Is it a fake website?

31 diciembre 2007

Feliz año nuevo 2008

Feliz Año Nuevo!
Xin nian yu kuai
Godt Nytår
Gelukkig nieuwjaar
Aide shoma mobarak
Bonne année
Aith-bhliain Fe Nhaise Dhuit
Gutes Neues Jahr
Hauoli Makahiki Hou
Shanah tovah
Nyob zoo xyoo tshiab
elamat Tahun Baru
Buon Capo d'Anno
Akemashite Omedetou Gozaimasu
Godt Nyttår
Maligayang Bagong Taon
Szczesliwego Nowego roku
Feliz ano novo
La Multi Ani
S Novym Godom
Wilujeng Tahun Baru
Gott Nytt År
Yeni Yiliniz Kutlu Olsun
Blwyddyn Newydd Dda

Unicamente desearos a todos un feliz año nuevo amigos.
Tomad el nuevo año con ganas y optimismo, recobrar fuerzas que nos harán falta. ;)

Enjoy!.

28 diciembre 2007

¿Por qué no puedes encontrar a tu Administrador de Sistemas?

Recomiendo este libro, que describe unas cuantas verdades que a muchos administradores les gustaría gritar decir a los usuarios de sus sistemas.

Una imagen vale más que mil palabras.





Tendría que añadir una sexta estrategia de los administradores de sistemas, "permanece oculto a tus usuarios" que ellos se las arreglen y puedas invertir tu tiempo en otras cosas más valiosas.

Enjoy!.

26 diciembre 2007

Los mejores programas hechos en C++ según su Inventor

Bjarne Stroustrup es el inventor de C++, podeis consultar numerosas entrevistas que se le han hecho desde las cuales podremos sacar nuestras propias conclusiones del panorama actual en relación a la programación y entorno en el que nos movemos. Particularmente me quedo con esta pregunta y respuesta de una de las entrevistas:

¿Cuál ha sido el mejor y peor programa realizado en C++?

B.S: El mejor Google!, ¿puedes recordar el mundo antes de Google? (después de todo solo hace 6 años). Lo que me gusta de Google es su rendimiento bajo severas restricciones de recursos. Posee unos de los más sencillos e ingeniosos algoritmos de paralelización y computación distribuida.
Tambien hay sistemas-embebidos que me gustan como por ejemplo los análisis de escena y autonomía de movimiento de la Mars Rovers. Procesamiento de imágenes en Photoshop...

El peor... Lo siento, no voy a poner en verguenza a nadie nombrando su trabajo, es tan tentador.. pero no lo haré.

Entrevista completa
.



Escribe el resto del post aqui

21 diciembre 2007

La Comisión Europea reconoce al Software Libre como un verdadero competidor en la Industria IT

La Comisión Europea, después de haber conseguido que Microsoft publique toda la información técnica de su protocolo para beneficio de la comunidad Open Source y en especial del proyecto Samba, no hace más que reconocer al Software Libre como un verdadero competidor en la industria Tecnológica.

Es una muy buena noticia y un punto de inflexión para la comunidad Open Source, ya que muchos proyectos de código abierto podrán adaptarse para su compatibilidad con la tecnología de Microsoft, que guste ono, está presente en más del 90% de las redes de empresas.

Esto se ha conseguido gracias al esfuerzo que durante años han realizado algunos de los miembros del equipo samba junto con abogados de la Comsión Europea.

Detalles completos.
Decisión de la Comisión Europea.

16 diciembre 2007

Las 5 reglas de oro para comportarse en una lista de correo.

Bikeshed es un término que convertido a principio vendría a decir algo así como:
La cantidad de discusión es inversamente proporcional a la complejidad del tema.

Se utiliza mucho en listas de correo muy concurridas y su origen viene de las listas de FreeBSD.

Lo explican muy bien con unos ejemplos de ventanas pop-up que deberían implementar todos los clientes de correo cuando alguien va a enviar o responder un mail en una lista:

-----------------------------------------------------------------
-Tu mail se va a enviar a miles de personas que tendrán que gastar al menos 10 segundos leyendo antes de que puedan decidir si es interesante o no. Muchos de los destinatarios incluso tendrán que pargar por leerlo. (nótese aquí la época donde se formo el término)

[Yes] [Revise] [Cancel]
-----------------------------------------------------------------

-Aviso: No has leido todos los mails de este hilo todavía. Alguno ha podido decir antes que tú lo que vas a exponer en tu mail. Por favor, lee el hilo entero antes de enviar el correo.

[Cancel]
-----------------------------------------------------------------

-Aviso: Tu programa de correo no te ha mostrado aún el mensaje entero. Lógicamente quiere decir que no lo has podido leer completamente y entenderlo.
No es de buena educación responder a un correo hasta que lo has leido entero y pensado sobre él.
Un precioso tiempo salvado en este hilo te prevendrá de responder a un mail de este hilo durante la próxima hora.

[Cancel]
-----------------------------------------------------------------

-Has escrito este mail en un ratio de más de N.NN cps. Generalmente no es posible pensar y escribir a un ratio mayor de A.AA cps, de ahí que tu respuesta puede resultar incoherente mal pensada y/o emocional.
Un precioso tiempo te prevendrá de enviar un mail durante la próxima hora.

[Cancel]
-----------------------------------------------------------------


¿Aún estás seguro de enviar ese correo a la lista? :D


La historia completa.

Receta para el éxito en programación

Aprende a programar en diez años, traducido al español por Carlos Rueda, es un conjunto de puntos y pautas que nos marcarán el camino clave para poder empezar a escribir código, detalla perfectamente las instrucciones de como aplicar primer punto del post como colaborar en proyectos open source, es la parte más dura, sí, es cierto, pero también es la que más recompensas te traerá.

Son los mejores consejos que he oido para iniciarse en la programación, personalmente me quedo con este consejo:

"The best kind of learning is learning by doing. To put it more technically, "the maximal level of performance for individuals in a given domain is not attained automatically as a function of extended experience, but the level of performance can be increased even by highly experienced individuals as a result of deliberate efforts to improve." (p. 366) and "the most effective learning requires a well-defined task with an appropriate difficulty level for the particular individual, informative feedback, and opportunities for repetition and corrections of errors"

Y esta anécdota:

"One of the best programmers I ever hired had only a High School degree; he's produced a lot of great software, has his own news group, and made enough in stock options to buy his own nightclub.

Peter Norvig
Director of Research Google
"

15 diciembre 2007

No tiene precio

Portada en barrapunto: 2400 visitas

Portada en meneame: 2600 visitas

Comprobar como interesa a la gente lo que escribes, no tiene precio.



13 diciembre 2007

¿Cómo sobreviven algunos proyectos Open Source?

Un usuario, pregunta acerca de la financiación de un proyecto Open Source, de como se sustenta y sobrevive. Lo que a continuación escribo, es la traducción directa de uno de los desarrolladores del proyecto consultado en cuestión, una respuesta que puede resumir el estado actual de tanto proyecto Open Source al margen de los patrocinados por Google.

Traducido del original:

Es una cuestión muy difícil de contestar, déjame intentarlo. :)

Ninguno de los actuales desarrolladores de squid trabaja en él como parte de su trabajo diario, contribuyen con pequeñas aportaciones. Aparte de algún trabajo ocasional con contrato o por proyecto, hacemos esto por amor. Honestamente.
(Por ejemplo, Yo lo he estado haciendo recientemente para evitar estudiar en los éxamenes).

