DaboBlog

A continuación, os dejo un resumen de lo que va llamando mi atención sobre (IN) Seguridad informática, los Servers o GNU/Linux. Son de la semana pasada y están recopilados desde mi Twitter (también usados como mi propio “almacén de links” ;).

También recordarte si te interesa la seguridad informática, que en Daboweb (puedes seguirnos vía RSS, Twitter y Facebook) nos hacemos eco de una forma más elaborada sobre temas similares. También te animo a participar en nuestros foros.

Y si lo tuyo es Debian GNU/Linux, nos vemos por DebianHackers, saludos ;).

En mi Twitter, @daboblog, sobre GNU/Linux, Hacking, SysAdmin, semana 38/2012: (Anteriores).

• Under pressure, Facebook disables facial recognition in Europe –> http://bit.ly/QNLeGx | #Privacy
• @tpb Megaupload Readies for Comeback, Code 90% Done: With 50 million visitors per day at its peak, http://bit.ly/UHnreI
• Cómo usar el comando ip en GNU/Linux (ejemplos vs ifconfig) –> http://bit.ly/Pd1fVK | #SysAdmin
• La cuestión no es si el sombrero es blanco, gris o negro, sino de la cabeza que está debajo. #Hacking
• Pentest CMS. Backtrack 5 & Joomscan by @pepeluxx, CMS Explorer, WPScan, Plecost, WhatWeb, etc –> http://bit.ly/Uoog9w
• @daboweb Actualización disponible para el grave bug en Internet Explorer 7, 8 y 9 : http://bit.ly/PRoJz7 #Seguridad
• @seguridadyredes Post: #Tshark. Follow TCP #Stream en modo CLI mediante estadísticas tshark -> http://bit.ly/QNP8z7
• wget –> http://bit.ly/Utmre2 | ClubHACK Magazine Issue 32 (Cloud, in, Digital Signature in Mom’s Guide, Cracking WPA/WPA2)
• wget –> http://bit.ly/VgKZqc | (IN)SECURE Magazine 35 (Scripting with Nmap, ENISA, SysAdmin). Free, PDF, 63 pages. #Hacking
• [Post en DaboBlog] Sobre mi entrevista en @fluproject (realizada por @jantonioCalles) –> http://bit.ly/Rz6Yu2
• [Introduction]: Using diff and patch in GNU/Linux –> http://bit.ly/Pq33fm | “Difficulty, Medium”.
• Mobile Payments, Security and PCI Requirements –> http://bit.ly/Pq2qlY | “he PCI SSC published new guidance for developers”
• Qué bueno ! RT @ldelgadoj: Este 23 y 24 de Octubre estaré en #ENISE hablando de malware en #Android :) http://enise.inteco.es
• @lawwait Congreso y formaciones de No cON Name @noconname 2012 en http://x90.es/4hg #ncn2k12 //
• Tails 0.13 –> http://bit.ly/Vbecmp (The Amnesic Incognito Live System), a Debian-based live DVD with a strong focus on Internet
• @miguelangelher Nuevo post: SPAM Blacklists, Whitelists y Listas Robinson http://goo.gl/fb/exxpw
• Reading the guide… (95 pages, PDF). NIST Publishes Revised Risk Assessment Guide –> http://bit.ly/VbboFS #Security
• @seguridadyredes Post: #Tcpick. Capturando y visualizando impresiones en red con -wR desde fichero –> http://bit.ly/QNOxgR
• Reading… “Exploiting Users By Non-technical Means; or, “S*** Users Do” –> http://bit.ly/QjwM8s
• En @fluproject: “#Gcrack descifrando hashes con Google” –> http://bit.ly/OUg8fG | Por @seifreed
• @daboweb Vulnerabilidad 0Day (crítica) en Internet Explorer 7, 8 y 9. Se recomienda usar otro navegador http://bit.ly/QxIsF2
• Reading the @TheHackersNews Magazine 14 “Security in a Serious Way” –> http://bit.ly/OUd831 | All –> http://bit.ly/OAQfWo
• Leyendo… RT @Israelmgo: Configuración De Archivo .htaccess | 10 Curiosidades http://bit.ly/UfE7cY
• How to use multiple files efficiently in vim editor -> http://bit.ly/UfDroe | Basic useful vim commands –> http://bit.ly/QI0Vx8
• Leyendo a @jdaanial: “Web Hacking” – Módulos y Librerias en servers Apache. MOD_REWRITE – Parte IX” –> http://bit.ly/UfBaJv
• RT @fluproject Publicada la herramienta ParameterFuzz v1.1 http://bit.ly/UeSmz0
• RT @secbydefault: [SbD] WhatsApp: Spam, inundación y robo de cuentas http://secby.us/UfjvyS por @aramosf
• @ivazqueza Ideal para probar un nmap externo hacia tus IPs – One hour free Ubuntu Cloud Guest https://try.cloud.ubuntu.com
• Reading the changelog (thanks @rhOdiuS;) RT @securityshell: Open source Web server scanner Nikto 2.1.5
• ‏@Securityartwork RT @BorjaMerino: Fuzzing Like A Boss with Pythonect http://goo.gl/TpAvZ
• @flosadam. PentesterLab is an easy and great way to learn penetration testing. https://www.pentesterlab.com

