Gura » lost+found

Vulnerabilidad en plataformas x86 y x86_64

He descubierto un fallo de diseño en plataformas x86 y x86_64 (No he podido probarlo en otras plataformas). La vulnerabilidad en cuestión se basa en que, al apretar el botón de reset se reinicia el ordenador. No he podido probarlo en otras plataformas como SPARC o HPPA, pero agradecería que quien pudiese lo probarla y reportara. Muchas gracias.

Relacionada: Ahora cualquiera publica artículos hablando de seguridad.

PD: Hoy tocaba post tonto.
PPD: Idea de chipi

Escrito por Gura 01.May.07 lost+found Leer más Comentarios (1)

Unos artículos interesantes

Ya que últimamente vivo en un domicilio y tengo internet en otro, junto con la jornada intensiva de clase y los exámenes a tiro de piedra, digamos que no hay tiempo para escribir y mucho menos para probar algo nuevo e interesante acerca de lo que se pueda escribir. Por suerte, hay gente que escribe buenos artículos por mi

Resumen de artículos acerca de Windows Vista.
Trucos para mejorar el rendimiento en Virtual Server.
Symantec añade capacidades P2V a Backup Exec.
Virtualización asistida por hardware ¿Qué es exactamente?
Vulnerabilidad RPC/DNS en Microsoft Windows.
¿Problemas con algunos dispositivos USB en Vista?

Escrito por Gura 18.Apr.07 Microsoft, Sistemas, lost+found Leer más Comentarios (0)

Hasta el Lunes

Vacaciones…

Escrito por Gura 03.Apr.07 lost+found Leer más Comentarios (0)

Certificado de la FNMT en Apache

Sin más, os dejo el enlace al blog donde he leído el HOW-TO de como utilizar un certificado de la FNMT para nuestro Apache.

Certificado digital de la FNMT en Apache 2.x

Pero ya que pongo este link, voy a poner algún que otro link interesante, que tengo para todos.

Introducción a PaX
Más doc acerca de PaX
Y más aún
Tecnologías en materia de seguridad que aporta Windows Vista
Una buena lectura acerca del DRM en Microsoft Windows

Escrito por Gura 04.Mar.07 *BSD, GNU/Linux, Microsoft, Sistemas, lost+found Leer más Comentarios (0)

¡Putos defacers!

Hoy mirando el log de Apache (34 M) vi unas líneas un tanto sospechosas… intentos de, mediante un comentario inyectarme código HTML en el blog para conseguir un minipunto más en su concurso de defacements.

Aquí los señoritos.

Escrito por Gura 17.Feb.07 lost+found Leer más Comentarios (7)

Pero… ¿Qué coño haces?

- Siendo de Linux tio, y miembro de AsturLinux, ¿Qué coño haces sacandote una certificación de Microsoft?
(La ignorancia de la gente puede llegar a límites insospechables. Existe una mala costumbre de encasillarnos como si fuésemos talibanes anti-Microsoft)

- Ah… pero eso de los LUG ¿No se fundamentaba en eso? Ya sabes, ¿en odiar a Microsoft, a Bill Gates y cagarse en la leche puta?
- No tío, no.

- Pero entonces, ¿Qué haces en AsturLinux?
- Bueno, me gusta el ambiente, me gusta el software libre, los sistemas *NIX y todas esas movidas de las que veo que no tienes ni puta idea, y además ni quieres comprender, campeón.

- Ah…

Despues de este test autorespondido espero haber dado respuesta a todos aquellos que me han encasillado de forma incorrecta en algún momento de mi vida.
Subconsciente: Teleco tenía que ser

Por cierto, que sepáis que en una entrevista de trabajo que tuve hace unos meses me preguntaron si era un friki. Ya sabes… por eso de que usas Linux (GNU/Linux para los más estrictos). Pero ese acontecimiento no me he quitado el sueño, era un tío que se pensaba que la única protección que tenía su portátil con Windows XP instalado era la contraseña de la BIOS de la máquina.

A ver si la semana que viene escribo un artículo sobre Cisco SDM y Cisco ASDM, Cisco CSACS, Cisco TACACS+ y la integración con AD o usando base de datos local, ya que el artículo de SPF me lo han pisado :), y el que tenía pensado escribir acerca de Windows LongHorn Server Core también (Os recomiendo leer los dos). Bueno, ye to por hoy.

Escrito por Gura 15.Feb.07 lost+found Leer más Comentarios (9)

No le veo utilidad al Exchange. Yo envío el correo como me da la gana.

Todo esto viene a causa de un No le veo utilidad al Exchange mientras veníamos hoy de clase en tren, usando como argumento que hoy en día todo estaba descentralizado. Yo intentaba convencer al interlocutor de que muchas empresas tienen sus servidores de correo en su propia empresa, en el CPD o donde fuese, pero la conversación degeneró en la privacidad.