Pero esto no siempre ha sido así, -Henrik y yo, hemos trabajado para compañias que usaban squid y les gustaba (en mi caso) que hiciéramos pequeñas aportaciones.
Duane y Alex, fueron patrocinados hace tiempo por una beca de investigación. Nada de esto es realidad ahora mismo.

Squid tambien funciona relativamente mal comparado a lo que hay disponible en el mercado comercial hoy día pero no ha habido un verdadero empujón en arreglar esto hasta hace bien poco. Algunos otros proyectos han derivado en proxy/cache de entornos muy específicos con cargas de trabajo muy específicas, pero squid todavía es el mejor en cargas de trabajo "generales".

La desafortunada verdad es esta -Hoy día es más barato comprar $dispositivos_comerciales en pequeñas cantidades que invertir en un desarrollador de squid. Los grandes proyectos simplemente compran más equipos ya que es menos arriesgado que invertir en un desarrollador de squid. Para aquellos que squid "simplemente funciona", es "simplemente funciona" suficiente con configurar y dejarlo; Creo que somos víctimas de la loca habilidad de Henrik de corregir bugs como sustitutivo de dormir. :)

Cómo tenemos que comer, y la mayoría de los demás desarrolladores tienen familias etc por las que preocuparse, no podemos dedicar mucho tiempo simplemente a hacer "rellenos"por el arte de rellenar.

Creo que este es un buen comienzo. Hay otros temas pero he prometido no hablar de ellos.

Personalmente, intento cambiar esto de alguna manera. Anunciaré parte de lo que estoy haciendo en unos días. Estoy cansado de estar sin un duro y trabajando en squid - algo se tiene que hacer que me permita trabajar con squid, terminar la universidad finalmente -y- comer. :)

05 diciembre 2007

ISDC: De como se lo montan los phishers

Revisando el correo, me encuentro con uno de esos que tan acostumbrados estamos a ver, esos que nos avisan de un nuevo mensaje, o que tenemos un problema en el servicio X y tenemos que solucionarlo, pero no sabemos de que hablan a priori. Pues bien, ese, es el primer paso de un delicado camino, en el cual los ciberestafadores, se las ingenian para engañar a los usuarios de Internet más nóveles.

Tengo algo de tiempo, asi que veamos de que trata esto, como ya he dicho alguna vez, un buen administrador de sistemas tiene que saber como funcionan realmente las cosas, veamos:

Examinemos de una manera detallada el correo.


Primero, observamos que el enlace apunta a un sitio web un tanto peculiar. Algo desconcertante tratándose de algo oficial y no coincidiendo el dominio del correo con la url a la que nos quieren llevar.

Entremos en materia.
Nos descargamos ese enlace manualmente para ver que es lo que contiene:

ubuntu@ubuntu:~/phishing$ wget http://transchryver.net/manual/redirect.html
--16:16:03-- http://transchryver.net/manual/redirect.html
=> `redirect.html'
Resolving transchryver.net... 200.63.222.16
Connecting to transchryver.net|200.63.222.16|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 107 [text/html]

Ya lo tenemos, veamos entonces ahora:

ubuntu@ubuntu:~/phishing$ ls
redirect.html
ubuntu@ubuntu:~/phishing$ more redirect.html

</HTML>
<HEAD><meta http-equiv="Refresh" content="0;
URL=http://grante.org/login/"> </HEAD>
</HTML>

Mmmh, vaya, tenemos una redireccion inmediata a grante.org/login.
Ya que estamos aqui, un consejo, no utiliceis la tecnica refresh para redirigir. Usa estandares.

Vaya, es una pagina de un banco americano, tanto para esto, espera un momento, algo me huele mal, veamos el remitente del correo que estamos analizando, es office@granite.org, veamos esa pagina web. Confirmamos sospechas, granite.org es identica a grante.org. Pero como vemos en la imagen, firefox tambien nos avisa de ello gracias a la protección antiphising.


Aquí, con firefox, podemos reportar páginas de este tipo sospechosas de phising, a través de "Ayuda" -> "Informar de falsificación web".

NOTA: Actualmente, el sitio reportado está deshabilitado como podreis comprobar. Cuando realice estas pruebas, funcionaba perfectamente.


Resumimos secuencia y veamos que técnicas se han utilizado en este ataque mini-ataque phising:

1. Nos intentan engañar de alguna manera para realizar una accion determinada, en este caso hacer click en un enlace. Podriamos denominarlo Ingeniería social.

2. Se aprovechan de vulnerabilidades o debilidades de clientes de correo. En este caso, nos presentan un enlace que apunta a un sitio web malicioso. Esta vez era fácil, ya que simplente situando el puntero sobre el enlace comprobabamos a donde nos redirigiria.

3. La similitud del nombre de dominio confundiria a una gran parte de la gente. Una tecnica denominada cybersquatting.

ISDC: Ingeniería Social + Debilidad + Cybersquatting.

Como sé que todos los que leeis este blog lo haceis con firefox, cuando os encontreis con un correo de este tipo, reportad la página a la cual os llevan como fraudulenta, aportarás tu pequeño granito de arena en la gran lucha contra el phising.

01 diciembre 2007

Meme: ¿Cuales son los 10 mejores posts que has escrito en tu blog?

En algunos blogs, a veces, se pierden muy buenos contenidos. Por ello, muchos hacen resúmenes mensuales de las entradas. Leyendo un blog que hacía eso, se me ha ocurrido ¿cuales serán los X mejores posts del blog?. Pensando en el blog de un administrador de sistemas, he buscado (ejerecicio que recomiendo) y me han salido los que a continuación pondré. Tened en cuenta que la opinión es muy subjetiva, pero son unos posts que me gustan particularmente por mil motivos.

Quería compartirlo con vosotros, pero a la vez también quería descubrir que posts consideran los autores de otros blogs que son los mejores, para ello, nada mejor que convertirlo en meme.
Enumerad los 10 posts que querais con una pequeña reseña de el porqué.

Meme: ¿Cuáles son los 10 mejores posts que has escrito en tu blog?

1. Mitos sobre los usos desconocidos de los móviles: Un post que me pareció muy interesante cuando leí uno similar, me dedique a investigar un poco para recopilar esa información. Al final parece que el post intereso a la gente. Tuvo su efecto.

2. ¿Sólo en las películas?. Un escenario de el peligro de nuestra privacidad. Me interesa todo lo relacionado con la privacidad, me divertí escribiendo esa pequeña historia (o tocho infumable :)).
¿Alguno sabe de que empresa se podría tratar?

3. Imagina. Todos tenemos derecho a soñar.

4. Grep utilitiy question. A veces me gustá usar mi blog para fines personales, ¡qué!

5. Líderes tecnológicos que trabajan en Google. Open Source y los productos relacionados con Google, agitándolo, salió un posto como éste.

6. Desmitificando mitos de como acceder a páginas bloqueadas. A veces, me gusta llevar la contraria a algunos, o a muchos.

7. Posteadores en portadas. ¿Nuevo perfil profesional en Internet?. ¿Sere un visionario?

8. Las extensiones de firefox son las respuestas a muchas de tus preguntas. Un día inspirado.

9. Sí tienes un accidente, ¿cómo avisaran a tu familia?. A veces, la puedes liar en esto de la blogosfera.

10. Lee las instrucciones aunque no las siguas. Otras veces soy un sentimental.


Hay muchos más, pero ese es un pequeño resumen. ¿Y tú, cuales son los 10 mejores posts de tu blog?

