tag:blogger.com,1999:blog-21555208.post854504570102102006..comments2024-03-19T04:21:33.323+01:00Comments on Un informático en el lado del mal: Uno de los DesktopsChema Alonsohttp://www.blogger.com/profile/16328042715087424781noreply@blogger.comBlogger26125tag:blogger.com,1999:blog-21555208.post-85772854365558803582007-04-25T06:30:00.000+02:002007-04-25T06:30:00.000+02:00Hola anónimo!Pablo me cayó genial en el minuto 1. ...Hola anónimo!<BR/><BR/>Pablo me cayó genial en el minuto 1. Jeje.<BR/><BR/>Gracias por los comentarios. Estoy contigo, cada uno elija lo mejor para él.<BR/><BR/>Saludos!Chema Alonsohttps://www.blogger.com/profile/16328042715087424781noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-67859469439787695962007-04-24T23:04:00.000+02:002007-04-24T23:04:00.000+02:00Joder que obsesión con que Windows es malo y Linux...Joder que obsesión con que Windows es malo y Linux la repera, o viceversa. Cada sistema tiene sus puntos fuertes y sus puntos debiles, y por mucho que me digas Vista no es perfecto ni de coña, al igual que no lo es ninguna distro linux. <BR/><BR/>Yo he probado Vista y sinceramente me quedo con mi Gentoo. Pero cada uno debería de elegir lo que prefiere tener en su máquina despues de haberlo probado no creen?<BR/><BR/>Un saludo<BR/><BR/>PD:Tio, como ponente eres la pera. Estuviste genial en el Security On Site de ayer, y eso que Pablo te dio caña!Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-80566225035198081092007-04-11T21:09:00.001+02:002007-04-11T21:09:00.001+02:00Hola Gaijin,como supondrás, desde que hay RTM (all...Hola Gaijin,<BR/><BR/>como supondrás, desde que hay RTM (allá por septiembre de 2006 creo recordar) hasta el lanzamiento se aplicaron parches internamente, pero no como en el caso que yo pongo que se el mismo día que se lanza están los parches. La noticia esa no es buena, porque ya estaba lanzado en Noviembre para las licencias por Volumen, así que fue una actualización normal del sistema.<BR/><BR/>Lógicamente, hoy, si te compras un Windows Vista lo primero que tienes que hacer es actualizarlo, pq hay parches disponibles, lo mismo que si hoy me instalo cualquier distro linux que saliera hace más de 1 mes. <BR/><BR/>Lo impactante es que son justo del mismo día y que como ves salen sin planificar, es decir, en el momento en que están.<BR/><BR/>Saludos!Chema Alonsohttps://www.blogger.com/profile/16328042715087424781noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-52638778577141080012007-04-11T21:09:00.000+02:002007-04-11T21:09:00.000+02:00La dirección buena es esta (espero que esta vez sa...La dirección buena es esta (espero que esta vez salga...)<BR/>http://www.informationweek.com/news/ showArticle.jhtml?articleID=197001741molanthttps://www.blogger.com/profile/12442321578356583365noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-73717603482837579382007-04-11T20:34:00.000+02:002007-04-11T20:34:00.000+02:00Este comentario ha sido eliminado por el autor.molanthttps://www.blogger.com/profile/12442321578356583365noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-83928371245063069812007-04-11T20:14:00.000+02:002007-04-11T20:14:00.000+02:00Windows Vista tenía unas cuantas actualizaciones e...Windows Vista tenía unas cuantas actualizaciones el día antes de que saliera (http://www.informationweek.com/news/showArticle.jhtml?articleID=197001741). <BR/><BR/>------<BR/>El RHED 5 es una distro pensada para ser estable.<BR/>------<BR/><BR/>Ya sabemos que del dicho al hecho hay mucho trecho. Si mierda hay por todas partes =)molanthttps://www.blogger.com/profile/12442321578356583365noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-53147878506774575102007-04-11T17:43:00.000+02:002007-04-11T17:43:00.000+02:00Hola Gaijin!El RHED 5 es una distro pensada para s...Hola Gaijin!<BR/><BR/>El RHED 5 es una distro pensada para ser estable. Es del tipo current, pero no es beta ni testing. Y ya ves, mismo día de salida 11 parches.