Según el individuo si usaba para enviar correo el servidor de la empresa, su privacidad era violada, pues el administrador podría leer los correos. Como segundo ejemplo de esta violación de la privacidad puso de manifiesto EFS, ya que menuda mierda si puede venir el administrador y descifrarlo (Al igual que FileVault de Mac OS X). Yo le dije que eso era un arma de doble filo, y que sería pero el remedio que la enfermedad, pues el usuario podría olvidarse de la contraseña. En este caso la respuesta fue que eso es problema del usuario. Le puse como ejemplo el olvido de contraseñas y cambiarla cada periodo de tiempo (A propósito, ya que en el temario de Windows XP de la MCSA se ve como configurar y aprovechar lo que el So ofrece). A esto soltó la joya de que era un invento de Microsoft. El usuario si no cambia la contraseña y acceden a su cuenta es problema suyo. Yo opino que el problema es de la empresa, ya que podrían sufrir accesos no autorizados. En la seguridad influyen muchos factores no solo los aspectos tecnológicos.

Pero a lo que voy, es al sistema de correo, ya que cuando trabajas en una empresa y se suele utilizar la informática como herramienta, se suele utilizar a menudo internet y el correo electrónico. Como comenté antes, muchas empresas grandes montan sus servidores en casa, sin contratar servicios a terceros, y no tienen por qué ser empresas dedicadas a la informática. En mi opinión por privacidad (Pues todo está bajo su control) como por el yo me lo guiso, yo me lo como (Que alguien que trabaje en esto nos ofrezca alguna razón de más peso). Al interlocutor se le ocurrió utilizar algo mejor, si era mejor que Exchange. ¿Qué ocurre? Que si eres sysadmin en una empresa que ofrece soluciones a empresas quizá en TU empresa puedas aportar opinión sobre qué servidor de correo utilizar, quizá tomar decisiones e incluso recomendar a los clientes, pero si la empresa no se dedica a esto y tu eres un contable, no creo que sea buena práctica la de decir que yo no uso esto. Yo quiero que instaléis esto o lo otro. ¿Os imagináis al contable de la empresa diciéndole al Gran Sauron qué utilizar y que no utilizar como servidor de correo?

El caso es que al otro interlocutor de la conversación se le ocurrió la idea de no usar el servidor de la empresa por el asunto de privacidad que mencioné antes, y que si él consideraba que otro método para enviar correos era mejor, la usaría. Este hombre creo que odia los clientes de correo, y le encantan las interfaces web. Como el objetivo de la conversación era Exchange, le comenté que existía OWA (Outlook Web Access) que ofrece un acceso por web. Pues bien, el problema no era el método de envío de correo, sino por donde transitaba. El sugirió utilizar un cliente de correo que él quisiese o una interfaz web, y usar… Hotmail, GMail… a lo que respondí con un menuda imagen corporativa. Cuando trabajas en una empresa representas a la empresa, no puedes (deberías) enviar correo por Hotmail.
Pues bien, sin problema, se lo envío al cliente desde mi cuenta de Hotmail, aunque aparezca publicidad, aunque me pase por el forro la imagen corporativa, y la política de la empresa (Esta última oración es mía).
Entonces dijo que usaría una red anónima y sin autenticación por la que puedes enviar correo y pongo como remitente el correo de mi empresa (Creo que fue algo así). Yo le dije que bien, ahora el servidor pasará por otros servidores que permiten enviar correo desde cualquier origen a cualquier destino, ¡Y sin autenticar!. Eso yo lo conozco como Open Relay, y me dan escalofríos solo con pensar quien puede tener ese servidor bajo su control y para qué lo usarán.

Otra joya fue la de, dada mi respuesta, cifrar los correos, así daría igual por donde transitase el correo ya que nadie excepto él y el cliente conocerían el contenido del correo. La idea no es mala, de hecho ha sido la mejor de toda la conversación, privacidad para la empresa y el cliente. El problema es que el cliente debe tener conocimientos para usar PGP y ya tuvimos otra charla sobre PGP, pues yo los correos excepto en algunos casos, los ando siempre firmados y este hombre me decía que porque. Que es eso de obligar a la gente a usar PGP para comprobar el correo. Que no podía hacer eso.En fin, ¡Imaginaros al jefe de una empresa de logística usando PGP porque al técnico que le ha atendido en la empresa que les da soporte se le antoja hacerlo así!

Continuemos. Esos servidores desde los que se ha enviado el correo son de dudosa reputación, por lo que quizá estén presentes en alguna lista negra. Si el otro servidor utiliza listas negras (Yo no estoy a favor del uso indiscriminado de las mismas, ya que antes de usarlas hay que entender la política que utiliza) la llevamos clara, pues habría que reconfigurar el servidor de correo para permitir aceptar correos desde ese MTA. No es tan fácil enviar un correo y decir: Oye permite a este host que te entregue correos. Quita las puñeteras listas negras.