No soy muy amigo de los memes, pero siento especial interes con éste por ver que piensa la gente de sus blogs. Por ello, envío este meme a Armonth, Magarto, Alcanjo, Inkilino, forat y a cualquiera que lo siga y me avise.

27 noviembre 2007

Las 5 estrategias clave de un administrador de sistemas

A veces, recibo algunos correos de lectores solicitando consejos para dedicarse a la administración de sistemas. Lo primero decir que el trabajo de un administrador de sistemas es como la RENFE, te encargas de que los trenes lleguen a su hora, pero la gente no se entera de eso a menos que lleguen tarde.
Otras veces, las tareas de un administrador de sistemas no están muy claras.
Pero lo que si está claro, es que la administración de sistemas es un trabajo nada agradecido, o "thankless job" como dirían los yankis.
Imagina realizar un popurrí de tareas, únelo a la interacción con personal (cualificado y no cualificado) y manten a la vez ese equilibrio necesario de adecuación y cumplimiento de políticas internas. Es por ello que muchas veces afloran intereses opuestos de responsabilidad, tensión con los altos departamentos y necesidad de cooperación y servicio hacia los demás.

Por otra parte, en cuanto al aspecto técnico del trabajo, existen 5 estrategias en mi opinión básicas para un administrador de sistemas, las cuales se pueden aplicar en casi cualquier tarea a realizar:


1. Planealo antes de hacerlo.

2. Haz que el cambio sea reversible.

3. Crea los cambios incrementalmente.

4. Testea, testea, testea y testea antes de ponerlo en producción.

5. Aprende como funcionan las cosas realmente.

Al menos, esto es algo que he aprendido en mi corta experiencia como administrador.
¿Se os ocurre alguna más?

20 noviembre 2007

4 motivos por los cuales las empresas no son seguras

Los estándares de seguridad están en auge hoy día aquí en España PCI-DSS, estándares como la ISO 27001, y otros más.. No es que vayan a resolver todos tus problemas, pero es una manera de conocer hacia donde se dirige tu organización.

En mi opinión, la mayoría de las organizaciones tienen un gran desconocimiento de los riesgos a los que se enfrentan, sobre todo aquellas con presencia en Internet, desconocen a los que se exponen, así como tambien cual sería el impacto en su negocio, pero... ¿cuales son los problemas a los que se enfrentan?:

1. Administración y gobierno: Toda la bibliografía al respecto indica lo mismo, si el CEO y el consejo de administración de una empresa no tienen la responsabilidad final de la seguridad del negocio, entonces es que no le prestan atención. En este aspecto, las tareas de un consejo de administración preocupado por la seguridad de su empresa serían: asegurar la supervivencia y solidez de la empresa a largo plazo, desde un punto de vista económico, competitivo y organizativo rigiendo principios de transparencia eficiencia colegialidad unidad y división de funciones.

La seguridad es EL problema del director. Los administradores de sistemas e ingenieros de seguridad, serían la herramienta que el director debería utilizar. Los directores tendrían que involucrarse directamente en las decisiones que conlleven riesgo. No necesitan conocer los aspectos técnicos, pero sí que riesgos se están introduciendo o disminuyendo según las acciones de la propia evolución de la empresa. No es decisión del administrador de sistemas donde invertir para mitigar riesgos. Es el director quién debería saber lo que vale en Euros la prevención de un riesgo.
Hoy día, los directores están más preocupados por otras aspectos de la empresa que en esto que estamos hablando.

2. Políticas y estándares: Lo he comentado al principio, los estándares de seguridad y las políticas no son la panacea. Hay que tener una efectiva capa de administración y gobierno para asegurar las buenas prácticas, así como tomar conciencia del entorno corporativo.
Hay que predicar con el ejemplo y nada mejor que aplicarlo en casa.

3. Conciencia del entorno: Llama la atención cuantas organizaciones presumen de ser seguras y de poseer fuertes medidas y controles de seguridad pero no tienen un concepto claro de lo que poseen. ¿Cómo puedes afirmar que tu organización es segura si ni siquiera conoces lo que tienes que proteger?. Rangos de direcciones IPs, sistemas, aplicaciones web, entornos corporativos...

4. Gestión de respuesta a incidentes: Si al final, algo falla, y ocurre un incidente de seguridad (ocurrirá), en el mejor de los casos, la compañía será consciente de lo que les ha pasado, pero si no hay un plan de acción ¿cómo va a responder rápida y efectivamente ante algún imprevisto?

Resumiendo

Puede haber mucha teoría en cuanto a la gestión de la seguridad en una organización, pero en este caso, a diferencia de muchas de las tareas de un administrador de sistemas donde lo que prima es la lógica y el sentido común, aquí hará falta un marco adecuado de medidas y políticas que englobe a todo el personal de la empresa para al final recaer toda la responsabilidad principal o la mayor parte de ella en el director y/o consejo de dirección.

19 noviembre 2007

Autenticación 2.0: La red de telefonía como esquema de autentificación remota

Imagina que estás en la web a punto de realizar una transacción importante. Después de hacer login y especificar la transacción, el sitio te presentará una página mostrándote una serie de teléfonos y preguntándote a cual de ellos puedes responder ahora mismo. Cuando seleccionas el número, el sistema crea una llamada telefónica y a los pocos segundos tú teléfono suena. El sistema sincroniza la llamada telefónica con la sesión web (para asegurar que únicamente quién responde la llamada puede completar la transacción), quizá realiza alguna autenticación adicional, y entonces un mensaje a través del teléfono te indica un código de autorización.




Este método es lo que se denomina Autenticación de factor 2, existen otros tipos de autenticación de factor 2, uno de ellos lo conocemos muy bien y lo usamos casi a diario, sí, cuando vas a sacar dinero a un cajero, lo haces mediante una tarjeta de crédito/debito (algo que tienes) y con un pin (algo que conoces). Por otra parte, cuando realizamos una transacción con nuestro banco a través de Internet, lo hacemos mediante el mecanismo más debil de autenticación, usuario/password y sobre la red, pero menos mál que los sitios online de banca utilizan el protcolo seguro HTTPS , el cual no nos sirve de nada si cualquiera tiene nuestros datos de acceso, gracias a los key-loggers, una mirada por encima del hombro o cualquier otro método que no mencionaré. Es por ello que los bancos están obligados a cambiar de esquema de autenticación de sus usuarios si no quieren seguir siendo carne de phising.

Authentify posibilita este tipo de autenticación de 2 factores, pero existen muchos otros tipos como ya he dicho anteriormente pero que los dejo como ejercicio de descubrimiento del lector. ;)

Al fin y al cabo, la red telefónica es una de las mayores infraestructuras que tenemos después de Internet.

18 noviembre 2007

Curioso anuncio de empleo en el País.


¿Te encanta el olor a código fresco por la mañana?

Este tipo de anuncio me ha hecho pensar, si hasta hace poco eran los anuncios en inglés los que ya de entrada filtraban a un gran número de posibles candidatos, ¿por qué no realizar anuncios de empleo con código XML, perl o algoritmos describiendo los requisitos de los candidatos o direcciones de contacto?. Algo así como los que ya hizo Google, pero a menor escala.

