de Wíndows? claro, a lo mejor es que no tiene y yo estoy diciendo tonterías.

En fin, algunos si que son malos, malosos.

Noticia en DiarioTI