Tags: Android, Apache, CMS, DebianHackers, ENISE, Exploit, Explorer, Facebook, GNU, GNU/Linux, hacker, Hacking, INTECO, Internet, iOS, Malware, Navegador, nmap, Server, Spam, Sysadmin, Twitter, Ubuntu, Vim

Añado # He publicado en DebianHackers una entrada sobre la decisión de Debian de sacar a Chromium de Testing y Stable.

Imagino que para un usuario “normal”, el cambio de navegador es algo sin gran importancia y que el mayor engorro que puede conllevar, es exportar-importar marcadores, instalar alguna extensión y poco más.

Seguramente mi caso es muy parecido al de muchos de quienes os soléis pasar por aquí. Se crea una relación muy directa con el navegador, todos tenemos nuestras manías o costumbres adquiridas tras años de navegación por lo que, cualquier cambio o “ausencia de”, se convierte en un “problema” o más bien en algo muy incómodo.

Mi historia con Chromium como digo en el título es de un mes a estas fechas (no confundir con Google Chrome, aunque el paralelismo es obvio). Viene dada por la necesidad de fluidez y velocidad en el Asus que adquirí hace un par de meses, en él instalé Debian, no Sid como en el MacBook, sino Squeeze (testing) y en ambos casos bajo KDE, aunque también tengo instalado GNOME y XFCE.

Tantos años con Firefox (Iceweasel en Debian) y sus extensiones, configuración, temas, etc, hacen que a veces ni te plantees un cambio. El mío no se hizo efectivo hasta que me puse en serio a llevarlo a cabo.

Importé marcadores, me puse manos a la obra a buscar extensiones similares (o iguales) a las que uso en Iceweasel, cambiar tipos de letra, preferencias y me “obligué” a usar Chromium. Los primeros días os aseguro que estaba muy perdido, el concepto de las pestañas superiores es algo a lo que cuesta acostumbrarse, también a usar la barra de direcciones tanto para buscar como para escribir una url.

Luego, cuando ves que todas tus extensiones están instaladas (salvo fireFTP y NoScript , nada menos…aunque se puede filtrar mucho contenido como explican aquí), ya estás más a gusto, además, te llevas gratas sorpresas por ejemplo con otras nuevas que descubres como Chrome Bird para Twitter y sus notificaciones “de escritorio” que tan bien funcionan desde Chromium. He de reconocer que ahora, ver esas extensiones arriba a la derecha junto a la barra de direcciones, lejos de agobiarme me resulta muy cómodo tanto para deshabilitar alguna, como para acceder a las preferencias de las mismas.

Estoy usando y me gusta la sincronización entre equipos aunque tenga que hacerse vía una cuenta de Gmail (también en Firefox se puede hacer con Firefox Sync por ejemplo), aunque echo de menos que se pueda hacer lo mismo con las extensiones, algo que entiendo no tardando mucho se podrá realizar.