De cualquier modo, la curiosidad me llevó a descubrir un nuevo sitio social de la web 2.0

15 noviembre 2007

Culturilla básica de un informático apasionado

¿Cuántos ingenieros conocen Slashdot o Barrapunto? ¿cuántos han participado en proyectos de software libre? ¿quiénes han mirado el código que otros han desarrollado? ¿cuántos se han presentado en uno de los tantos concursos de programación? ¿cuántos leen los ensayos o artículos de Larry Wall (genio del Perl), Paul Graham (gurú de las start-ups), Joel Spolsky, Marc Andreessen (creador de Netscape) o Lawrence Lessig (creador de Creative Commons)? ¿cuántos además de hablar y exigir tanto Java desde el primer día leen el blog de Jonathan Schwartz (CEO de Sun)? ¿cuántos consultan o colaboran con la Wikipedia? ¿cuántos están deseosos de hacer programas que lo use "la gente" que no "las empresas"?


Yo añadiría; ¿Cuantos siguen de cerca un proyecto Open Source aunque al principio sólo sea como observador? ¿Cuantos conocen los beneficios de participar en ese tipo de proyectos?
¿cuantos gastan todas las posibilidades de solucionar algo antes que preguntar?.
Un consejo, si has terminado o estás terminando la carrera de informática o telecomunicaciones y de verdad te apasiona, no seas carne de becario, avanza y participa en un proyecto Open Source. Hay miles.

07 noviembre 2007

¿Qué ocurre cuando unos hackers intentan gastar una broma (defacement) a su maestro?

HA.CKERS.ORG es un gran blog sobre seguridad, Robert Hansen aka RSnake está detrás de él, realiza una gran contribución a la seguridad de las aplicaciones web a través de su blog y con numerosos artículos que ha escrito.

Ha construido toda una comunidad alrededor de su blog, siempre con sanas discusiones sobre los artículos escritos en su web. Pero dos lectores asiduos, intentaron gastarle una broma, (él no se la tomo así) sin éxito.


¿Qué les ocurrio?


Mejor, leerlo en la entrada original Owning ha.ckers or not, no tiene desperdicio. Esos "guys" se lo pensarán antes de intentar hacer otra cosa similar. :D

31 octubre 2007

Singular presentación de seguridad web

Sí a una presentación de seguridad web le añadimos un toque de originalidad y un escogido diseño obtendremos algo como:



Merece la pena ver la presentación conozcamos o no los términos que en ella se exponen.

Un gran trabajo creativo de Joe Walker.

26 octubre 2007

Llegó, la plataforma web integrada en el entorno de escritorio

En el post anterior mencionaba el cambio de plataforma en el uso diario del ordenador, y de como el S.O ha dejado espacio para el entorno web donde podemos encontrar y utilizamos las aplicaciones de a diario. Pero, ¿y si se junta lo mejor de los dos mundos?.

Imagina tener cualquier aplicación web integrada en el escritorio como si de un programa más de tu equipo se tratase.



De eso trata prism, un proyecto de mozilla, donde cada aplicación web se puede integrar en el escritorio sin necesidad de tener que adaptar las aplicaciones para ello, ya que cualquier aplicación que se pueda ejecutar en un navegador moderno como firefox, se podrá ejecutar en prism.




Sin duda puede ser un gran paso para los usuarios noveles, que veran lo mejor de los dos mundos en uno solo.

18 octubre 2007

Nuevas amenazas; Rootkits de navegador. Protégete.

Muy lejos quedan aquellos tiempos en los que los rootkits te daban todo el control de un sistema simplemente parcheando "bajo la sombra" código del kernel.
Los tiempos cambian, y el S.O ha ocupado un segundo lugar dando paso al navegador web como "middleware", es decir, la fuente principal de trabajo de todo usuario hoy en día. Hoy ya no se concibe un ordenador sin navegador web. De ahí, que tambien el navegador web se ha convertido en el principal objetivo a comprometer.



Gran parte de un navegador puede estar escrito en lenguajes de script como Python o Javascript y se apoyan en formatos como XML, RDF, XHTML y más. Diversas tecnologías unidas y con un enfoque completamente diferente al entorno que subyace en el S.O, hacen de los navegadores web, un elemento totalmente aislado de la protección de los más modernos sistemas antivirus actuales.


Los nuevos antivirus y agentes antispyware van a tener un duro trabajo por delante, ya que lenguajes basados en prototipos como javascript pueden mutar facilmente, e incluso XML que es bastante dinámico tiene unas poderosas características polimórficas en conjunción por ejemplo con un simple XSLT.

Si antes los rootkits podían infectar un S.O específico. Hoy día, un rootkit de navegador puede estar en cualquier S.O teniendo en cuenta la propia naturaleza de los navegadores web que son independientes de la plataforma en que se ejecuten, como por ejemplo firefox.

Mientras esperamos a ver como se desarrollan los acontecimientos, dejad en un segundo plano los firewall y antivirus y echar un vistazo a NoScript, si no quereis tener algo más que un susto. Avisados estais.

16 octubre 2007

El pasaporte británico expira a los 10 años, pero el chip a los 2.

Y es que los gobiernos no saben usar la tecnología, al menos en otros países de Europa como Holanda o Reino Unido. No así en España, donde te explican como si de las instrucciones de un móvil se tratara, algunos de los elementos de seguridad del nuevo DNIe.

"Además, el documento incorpora un número único, una clave pública que se asocia al DNI y el titular dispone de una clave privada que se estructura como un código PIN alfanumérico, donde la huella digital actúa como código PUK." Fuente original.


Parece que al final en España algo se hizo medianamente bien, no utilizaron tecnología RFID para el DNIe. Aunque....tiempo al tiempo.



03 octubre 2007

Hacker, éste es tu trabajo ideal

Me embargaba una sensación de total entusiasmo... Trabajaba constantemente días enteros hasta terminar, y era estimulante. Había momentos en que no quería parar [...] La actividad del hacker es tambien gozosa. A menudo se enraíza en exploraciones lúdicas.

"La ética del hacker". Pekka Himanen.

sistemas
Para seguir adecuadamente esa filosofía es preciso tener (o recuperar) esa actitud de disfrute y pasión. Es preciso que te importe. Necesitas jugar. Tienes que querer explorar. ¿Qué a que viene todo esto?. Corto y pego una oferta de trabajo que he visto y ha llamado mi atención:

-----
Closing Date: 2007-10-26

HACKERS this is the job that will make your day...

I'm a pen-test and research specialist recruiter currently looking to make contact with some of the best hackers in the world...

I'm currently recruitng for positions in 5 countries, and need to find some of the best of the best hackers in the world for my client. The role is client facing and, but NOT a sales role where you're expected to sell add-ons and hit targets. The role is for a REAL TECH-LOVER.
I'm really looking for people, ideally from programming and development backgrounds, with skills across all areas of pen-test including code-audit, network, web-apps, wireless, infrastructure review, VoIP/War Dialling, Protocol level testing, Social Engineering, Reverse engeneering, RFID testing, Database Testing etc etc.

The client will give you 25% of your time for personal research projects, and you WILL be expected to attend global security conferences like Blackhat and Defcon as part of your "keeping up with the trends" research. The role is really as good as it sounds, and it's the kind of thing that really, only the best need apply for.