<BR/><BR/>Saludos!Chema Alonsohttps://www.blogger.com/profile/16328042715087424781noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-29806944204375493402007-04-11T12:33:00.000+02:002007-04-11T12:33:00.000+02:00Conozco mucha gente que usa Testing como distribuc...Conozco mucha gente que usa Testing como distribución "En producción" porque es su servidor de casa y quieren, o porque necesitan PHP5 y no conocen los backports... De lo malo, la rama testing de Debian tiene actualizaciones de seguridad, peor aún así prefiero la stable que me juega menos con los paquetes.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-49480771766159402382007-04-11T10:07:00.000+02:002007-04-11T10:07:00.000+02:00Otra cosa que se me acaba de ocurrir.El ejemplo qu...Otra cosa que se me acaba de ocurrir.<BR/>El ejemplo que propones es más bien de una distribución "testing" o "unstable", no? Es que ha nadie creo que se le ocurra poner en una máquina crítica un software en estado beta.molanthttps://www.blogger.com/profile/12442321578356583365noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-22388784453078427822007-04-11T09:43:00.000+02:002007-04-11T09:43:00.000+02:00Vale, ya pillo lo que querías decir al principio :...Vale, ya pillo lo que querías decir al principio :) De todas formas si como Spectra no da soporte a ese software estamos más o menos en las mismas ya que el tiempo en el que el administrador le cuesta darse cuenta de que ha habido una actualización y la aplica también puede ser larguillo (además del típico "si funciona no lo toques no vaya a ser que..."). Pero bueno, aquí ya entraríamos en las competencias y capacidades de las personas que en mi opinión no vienen tampoco muy a cuento.<BR/><BR/>Conoces algún sitio/s en el que se hable más en detalle (y a ser posible con casos reales) de todo esto? Es para no soltar "todo el mundo lo sabe" la próxima vez que me pregunten cuando me esté tomando una cerveza en un bar ;)<BR/><BR/>Un saludo y gracias!molanthttps://www.blogger.com/profile/12442321578356583365noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-64736027208860264832007-04-11T08:37:00.000+02:002007-04-11T08:37:00.000+02:00Hola Gaijin!el problema para una empresa es la pla...Hola Gaijin!<BR/><BR/>el problema para una empresa es la planificación. Cada proyecto saca sus parches en cuando los tienen y las distros tienen que ir a remolque, quien los saca son los propios proyectos. Las distros los tienen que probar (pq dan soporte a ese software) y distribuirlo, por lo que no deciden ellos y encima tienen que ir a remolque. Si no se dan prisa entonces se amplía el tiempo de exposicion al riesgos y esos parches deben acoplarse con la política de pruebas y paso a producción de la empresa. <BR/><BR/>Solo eso.<BR/><BR/>Salu2.Chema Alonsohttps://www.blogger.com/profile/16328042715087424781noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-46722425703504665742007-04-11T00:24:00.000+02:002007-04-11T00:24:00.000+02:00Por cierto, creo que Spectra no paga por las vulne...Por cierto, creo que Spectra no paga por las vulnerabilidades. ;) Saludos!<BR/><BR/>--------<BR/><BR/>Tienes razón, me colé con el link que pusiste sobre idefense en osxtias y mi memoria me jugó una mala pasada '^_^<BR/><BR/>Respecto al resto de tu comentario supongo que en cierta manera harán lo mismo los de RH. Si hay una vulnerabilidad de mayor riesgo se darán más prisa en corregirla que otra que no lo es. No creo que hagan FIFO sin importar la gravedad.<BR/><BR/>Todavía no acabo de ver porque los sistemas de actualización no deberían de funcionar. <BR/>Por lo poco que he visto la gestión de bugs suele estar bastante bien organizada y documentada en este tipo de compañías/organizaciones, y en ningún momento me ha dado la impresión de que cada uno vaya a su bola (al más puro estilo Jack Bauer). Además que por los datos que comentas en tus posts (me parece que era tuyo, pq llevo ya un lío de blogs...) parece que Red Hat últimamente se está tomando bastante tiempo en corregir fallos.<BR/><BR/>De todas formas hablo sobretodo desde el punto de vista de usuario (y de lo poco que he visto y me imagino) así que igual estoy metiendo la gamba hasta el fondo.