De todos modos, para copiar y usar en otro equipo toda la configuración, extensiones, etc, en GNU/Linux es tan fácil como hacer un .tar.gz del directorio chromium que se encuentra en /home/tu_usuario/.config del mismo modo que hacemos con el .firefox de Mozilla y el perfil en uso.

Ya lo comenté en mi Twitter, hasta que la versión 4 de Firefox / Iceweasel sea una realidad, mi mejor opción ahora mismo es Chromium, sobre todo por su rapidez y un menor consumo de recursos. De hecho, estoy usándolo ya en todos mis equipos.

Y tú… ¿con qué navegas?

Tags: Chrome, Chromium, Debian, Gmail, GNU/Linux, Google, Iceweasel, Mozilla, Navegador

Hola amigos, acabo de terminar de grabar con Oscar y Gorka la sección “Manzanas Traigo”, dedicada al mundo Apple en el Podcast (el Sábado grabo con Forat “Kernel Panic”, sobre GNU/Linux) y justo después, me ha llegado un aviso de nueva versión de Safari desde la lista de correo “Apple Security”.

Hasta ahí todo normal, me digo; “nada, lo publico en Daboweb ahora”, pero…mi sorpresa ha llegado cuando leyendo mis fuentes RSS, en algún lugar dedicado a noticias sobre el mundo de la manzana, leo que Apple sobre este update dice;

Se recomienda instalar esta actualización a todos los usuarios de Safari, ya que incluye mejoras del funcionamiento, la estabilidad y la seguridad de la aplicación como las siguientes:

Se ha mejorado el funcionamiento de Top Sites.
Se ha mejorado la estabilidad de los módulos de otros fabricantes.
Se ha mejorado la estabilidad de los sitios web con formularios en línea y gráficos SVG (Scalable Vector Graphics).
Se ha corregido un problema que impedía a Safari modificar la configuración de algunos routers Linksys.
Se ha solucionado un problema que impedía a algunos usuarios de iWork.com añadir comentarios a documentos.
Para obtener información detallada acerca del contenido de seguridad de esta actualización, visite la siguiente página web: http://support.apple.com/kb/HT1222?viewlocale=es_ES.

Y claro, luego para colmo, en un blog muy visitado sobre Apple (contra el que no tengo nada vaya por delante), leo que corrige varios bugs pero “muy repetitivos” y es en ese momento cuando me voy al enlace de arriba, donde Apple dice;

Para obtener información detallada acerca del contenido de seguridad de esta actualización, visite la siguiente página web: http://support.apple.com/kb/HT1222?viewlocale=es_ES.

Y no hay nada !!! sobre lo que se ha corregido en esta versión hablando de seguridad. Claro, al final quizás lo acaban metiendo en esa “pseudo-sección” dedicada a las actualizaciones de seguridad de Apple, pero en lugar de desinformar, lo que deberían hacer es indicar claramente cuales son las vulnerabilidades corregidas.

No pido que tengan la transparencia que se lleva a cabo y que compruebo cada día en el mundo de GNU/Linux y el software libre en general, o que puedo leer a diario por ejemplo en las listas de correo de seguridad de Debian, no la pido porque es incompatible con su forma de actuar y de llevar el negocio como tengan a bien.

Pero una compañía que se jacta de ser todo lo contrario a Microsoft, desde luego que al final hablando de seguridad lo es, ya que por lo menos, un usuario de Windows puede saber exactamente sin estar suscrito a ninguna lista de correo de seguridad, que parches y “por qué” se actualiza el software que tiene instalado, sin ser Microsoft históricamente una compañía ejemplar informando sobre la seguridad de sus productos.

Esta forma de actuar frente a la seguridad (por oscuridad u omisión que igual ahí me excedo), me parece totalmente irresponsable ya que el usuario de Windows o Mac OS X que use Safari, debe saber que si no se realiza esa actualización, quedará expuesto a vulnerabilidades que van desde errores de corrupción de memoria, un cierre inesperado de la aplicación o, lo que es más importante, desbordamientos del búfer o la ejecución de código arbitrario en el sistema afectado, desde viendo imágenes manipuladas especialmente con un determinado perfil de color incrustado (también Tiffs o BMP manipulados, hablando de Windows), pasando por el salto de restricciones en la opción de aceptar cookies o no leyendo fuentes RSS, o múltiples bugs en su potente motor “Webkit” visitando sitios webs manipulados para lograr la ejecución de código arbitrario mientras se procesan ciertos ficheros HMTL o XML, etc, etc.