The role is a truly unique opportunity for some truly unique individuals.

Apply today in total confidence. Your details will be kept totally secret until you are happy with the role and the company i have. Please apply with salary.


JOB REQUIREMENTS
---------------------------------------------------



CONTACT
---------------------------------------------------
call or email

(si quereis los datos pedirmelos personalmente :D )


¿Qué opinais de esta oferta? ¿No os parece realmente interesante?

30 septiembre 2007

SEO, no podrás con la wikipedia

Hace tiempo que llevo persiguiendo un pequeño objetivo con este blog, posicionarlo en primer lugar para la búsqueda "administrador de sistemas", fue algo que se me ocurrio cuando me empece a interesar por las técnicas SEO.

He ido comprobando durante meses como subía posiciones, únicamente creando contenido, y ahora veo que llego a un punto donde difícilmente podré menear ficha. (ver imagen).



Y es que wikipedia está ganando mucho poder sobre gracias a google.

Datos del tráfico de la wikipedia.

Por otra parte, 4 millones y medio de resultados para "administrador de sistemas" no esta nada mal ;)

27 septiembre 2007

¿De dónde procede el término O-day de los exploits?

Últimamente se oye mucho sobre 0-day exploits, quicktime con firefox, pdf con windows, google desktop 0day, myspace 0day y tantos mas..

El término 0day se refiere a exploits existentes y en uso para los cuales aún no se ha publicado la vulnerabilidad y por supuesto, no hay parche.

El flujo que se espera en cuanto a la gestión de la seguridad de un administrador de sistemas es el siguiente:
  • Grupo de hackers descubren vulnerabilidad. (pasan días)
  • El fabricante proporciona el parche de seguridad. (pasan meses)
  • El administrador de sistemas aplica el parche en sus sistemas. (pasan meses)
  • Aparece el exploit y es explotado por gusanos y script-kiddies o PACHers. (pasan meses)
  • El administrador de sistemas que no ha parcheado sufre una intrusión y tiene un incidente de seguridad.
Cuando en realidad lo que ocurre con un 0-day exploit es lo siguiente:
  • Aparece el exploit y es explotado por gusanos y crackers. (pasan días)
  • El administrador sufre una intrusión y tiene un incidente de seguridad.
Y como nota curiosa, ¿de donde proviene el término 0-day?

El término 0-day fue acuñado por un ingeniero de seguridad disléxico que escuchaba
mucho a Harry Belafonte mientras trabajaba durante toda la noche y bebiendo ron. :D



vía lísta de seguridad web

26 septiembre 2007

PACHers los nuevos script-kiddies

Los script-kiddies han dejado paso a los PACHers (Point and Click Hackers). Si antes se utilizaban aplicaciones como Back Orifice o Netbus entre otras, ahora los PACHers se aprovechan de los MPack para conseguir sus fines. Hay un libro muy entretenido que habla sobre ellos.

logadmin

Los tiempos cambian, por lo que hay que adaptarse, y los script-kiddies PACHers no son ajenos a ello. Por eso, a parte de MPack será interesante ver que otras herramientas pueden estar utilizando:

SpringenWeek: Scanner de seguridad de Cross Site Scripting, escrito en phyton.

AppScan: Completo software de rastreo de vulnerabilidades web. Versión Comercial.

WebInspect: Scanner de los más completos en los días actuales de la dinámica web 2.0

N-stalker: Scanner de seguridad de HTTP. Con versión comercial.


PACHers, existen mejores maneras de aprovechar el tiempo, si os gusta la investigación de vulnerabilidades, invertid positivamente el tiempo, y colaborad en algún proyecto open source de vuestro interes. Lo agradecereis ambas partes. ;)

20 septiembre 2007

¿Cuales son las compañías que más contribuyen en el kernel de Linux?

(Unknown) 111777 16.9%
(None) 99649 15.0%
Red Hat 84224 12.7%
IBM 39449 5.9%
Oracle 36205 5.5%
Renesas Technology 33152 5.0%
HP 18718 2.8%
Tripeaks 18567 2.8%
Novell 17990 2.7%
Emulex 15942 2.4%
XenSource 15426 2.3%
Intel 14962 2.3%
Sony 11945 1.8%
Analog Devices 10345 1.6%
rPath 9678 1.5%
MIPS Technologies 9171 1.4%
Solid Boot Ltd. 8937 1.3%
MontaVista 8065 1.2%
PMC-Sierra 6888 1.0%
Astaro 6687 1.0%

RedHat mantiene su puesto entre las primeras posiciones como compañia que más código
aporta en el kernel de Linux.
"None" nos da la cantidad de desarrolladores que se dedican a ello en su tiempo libre y no
como tiempo dentro de su empresa.

Tambien se puede ver en que partes específicas del kernel se centra cada una, con lo que se pueden sacar conclusiones como que RedHat se centra en el área central del kernel pero no le
gusta nada documentar.


Gracias a Greg Kroah-Hartman por realizar los scripts que hacen posibles esas estadísticas entre otras muchas más.

Microsoft requiere desarrolladores de Linux

Sí, nada mas y nada menos diciendo:

Desarrolladores de Linux, ya es hora de que uses todos tus conocimientos en Microsoft.
[...]

La oferta de trabajo es para el cuartel general de Microsoft en Redmond. Concretamente en el equipo de interoperabilidad. (Este equipo se debio crear hace poco). :D

Microsoft, habeis llegado tarde, todos los buenos desarrolladores de linux estan en Google.

[C y P] de la oferta.

Please do not contact the senders of job ads if you are not a direct
applicant
or considering applying for the job. Check the jobposts policy at
http://www.linuxchix.org/content/docs/listinfo.html#jobposts

My name is Steve Rath, Talent Sourcer, with Microsoft Corp. I recently
located the Linuxchix site and was hoping to find a few good
C++/Linux/UNIX developers interested in our Microsoft job opportunities! The
position is located at Microsoft's HQ in Redmond.

The purpose of my email is to seek permission to post this job
requirement. MS accepts H1-B visa transfers and will handle relocation.
Unfortunately we can't apply for new H1 visas at this time. If any of
your members are interested in learning more about the opportunity with
Microsoft they can respond to me with a recent copy of their resume in
Word format?

Thanks! Steve (my contact info is below)


Calling all closet Linux developers...the time is NOW for you to put
your Linux skills to use at Microsoft!!! The System Center Cross-Platform
& Interop team is tasked with building the infrastructure required for
the System Center suite of management products to manage non-Windows
operating systems like Unix, Linux, AIX, and HP-UX - this includes
extending Operations Manager (formerly MOM) and Configuration Manager
(formerly SMS). This expansion more than doubles the addressable market for
System Center. If you like the challenge and excitement of version
one projects and want to be involved in a central, strategic effort, the
System Center Cross-Platform & Interop team is the team for you. Be a
part of a rapidly growing and very passionate team that wants to take
Microsoft to the enterprise management level to compete head on with HP
OpenView and IBM Tivoli - and win.

The System Center Cross-Platform & Interop product team is looking for
a software development engineer candidate that is passionate about
managing more than Windows through our management suites. This is a
unique opportunity to be a pivotal part of a sea change in strategic
direction for Microsoft. This position provides the right candidate with
the opportunity to have a strong product wide impact, working with a
top-notch feature team to deliver what customers have been demanding for
years. This position will work closely with PM and test to deliver a
world-class solution.