<BR/><BR/>Un saludo!molanthttps://www.blogger.com/profile/12442321578356583365noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-45689103243073783592007-04-10T23:24:00.000+02:002007-04-10T23:24:00.000+02:00Hola Gaigin,te repito la situación del post:“depri...Hola Gaigin,<BR/><BR/>te repito la situación del post:<BR/><BR/>“deprisa que han salido 3 fallos, 2 importantes y uno crítico esta noche y hay que pasarlos a pruebas para ponerlos en producción pasado mañana. ¿Cómo? ¡Si aún tenemos en pruebas los que salieron ayer!”<BR/><BR/>Si una vulnerabilidad es crítica y está siendo explotada con riesgo alto, Spectra saca fuera del ciclo la solución (como con el ANI o el WMF) y listo, si no, son planificadas. El que salgan todas sin avisar hace, como sucedía antes, que los sistemas de actualización no funcionen bien.<BR/><BR/>Por cierto, creo que Spectra no paga por las vulnerabilidades. ;) Saludos!Chema Alonsohttps://www.blogger.com/profile/16328042715087424781noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-53542066522118239202007-04-10T22:39:00.000+02:002007-04-10T22:39:00.000+02:00Anónimo 1: Esa es la respuesta, ampliar el tiempo ...Anónimo 1: Esa es la respuesta, ampliar el tiempo de exposicion al riesgo ya que en el momento en que se saca un parche las técnicas de ingeniería inversa del parche hacen que aparezca el exploit y por lo tanto aumenta el riesgo.<BR/><BR/>--------<BR/><BR/>Es problema del administrador si no lleva una política de actualización correta. Yo soy de la opinión de que una actualización de seguridad debe estar disponible cuanto antes mejor. Si es un parche "menor" me da (relativamente) igual que lo publiquen ahora, mañana o dentro de 5 días.<BR/>Aún así conozco a un par de administradores de redes relativamente importantes y por lo que he hablado con ellos windows update es ejecutado cada hora por mucho que las actualizaciones estén programadas para los martes (y lo mismo con los servidores linux que tienen, que ninguno se salva).<BR/><BR/>Además, en el Software Libre siempre me ha parecido más fácil saber cuales son las incidencias abiertas que todavía no tienen solución por lo que veo más normal que publiquen el parche en cuanto lo tengan (además, no ofrecen la misma cantidad de dinero que Spectra da por las vulnerabilidades encontradas :P ).<BR/><BR/>Veo normal que RH saque las actualizaciones en "el acto" de la misma manera que veo normal que M$ lleve otra política "más secretista" y "organizada".molanthttps://www.blogger.com/profile/12442321578356583365noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-43339853107703334542007-04-10T21:24:00.000+02:002007-04-10T21:24:00.000+02:00Anónimo 1: Esa es la respuesta, ampliar el tiempo ...Anónimo 1: Esa es la respuesta, ampliar el tiempo de exposicion al riesgo ya que en el momento en que se saca un parche las técnicas de ingeniería inversa del parche hacen que aparezca el exploit y por lo tanto aumenta el riesgo. <BR/><BR/>Gura said it.<BR/><BR/>Bies!Chema Alonsohttps://www.blogger.com/profile/16328042715087424781noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-24182814337980714432007-04-10T19:59:00.000+02:002007-04-10T19:59:00.000+02:00Que más da que el parche de openssl sea publico un...Que más da que el parche de openssl sea publico unos dia antes? --> Sí, que más da, sobretodo si es explotable remotamente... Estarán los script-kiddies y los que no lo son buscandote las cosquillas en cuando te encuentren. Hay que ver solamente un post anterior de Maligno, en el cual se mostraba un scanner de WebDAV para encontrar Windows 2000 con IIS 5.0 vulnerables (Sin parchear, vaya). Yo si es libre el parche lo prefiero YA, en cuanto se descubra el fallo, cuanto antes mejor. Si es cerrado, ellos verán, siempre y cuando no aparezcan vulns 0 day. Por ejemplo, la ultima vulnerabilidad de Win, la de los cursores animados me daba igual... digamos que para el uso que le doy, no me afectaba para nada.<BR/><BR/>Que las distros tardan algo en distribuir parches? Puede, hace mucho que no miro la vuln en security focus y luego en la web de la distro. FreeBSD es un Makefile y nada más. Si no meto la pata exageradamente, el 99% del código fuente se lo descarga de la web del proyecto correspondiente. Sale nueva versión de PHP y al poco está en los ports (Un port que hace un tío), por ejemplo.