La lista completa de bugs corregidos para que podáis ver a  lo que me refiero (que ahí si que se dice con claridad) está en la entrada que he publicado en Daboweb sobre el lanzamiento de Safari 4.0.5.

¿Es inseguro o un mal producto Safari? si no se actualiza si, un mal producto desde luego que no si nos referimos a esta actualización. Yo navego con Iceweasel, (Firefox según la política de licencias y filosofía de Debian) y estos bugs son habituales en cualquier navegador o software, se parchean y fn del problema, (que a veces también en Firefox se han heredado bugs y “torpedos” de meses atrás, ojo) lo que no es tan habitual, es que prevalezcan a la hora de informar al usuario las mejoras en “Top Sites” o que no puedas hacer comentarios a documentos en iWork.com…

Este tipo de actuaciones y detalles tan “sutiles” para vender una imagen que no se ajusta a la realidad, hacen que para mi, Apple hablando de software, (sobre su hard, uso Debian en un MacBook y después de 3 años el resultado es de 10) tenga muy poca credibilidad y más bien parezca que quieren seguir vendiéndole al usuario tipo de Mac OS X (que de tonto no tiene un pelo), esa moto de “Hala, sé feliz produciendo que nosotros nos preocupamos de todo”.

Y luego vienen los disgustos porque claro, cuando no dices claramente “Actualiza que puede ser que dejes de producir tan felizmente”, el usuario medio puede pensar “No tengo un router linksys que configurar, tampoco uso iWork.com así que ¿para qué actualizar?”.

Es sólo mi opinión, no soy quien para dar ejemplos de ética o actuaciones impecables, Mac OS X es un buen sistema operativo, pero es difícil abstraerse del tufillo a realidad maquillada que Steve Jobs imprime a muchas aspectos del funcionamiento de la compañía.

Tags: actualizacion, Apple, Bugs, GNU/Linux, Mac OS X, Microsoft, Navegador, Opinión, Safari, Software

Si alguno se anima en la medida que pueda a ayudar al desarrollo de Debian Iceweasel (Mozilla Firefox hecho según la política de desarrollo y licencias de Debian GNU/Linux).

Debajo os pongo el mensaje que nos dejan cuando actualizamos a la versión 3.5.8 (no es nuevo de hecho). En Daboweb hemos publicado algo sobre estas nuevas versiones hablando de Firefox (3.5.8 y 3.0.18).

¡Iceweasel necesita tu ayuda!

Hay muchas formas de ayudar a mejorar Iceweasel sin ser desarrollador:

• Dibuja un logo nuevo,
• Informa de errores y bugs,
• Ayuda a examinar bugs existentes
  • Comprueba si todavía existen,
  • Encuentra bugs duplicados,
  • Si se pueden reproducir,
  • Si son sólo de Iceweasel o también afectan a Firefox,
  • Si están reportados en el Firefox bug tracker,
• Mejora la documentación,
• etc.

También hay muchas maneras de ayudar siendo desarrollador ;).

En todos estos casos, te interesará contactar con la lista de pkg-mozilla-maintainers

Así que ya sabéis, yo colaboro en lo que puedo reportando algún bug caso de que vea un fallo o algo susceptible de mejora, pero quizás seguro a ti se te da mejor el diseño que a mi y te atrevas con el nuevo logo, si te animas a apoyar a Iceweasel en la medida de tus posibilidades todos te lo agradeceremos -;).

Tags: Bugs, Debian, Firefox | Iceweasel, GNU/Linux, Iceweasel, Mozilla, Navegador

Imagino que si no fuera por YouTube principalmente y muchas animaciones que te envía el spammer-colega o compañero de trabajo de turno que compite por ser el que envíe la gilipollez más grande del día (sin usar el campo CCOO, con copia oculta en el mail), muchos ni conocerían la tecnología Flash.