It is a requirement that the candidate be able to learn the product
quickly and be very hands-on in the evolution of the product. The
candidate must have 5+ years of professional development experience. Strong
design skills and experience working on shipping products is required.
Expertise in C++ on Windows and non-Windows platforms is a must. Broad
areas of expertise are a major plus for this position - this position
requires driving the product development end-to-end. Skills in XML, CIM and
architecting complex products are all strongly preferred. Experience
working hands-on with C# and other .Net technologies is a plus. Previous
experience managing people is a plus but not required. Good
communication skills and ability to work with diverse set of people to drive and
ship the product is required. BA/BS or MS degree in Computer Science or
equivalent field experience required.

Qualified candidates should have

* Passion for and strong customer and partner empathy

* Systems administration experience, preferably in a
heterogeneous environment

* Excellent communication abilities

* Proven track record of working on challenging cross-team
initiatives

* Technically smart, logical and able to learn new areas
quickly

Basic Requirements

* 3 years of C++ coding experience

* 3 years of Windows coding experience

* 2 years of Linux/Unix coding experience

* Degree in computer science



Steve Rath
Recruiting Consultant
Search Wizards at Microsoft
Management & Solutions Division (MSD)
(770) 803-0444 (dir EST)
(404) 932-2123 (cell EST)
https://www.microsoft.com/careers

16 septiembre 2007

¿Alguien da más?. En España NO.

Más de lo mismo, ya lo sabemos, pero el otro día hablando con un amigo me comentó lo de este buscador y simplemente te cuesta 5 minutos hacer la prueba con cualquier perfil.

Juzgad vosotros mismos.

Situación: dice.com un buscador de profesionales en tecnologías de la información en Estados Unidos. Tecnoempleo.com lo que sería el equivalente en nuestro país.
Busca 2,3 pérfiles similares en cada uno y compara el campo pay rate/salario honorarios.

Administrador de sistemas linux en dice.com: $70,000-100,000
Administrador de sistemas linux en tecnoempleo.com: 15000 € - 21000 €

Administrador de sistemas windows en dice.com: $110,000.00
Administrador de sistemas windows en tecnoempleo.com 24000 € - 30000

Programador java en dice.com: $160-$175k !!!
Programador java en tecnoempleo.com: 15000 € - 21000


Y la cara que se te queda al comprobarlo no tiene precio.
Consigue ya tu greencard.

15 septiembre 2007

Navarparty V

Lo que en el 2003 empezó como proyecto de unos cuantos entusiastas, el jueves 20 de septiembre, llega a su 5ª edición.


Tras muchas horas de dedicación personal, entusiasmo, estress y falta de sueño, el grupo de conocidos y hoy amigos que empezaron con este proyecto, este año vuelven a organizarlo con toda la ilusión y experiencia acumulada de las ediciones anteriores.

Si bien colaboran empresas con su patrocinio, hay que destacar que la Navarparty esta ahí gracias a la dedicación y entusiasmo de las personas que la organizan. El apoyo de la gente que organiza la Euskal Party es un punto a destacar en la edición de este año.
La satisfacción personal es la mejor recompensa que los organizadores pueden tener. Aunque bien es cierto, que los patrocinadores o el propio Ayuntamiento podría ayudar en este punto. ;)

Interesantes talleres y conferencias los que se van a desarrollar.
Nos vemos por ahí.

09 septiembre 2007

Muevete por Google como en VI

Realiza una búsqueda en google, y en la url resultante escribe a continuación
&esrch=BetaShortcuts

En la parte derecha, te aparecerá un recuadro indicando los posibles movimientos con el teclado, muy similar al uso del editor VI.

donde podrás menearte entre las búsquedas, elegirlas o volver a buscar, como si lo hicieras en VI.


Muy útil para aquellos que evitan el uso del ratón.

Experimental.

08 septiembre 2007

¿Estas seguro que estas seguro?

La seguridad es una de las principales características que debe tener un administrador de sistemas, le siguen los conocimientos de redes, un pérfil autodidacta infatigable y un conjunto de técnicas de programación y SOs. Al menos ese es el resultado de la última encuesta que hice a lectores de este blog.


No puedo estar más de acuerdo en cuanto a la importancia de la seguridad, por lo que a continuación daré unos cuantos recursos de webs y blogs relacionados con ella que pueden sernos muy útiles en nuestros objetivos y formación, o porque no, tan sólo por diversión;

-Consorcio de seguridad web, clasificaciones de tipos de ataques web existentes con el objetivo de ser un estándar a consultar.
http://www.webappsec.org

- El gurú de la seguridad.
http://www.schneier.com/blog/

- Algo así como un barrapunto de la seguridad
http://www.cgisecurity.com/

- Otro gurú de la seguridad.
http://jeremiahgrossman.blogspot.com/

- No comments. :D
http://ha.ckers.org/blog/

- Múltitud de recursos y proyectos, incluso un capítulo español.
http://www.owasp.org/index.php/Main_Page


Veámos tambien algo de por aquí, que lo hay y muy bueno.

- Seguridad y tecnologías de la información.
http://www.hispasec.com/

- Noticias de seguridad. Aunque hayamos tenido algún "encuentro". ;)
http://www.kriptopolis.org/

- Blog español sobre seguridad.
http://vtroger.blogspot.com/

- Un blog jóven, pero viendo quién está detrás de él, no hay nada más que decir.
http://blog.s21sec.com/

Actualización gracias a corsaria.
- Blog de un auditor de sistemas de un gran banco, aunque no es informático. ;)
Buen blog.
http://www.sahw.com/wp


Espero ver más sugerencias de recursos y blogs sobre seguridad que conozcais.

23 agosto 2007

Buenas expectativas para los administradores de sistemas

Si hace varios días se hablaba sobre la gran demanda de programadores, lo cierto es que el sector de la Informática en España vuelve a resurgir, como ya pasó en 1998.

Las expectativas para el 2007 son muy buenas, especialmente, los puestos con más demanda por este orden son:
  1. Técnicos de redes.
  2. Programadores
  3. Administradores de sistemas

¿Será más estable este escenario que el de 1998?, pues parece que sí, están todos los ingredientes tanto en lo privado como en lo público, dediquémonos ahora a realizar lo que más nos apasiona con más motivos aún si cabe, y quien sabe, cómo y cuando podrás hacerte valer.


07 agosto 2007

Tus fotos digitales "modificadas" pueden revelar cosas que no querías

La mayoría de las camaras digitales almacenan información extra, conocida como "metadatos" con tus fotos. Esta información extra capturada por tu cámara, se denomina datos EXIF (Formato de archivo de imagen intercambiable).

La mayoría de software de manipulación de fotos soporta la lectura de esta información, de hecho existen muchas herramientas para la lectura, edición, extracción y conversión de información EXIF. Incluso existe un plugin de visor Exif para firefox.

Todo esto, no lo debía saber RSnake cuando puso la tarjeta de uno de los desarrolladores principales de Mozilla en el post de los 10 putos días. RSnake quiso ser amable, y para ello
oculto el teléfono que venía en la tarjeta con unas líneas blancas, pero alguien lo hackeo con la ayuda de EXIF.


¿Todavía te fiaras de tapar la cara o datos personales cuando muestres alguna foto en tu blog?

El problema de la seguridad EXIF.