<BR/><BR/>gaijin tiene mucha razón, la gente no actualiza su SO, y si lo hace él solito y le manda reiniciar y demás, el resto de software se pasa de él. Hablo del típico Nero, Winamp, etc, vamos, todo lo que no es de MS. Con Office ocurre igual, porque Microsoft Update no está tan proliferado como Windows Update, aunque en Vista el (Actualizar más productos) o algo así, verdaderamente ayuda mucho alguien que no es técnico. Y en esto, en tener actualizado todo el software de forma sencilla es donde Linux me parece que se lo monta mejor, porque es la distribución la que hace el paquete y proporciona el parche, sin tener en cuenta que tarden más o menos en sacar el parche. Sin tenerlo en cuenta... pero debemos tenerlo en cuenta! No me gustaría que se descubra un fallo hoy, y por la mañana esté el parche disponible, y SuSE, RedHat o la que sea hasta dentro de 12 días no me den un parche oficial en RPM hecho por ellos.<BR/><BR/>A las duras o a las maduras... este es un tema sobre el que se puede hablar largo y tendido. Se admiten correcciones ;)Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-72669060331914088252007-04-10T19:27:00.000+02:002007-04-10T19:27:00.000+02:00Pues no te creas, algúna entrada de blog tienes qu...Pues no te creas, algúna entrada de blog tienes que es interesantilla (sobre todo del tema de seguridad) aunque morralla spectra-marketiniana tb la hay.<BR/>En fin que a veces atisbo la esperanza de leer cosas en este blog que no sean mi windows lava más blanco que tu linux, pues reconozco que de lo del "LINUX es lo mejor, el Windows es una KK y Bill Gates el anticristo" que repite todo el mundo sin pensar una y otra vez estoy absolutamente hasta el gorro.<BR/><BR/>Si Redhat quisiera publicar en sus repositorios los parches de todo el mes un mismo día no veo que problema podía tener en hacerlo. Como dices proporcionan ellos tb los parches de las principales aplicaciones. ¿Que más da que el parche de openssl sea publico unos dia antes? redhat lo publica en sus repositorios los martes y a correr. Tampoco creo que los equipos de desarrollo de spectra terminen de implementar los parches solo los martes. Es un problema de ponerlos disponibles en el repositorio nada más.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-55793229031940159742007-04-10T17:55:00.000+02:002007-04-10T17:55:00.000+02:00Hola Holita!!Saludos a todos. A ver, anónimo 1: Es...Hola Holita!!<BR/><BR/>Saludos a todos. <BR/><BR/>A ver, anónimo 1: Esto es el lado del mal. Te recomiendo otras webs para que no te aburras? Mi preferida es yonkis.com!<BR/><BR/>Respecto a la política de publicar los parches el SEGUNDO martes de cada mes si vendiera Linux, necesitaría que TODOS los proyectos lo hicieran, y no veo yo factible que se pusieran TODOS de acuerdo.<BR/><BR/>Y sí, es cierto, yo no tengo ni idea. Saludos!<BR/><BR/>Anónimo 2: Me alegro que te mole el blog! Salud. Por lo demás, desde el punto de vista del conocimiento es muy bueno, pero desde el punto de vista de una multinacional que venda lana, se la suda, lo que quiere es que la lana se venda y que para ello funcione su sistema informático, ¿no? Salud!Chema Alonsohttps://www.blogger.com/profile/16328042715087424781noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-56244738404417599332007-04-10T17:44:00.000+02:002007-04-10T17:44:00.000+02:00¿Red Hat no se fía de Mozilla y por eso saca sus p...¿Red Hat no se fía de Mozilla y por eso saca sus propios parches? No me hagáis mucho caso que yo de esto no entiendo, pero pensaba que mozilla es de eso que llaman open source, de ese tipo de software cuyo código puedes ver y modificar, y por lo tanto corregir si detectas algún bug.<BR/>Las malas lenguas dicen que es posible incluso que tu corrección sea usada por más gente, que de esta forma se aprovecha de tus conocimientos.<BR/>¡¡Hay pervertidos que incluso aprenden con ello!!<BR/>A donde vamos a parar: Empresas tocando el código fuente de otras. ¿Que será lo próximo?