A pesar de que para muchos sitios web el uso de Flash se hace cuasi-imprescindible, afortunadamente, cada vez se tienen más en cuenta los estándares web que dicta no sólo el W3C (con oficina en Gijón por cierto) sino el sentido común.

No hace falta leer a Jacob Nielsen (cuando empecé a hacer webs, muchos de sus libros sobre usabilidad me abrieron los ojos) para darse cuenta de que lo importante del contenido que se publica en Internet es que se vea. Si, parece una obviedad pero…¿cómo vamos a hablar de estándares cuando ni siquiera ves el maldito contenido?

No os voy a engañar, yo mismo hace unos 6 o 7 años, me “pegué” con el Flash y recuerdo una “intro” de Daboweb (que tiempos aquellos-;) con una animación en Flash, pero todo tiene su momento. De todos modos mi cabreo con  Flash quizás es exponencial a lo mucho que me viene dando por el saco de unos años a estas fechas…

Si lo viese puntualmente en alguna web o micro-site de esos que ahora están tan en alza, quizás sería otra cerrada y molesta a veces cerrada tecnología más, de esas que cuando usas GNU/Linux quieres evitar a toda costa y de fácil olvido. Pero…no.

Quizás el titulo es más bien un “titular” o lo que a mi me gustaría, pero “la batalla del vídeo” que estamos viviendo es un paso para que al menos, servicios tan usados como el vídeo vía web (no sólo YouTube), se liberen (más bien los usuarios) del yugo de antaño Macromedia, ahora Adobe Flash.

Os aseguro que no es un capricho, además de un MacBook con Debian, como ya comenté en esta entrada, tengo instalado en un PowerPC G4 Ubuntu 9.10 (muy contento por cierto) y amigos, por alucinante que os parezca, no hay soporte oficial para Flash en esa plataforma.

Si tenemos alguna gran iniciativa como puede ser Gnash que lucha contra viento, código cerrado y mareas de ingeniería inversa imagino, para dotarnos a los usuarios de un plugin libre para ver contenido en Flash, (“líbrenos del Flash !!!”) Llegando a hacerlo posible en ocasiones y en otras no, si son animaciones o vídeos creadas en las más modernas versiones de Adobe Flash.

Esta nueva etiqueta “Vídeo” de HTML 5, hará posible que se vean los vídeos directamente soportados desde el propio navegador, sin plugins externos como Flash (hablamos de navegadores que respeten los estándares por supuesto).

Algunos ya la soportan, pero hablando del problema de Flash,  igualmente muchos móviles siguen sin reproducirlo, sin ir más lejos el iPhone, (Nokia desde hace años si que lo hace) por lo que muchos usuarios del teléfono de Apple (entre los que me encuentro, no, no fue una inocentada, ya lo dije-;) me entenderán perfectamente. Vale, se puede reproducir un vídeo de YouTube que esté insertado en una web en el reproductor multimedia integrado, pero no una web hecha en Flash.

Ahora se esta discutiendo acerca del codec de vídeo a usar, obviamente apuesto por OGG frente a H.264 que es lo que recomienda la FSF (fundación del software libre) ya que cuanto más abierto sea, mejor para el usuario final y a los hechos me remito con el propio Flash, pero sé que se llegará a un buen entendimiento porque al final, imperará el sentido común o así lo quiero creer.

Pero sobre todo, puede ser el principio del fin del Flash a lo largo y ancho de Internet, o al menos el paso a un merecido segundo plano después de años de un protagonismo ganado a fuerza de pasar por encima de muchos usuarios que para ellos, simplemente parece que no existen.

Si señores de Adobe, ahora les ha salido un incómodo grano en el culo y no es de los que se quitan con Hemoal, no, este igual les estalla y manda a la mierda (Macromedia y ahora Adobe nos han mandado a muchos) a su maldito Flash pero por la vía rápida.

Estoy contengo, porque algo bueno de todo esto saldrá y Google sabe mover bien sus piezas como hemos podido ver con la inclusión de algunos de sus vídeos en HTML 5. ¿El principio del fin? torres más altas han caido…

Tags: Adobe, estándar, Flash, FSF, GNU/Linux, Google, iPhone, Móviles, Navegador, Plugins, PowerMac, PowerPC, Software, W3C, YouTube