06 agosto 2007

Hay que confiar en algo...

.. tu instinto, el destino, la vida, el karma,
lo que sea.

No perdais la fé.

No os conformeis.

El trabajo va a llenar gran parte de vuestra vida,
y la única forma de estar realmente satisfecho es hacer
lo que considereis un trabajo genial.
Y la única forma de tener un trabajo genial es amar
lo que hagais.

Tened el coraje de seguir a vuestro corazón y vuestra intuición.

Recordar que vas a morir es la mejor forma que conozco
de evitar la trampa de pensar que tienes algo que perder.

Steve Jobs en "El discurso"


Lo dicho, hoy he tomado una de esas decisiones qué hay que tomar y te cambian en algún sentido (para bien o mal, sin riesgo no hay nada) , pero hay que confiar...

El contenido del blog seguirá siendo similar pero a veces, orientado a otros aspectos más específicos de la administración de sistemas, aunque ya tenga algunas pinceladas ;)

04 agosto 2007

Ingeniero de calidad de mozilla: "10 putos días"

Eso es lo que pone, "10 putos días" de forma manuscrita en la tarjeta personal que le dejo Mike Shaver a RSnake como respuesta a los recientes fallos descubiertos en el navegador, todo ello en el fondo de la convención blackhat.

10 putos días es lo que tardarán en corregir los fallos, o eso dicen.

Podeis ver la tarjeta en el post de RSnake.

Pues eso, a esperar 10 días para comprobar si esas reuniones de Blackhat sirven para algo, o sólo para hablar demasiado con exquisitos cócteles en la mano.

02 agosto 2007

Cómo acceder a zonas web restringidas sin tener que registrarte, y más...

Antes de nada, decir que la técnica con el sitio de ejemplo es completamente legal, por ello no me hago responsable de cualquier otro uso que se le pueda dar.

Todo empezo con el post de los expertos de exchange. El problema era que buscando la respuesta a una consulta técnica, llego a una web donde parece estar la solución, pero para visualizarla es necesario un registro previo pago. En esto, un lector me deja en los comentarios lo siguiente;


El lector tenía toda la razón, pero logadmin también (sin alter ego), ¿qué estaba pasando entonces?


Simplemente que estabamos viendo dos versiones diferentes de la misma página, ¿a qué me suena esto?

Cloaking: Cloaking is a black hat search engine optimization (SEO) technique in which the content presented to the search engine spider is different from that presented to the users' browser. This is done by delivering content based on the IP addresses or the User-Agent HTTP header of the user requesting the page.

Pero en este caso, en vez de mostrar una versión diferente de página basándose en IP o la cabecera HTTP "User-Agent", lo hacía basándose en una cookie que deja al usuario.

Video demostrativo.

Lo único que tienes que hacer para ver las soluciones, es bloquear las cookies de ese sitio web. .
¿Legal, ético por parte de experts-exchange?,
no entro en ello, pero lo que sí hacen es primero intentar que el usuario pague por ver el contenido, y luego mostrarlo.


La solución es tan sencilla como bloquear las cookies
de ese sitio web.

Otra solución puede ser accediendo al sitio web a través de la cache de google.

Y aún otra solución más (esta sólo la recomiendo para experimentar), cambiando la cabecera HTTP "HTTP_USER_AGENT", en firefox con la ayuda de Agent Switcher e importando una gran lista de agentes.

Ya teneis bastante para experimentar por vuestra cuenta.




Gracias rever.

Plugin para capturar cualquier página o imagen con scroll

Por un comentario del post anterior, necesitaba crear una imagen de toda la pantalla completa (con bastante scroll) para demostrar lo que estaba viendo en contra de lo que decía el usuario.

Para ello, utilizando pearl crescent, puedes conseguir imágenes como la de abajo :D



01 agosto 2007

Los expertos de exchange deberían eliminarse de los resultados de Google

Buscando un software para monitorizar la temperatura de la CPU, llego a la página de experts-exchange donde alguien buscaba lo mismo, pero justo al ver la recomendación del software, me encuentro con esto:



Vaya, un servicio de pago, aparece en los primeros puestos de resultados pero hay que pagar para ver la solución, mmmh, esto no concuerda con la guía de uso de Google. Antes de hacer nada, hago otra búsqueda, a alguien más le tiene que haber pasado esto, la búsqueda "experts exchange google webmaster guidelines" muestra el primer resultado donde alguien le ha ocurrido lo mismo, y ha reportado la página de experts-exchange a google como spam.

La cache de Google muestra una versión diferente de la página de experts-exchange que la presentada al usuario, esa práctica (aka cloaking) está penalizada por Google. En este caso si me parece lícito "chivarme a google", (aunque ya lo hayan hecho antes.)
¿Harán algo al respecto?

31 julio 2007

Tip: Grepea en colores

Puede parecer muy sencillo, pero las cosas más sencillas a veces de tan obvias las pasamos por alto, y este tip es uno de esos, el usuario o administrador de sistemas que suela utilizar la poderorsa y simple utilidad grep, lo agradecerá.

La salida del grep se puede poner en color, útil para observar a primera vista la cadena que buscamos de toda la secuencia que nos muestra o para ver que nos falta en esa expresión regular que no es lo que creíamos.

Simplemente añade --color a la línea de comandos cuando realices la búsqueda.

#grep -i --color nel /var/log/messages
/var/log/messages:Jul 30 20:49:56 logadmin kernel: tg3: eth0: Link is up at 100 Mbps, full duplex.
/var/log/messages:Jul 30 20:49:56 logadmin kernel: tg3: eth0: Flow control is off for TX and off for RX.
/var/log/messages:Jul 30 11:38:16 logadmin squid[11477]: urlParse: Illegal character in hostname 'www.chanel%20cuatro'

Hazte la vida más fácil.
alias grep='grep --color=tty -d skip'

30 julio 2007

EEUU deniega la entrada a un alemán por el material que llevaba para la BlackHat

El propio Dullien lo define en su blog.

En ediciones pasadas de la BlackHat, había hecho presentaciones y su contacto con la organización de la "BlackHat" era individual, no con su compañía. Después de estar más de 4 horas interrogado en Inmigración acerca de sus documentos, quien era y a que se dedicaba exactamente, lo pusieron de vuelta a Alemania sin permitirle la entrada a los EE.UU.

La razón oficial: Es una persona privada participando en la BlackHat, pero al tener su propia compañía en Alemania tenía que haber entrado a los EE.UU como un "empleado de una compañía" y ya fue tarde para cambiar el documento de entrada.

Increible.

28 julio 2007

Antes de construir el futuro, tienes que conocer el pasado

Esta afirmación tan cierta para conocer la historia del mundo y saber las verdaderas razones de los conflictos actuales de los países, sirve tambien de igual manera en el mundo de la tecnología.

Un libro de programación en linux de 1998, puede enseñarte entresijos que nunca imaginaste.

- Linux utiliza mecanismos tradicionales de Unix para los permisos de usuarios y grupos. Un proceso activo tiene asociados un uid y gid, pero se vio la necesidad de crear un mecanismo adicional para las restricciones de múltiples proyectos con accesos a miembros de diferentes grupos. Nacen los grupos suplementales.
La constante NGROUP disponible en especifica a cuantos grupos suplementales puede pertenecer a un proceso, por defecto a 32.
Ahora entiendo porque siendo miembro de más de 40 grupos en samba, algunos permisos bien dados fallaban.