¿Que Spectra libere el código de IE 7?¿Que los desarrolladores de software seamos tan buenos que sólo cometamos errores cada 6 meses, justo antes de que aparezca un SP?<BR/>Muy buen Blog Maligno. Salud.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-85501929696533396482007-04-10T16:20:00.000+02:002007-04-10T16:20:00.000+02:00Linux malo, Windows bueno, mi gustar!Nooooo Window...Linux malo, Windows bueno, mi gustar!<BR/>Nooooo Windows malo Linux bueno, tu no tener ni idea!<BR/>Un pelin aburrido el tema ya.<BR/><BR/>La política de publicación de parches parece un tema más de empresa que de sistema operativo. Seguro que si Microsoft vendiera una distribución de Linux publicaría los parches los primeros martes de cada mes y si redhat vendiera Windows lo haría cuando estuvieran disponibles.<BR/>Puestos a criticar organización de los procesos de relación proveedor SO vs usuario creo que las licencias dan mucho más juego...<BR/><BR/>Respecto a las facilidades del sitema operativo reconozco mi ignorancia sobre los costes y facilidad de uso de SMS vs el sistema equivalente que utilice Redhat, Uuntu, Suse, Debian and coAnonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-16412367765810721142007-04-10T15:59:00.000+02:002007-04-10T15:59:00.000+02:00Gaijin , la has clavado!. En estos tiempos no te f...Gaijin , la has clavado!. En estos tiempos no te fies ni del vecino...SiRw2Phttps://www.blogger.com/profile/08841575520740020588noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-58071840564509360432007-04-10T15:54:00.000+02:002007-04-10T15:54:00.000+02:00¿Es que no son buenas las actualizaciones de Mozil...¿Es que no son buenas las actualizaciones de Mozilla?<BR/>------------<BR/><BR/>¿Cuántas veces habré/mos visto ordenadores usando versiones ancestrales de software plagadas de agujeros? Hay muy poca gente "de a pie" (e incluso muchos administradores ejemgluckejem) que se moleste en mirar si su navegador favorito se ha actualizado y lo mismo con el resto de programas (si funciona para qué tocarlo?).<BR/>Además, las actualizaciones proporcionadas por RH, Suse, Debian o cualquier otro intentan asegurarte que no te va a reventar el sistema cuando actualices. Yo personalmente prefiero este tipo de sistema (si, soy un vago y no quiero ir mirando lo que va apareciendo por ahí) y me ha dado mejores resultados a nivel personal que el usado por Spectra.<BR/><BR/>Pero bueno, para gustos colores. Lo que vale para unos, no lo hace para otros.molanthttps://www.blogger.com/profile/12442321578356583365noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-11018954758516235452007-04-10T15:00:00.000+02:002007-04-10T15:00:00.000+02:00Esto de los fallos en Linux me recuerda al fin de ...Esto de los fallos en Linux me recuerda al fin de semana pasado en la cadena Cuatro, televisaron un concurso canino de obstáculos, y algunos cometían fallos pero acababan la carrera, excepto uno que me hizo gracia, que singularmente se llamaba Tux, cometió unos fallos y lo descalificaron, siendo el único perro que no acabó el campeonato XD<BR/>Cosas de la vida :D<BR/><BR/>Un saludo.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-37819751294434058932007-04-10T12:59:00.000+02:002007-04-10T12:59:00.000+02:00Totalmente de acuerdo con lo que has escrito macho...Totalmente de acuerdo con lo que has escrito macho. Me ha hecho lo de "Corre corre que han salido 3 fallos", porque practicamente es así.<BR/><BR/>Yo cuando llego a casa reviso el correo a diario para comprobar las actualizaciones. Digamos que los costes de mantenimiento son mayores, ya que me quitan tiempo... tiempo dos veces a la semana, durante una media de X minutos por cada máquina. Y eso que como no juegan un papel crítico no pasan por fase de pruebas...Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-65633633010672905482007-04-10T11:51:00.000+02:002007-04-10T11:51:00.000+02:00Cursor animado?Es que usas Windows?Saludos Anónimo...Cursor animado?<BR/><BR/>Es que usas Windows?<BR/><BR/>Saludos Anónimo!Chema Alonsohttps://www.blogger.com/profile/16328042715087424781noreply@blogger.com