- ¿Porque un usuario normal puede cambiarse su password
pero únicamente el usuario root puede escribir en ese archivo?

En ese libro encontraras la respuesta a muchas de las preguntas tan básicas pero necesarias de un sistema GNU/Linux.

19 julio 2007

¿Qué hay de malo en la programación de los 80?

"He trabajado muchos años en el kernel de FreeBSD, y rara vez me aventuré en la programación de espacio de usuario, pero cuando alguna vez lo he hecho, invariablemente he encontrado que la gente programa como si todavía estuvieramos en los 80."

Poul-Henning Kamp, Varnish architect and coder.


No hay nada malo en la programación de los 80, al contrario, era brillante (salvo casos), lo único que hoy estamos en el 2007, programemos entonces acorde a nuestros tiempos y la tecnología actual. Es lo que se deduce de las notas de la arquitectura de varnish.

Algunos citas extraidas.

"Hoy día los ordenadores no tienen dos tipos de memoria como antes."

"¿Qué ocurre cuando la complicada administración de memoria de squid entra en lucha con la complicada administración de memoria del kernel?, lo mismo que en una Guerra Civil, nadie consigue nada."

"La memoria virtual sirve de apoyo a un programa cuando los datos no caben en la memoria física, pero la gente todavía no cae en ello."

17 julio 2007

Cuida con las fotos que tienes en el móvil...

En este caso le salio bien, pero quien sabe... :)

Historia real.

Un amigo en SanFermines víctima de los excesos, pierde le roban su móvil.
Al día siguiente se da cuenta pero ya lo da por perdido, así que bloquea la tarjeta y decide no denunciarlo, no estaba muy seguro, y eso que este año el número de denuncias ha credido considerablemente.

A los 5 días de haberlo perdido, recibe una llamada de la comisaría diciendo que tenían su móvil. ¿Cómo habían conseguido saber quien es el dueño si la tarjeta estaba bloqueada y no lo había denunciado?

Aunque la tarjeta estaba bloqueada, accedieron a las fotos de la memoria del movil, en ellas, había una foto de un coche en el cual se observaba la matrícula (semanas antes le habían hecho una broma a alguien en el coche y le tomaron fotos), la policía localizo al dueño de ese coche y le cito en comisaría para saber si esta persona conocía al dueño del móvil, y así fue.

nokia n70

El dueño original recuperó su móvil con la tarjeta bloqueada y sin haberlo denunciado.

Así que ten cuidado, nunca sabes quién podrá ver las fotos de tu móvil.

16 julio 2007

Las 2 herramientas más poderosas y sencillas para desarrollar software en GNU/Linux

¿Para que complejos entornos de programación aka IDEs para desarrollar código open source si lo puedes gestionar con dos simples y poderosas utilidades?

  1. VIM + CTAGS.

  2. #find . -type f -print | xargs grep lo_que_busques

Con esas dos utilidades/scripts podrás hacer frente a grandes proyectos Open Source sin necesidad de usar pesados entornos gráficos de desarrollo.

11 julio 2007

El mes del administrador de sistemas

El 27 de julio, es el día del "Administrador de Sistemas". Sí, aquella persona que hace funcionar el servidor de correo que utilizas, rescata el archivo que borraste accidentalmente, y hace que sea posible que te diviertas viendo todos esos videos de youtube, entre miles de cosas más. Esa persona anónima, hasta que algo falla.

Pues bien, los de OpenDNS, no quieren que sea únicamente un día el dedicado al administrador de sistemas, sino todo el mes de Julio, y para ello estan preparando divertidos concursos donde puedes contar historias de cosas imposibles que te pidio tu jefe, como buscar la IP 127.0.0.1 en la red porque estaba dando problemas.

OpenDNS con el SysAdmin.

Meme literario: La ética del hacker

Alcanjo me pasa este meme. Consiste en coger el libro que estás leyendo actualmente o uno que hayas leido, ir a la página 139; tomas el segundo párrafo y lo colocas junto al título del libro.

Como el libro que me estoy leyendo ahora es en inglés (nivel medio) y no llega a las 100 páginas, lo hago con uno de los libros que recomendé en un post de hace días.

"El tono religioso del desarrollo personal deja claro que aun cuando este método se orienta al logro de la meta futura, desde un punto de vista psicológico no es sólo instrumental. La vida, en términos espirituales, se hace más llevadera en la sociedad red si cabe recurrir a un método bien definido en cuyos poderes de salvación pueda uno creer de forma incondicional, y tal es la razón por la cual tanto las enseñanzas del desarrollo personal como las del fundamentalismo han llegado a ser tan atractivas en la sociedad red."

Pekka Himanen. La ética del hacker.

Se lo paso sin ningún compromiso a magarto y a tí usuario que estás leyéndome ahora.

10 julio 2007

Los hackers hoy más que nunca luchan por la libertad

Con un simple

logadmin@logadmin-desktop:~$ grep -ir gpl /usr/include/*

podremos observar en nuestro sistema cientos de archivos y programas usando la GPLv2 de 1991. Y ver ahora como sale adelante la GPLv3, nos demuestra a toda la comunidad del Software Libre que los auténticos hackers están luchando hoy más que nunca por la libertad y la cultura. El software es una de las mayores manifestaciones del conocimiento del hombre.

En breve, tendremos en nuestros sistemas esta nueva licencia, pero ¿por qué es tan importante?

Por qué actualizar a la GPLv3 es un extenso documento de Richard Stallman donde expone las ideas principales de la importancia de actualizar a esta nueva versión de la licencia GNU.

Samba es uno de los primeros proyectos Open Source que ha migrado a esta nueva licencia, pero...

¿Por qué deberían los proyectos Open Source actualizarse a esta nueva licencia?

Lo que todos deberíamos saber:

- La GPLv3 bloqueará la tivoization. Equipos con software de licencia GPL pero sin poder modificarla ya que el hardware no lo permitirá.

- Con esta licencia se resistirá al pacto Novell-Microsoft. Microsoft quiere utilizar sus miles de patentes para hacer pagar a los usuarios de GNU/Linux. Los pequeños errores que se cometieron en este pacto, se han aprovechado en esta nueva Licencia para volverlos contra ellos.

- En la era del DRM donde se restringe el uso de los datos en tu ordenador, te podrás quitar esas esposas. Eres tan libre de borrar las desagradables característicias de un software como un distribuidor de la copia de añadirlas.

- Mejor internacionalización, soporte de BiTorrent, compatibilidad con la licencia de apache.. y un sinfín de motivos para actualizar a esta nueva versión más acorde con los tiempos actuales.


09 julio 2007

Samba adopta la GPLv3

El proyecto samba ha anunciado mediante un correo en su lista de usuarios que han decidido adoptar las licencias GPLv3 y LGPLv3 para todas las futuras versiones de samba.

Samba actualmente se libera bajo la licencia GPLv2. Según dicen desde el Samba Team, lo hacen así para mejorar la compatiblidad con otras licencias y para una mejor adopción internacional. Y porque la GPLv3 es una versión mejorada y se adapta mejor a las necesidades del software libre en este siglo 21.

Desde GNU Richard Stallman recomienda a todos los proyectos Open cambiarse a la nueva última versión GPLv3. Samba ha sido uno de los primeros proyectos en pasarse.

Versión oficial.