Como veis, soy algo chambón escribiendo, pero la idea creo que ha quedado clara. O el tío este se pasa todo por el forro, o no tiene constancia de la realidad, o se estaba quedando conmigo, o el tanto todavía no trabajaste bastante. Ya lo verás (Ya veré que son las cosas como él dice) debería aplicárselo él mismo antes de dar consejos a nadie.

Venga, buen rollito y dormir, que hay sueño.

Escrito por Gura 06.Feb.07 lost+found Leer más Comentarios (17)

Nueva y prometedora red de IRC

A petición de un amiguete, me gustaría invitaros a conocer una red IRC (OpenIRC) que tienen montada bajo el software UnrealIRCd, a la que podéis conectar y charlar, o simplemente probar.
Dispone de numerosos servicios (Al estilo FreeNode pero con más modos extendidos, control de flood, colores, repeticiones, creación de bots, etc).

El uso es gratuito, sin publicidad y privado. Su seguridad se basa en el cifrado de SSL, haciendo la charla íntima y segura para nuestros usuarios.

Puedes conectar mediante:

Espero que entre todos hagamos una red libre, sin SPAM, sin censura, de acceso gratuito, y lo más importante, que aporte privacidad al usuario, esté donde esté.

Un saludo.

Escrito por Gura 06.Jan.07 lost+found Leer más Comentarios (1)

Grata sorpresa

Hoy me ha llegado mediante carta certificada un paquetito. No me acordaba qué era… era el Sun Solaris Kit que pedí hace unas semanas. Me imaginaba una caja de cartón o un sobre cutre… pero no, se lo han currado, es una caja de plástico negro como la de los DVD comerciales, con su logotipo de Sun y de Solaris y una imagen de ese deporte que es tradición en Cataluña en el que se hacen castillos de hombres, unos encima de otros.

Al desprender el DVD de la lámina de plástico que lo protege y abrirlo nos encontramos un inicio rápido y 3 DVD. Los DVD contienen Solaris para SPARC, para x86 y x86_64, y el Developer Kit que tiene Java, NetBeans…

Da gusto

Escrito por Gura 13.Dec.06 Solaris, lost+found Leer más Comentarios (7)

¿Que BOFH jamás soñó con algo así para él solito?

Nos llaman raros, frikis y de diferentes menospreciables formas, pero ya que no podemos permitirnos un Sun Blackbox, ni esto, ni nada parecido, nos conformamos a regañadientes con estas fotos:

Galería con imágenes de Redes (Electrónica de red y cableado), datacenters, montajes de Fibra, DSLAM, etc.
Existe además un foro con aportaciones semanales de todo tipo.

Se de uno al que se le ha caído la baba, así que dudo que vosotros os quedéis indiferentes. Si eso ocurre es que no entendéis las cosas como nosotros las entendemos

Escrito por Gura 29.Nov.06 Hardware, Redes, lost+found Leer más Comentarios (4)

Todo el contenido de este blog se ha publicado bajo una Licencia Creative Commons.

Gura
- Inicio
- Buscar
Las opiniones son personales o ni siquiera son opiniones.
La información se proporciona como está sin garantías de ninguna clase, y no otorga ningún derecho.
Los comentarios pertenecen a sus autores y bajo ningún concepto el autor del blog se hará responsable de los mismos.
Información
- Acerca del autor
- Acerca del servidor
Categorías
- Clases o cursos (48)
  - AcaLug (9)
  - INEM (14)
  - Seresco (11)
- Hardware (18)
- lost+found (113)
- Parties (10)
  - Euskal Encounter (10)
- Protesta (2)
- Redes (22)
- Servidor (21)
- Sistemas (136)
  - *BSD (28)
    - FreeBSD (9)
    - NetBSD (4)
    - OpenBSD (18)
  - GNU/Linux (72)
    - Debian (10)
    - Gentoo (25)
    - Otras distros (3)
    - SuSE (3)
  - Mac OS (3)
  - Microsoft (40)
  - Unix (6)
    - Plan9 (2)
    - Solaris (3)
- Software (32)
Blogroll
Archivo
- April 2008 (4)
- March 2008 (4)
- February 2008 (6)
- January 2008 (4)
- December 2007 (4)
- November 2007 (8)
- October 2007 (10)
- September 2007 (2)
- August 2007 (4)
- July 2007 (4)
- June 2007 (10)
- May 2007 (11)
- April 2007 (4)
- March 2007 (4)
- February 2007 (5)
- January 2007 (6)
- December 2006 (4)
- November 2006 (4)
- October 2006 (5)
- September 2006 (5)
- August 2006 (5)
- July 2006 (13)
- June 2006 (12)
- May 2006 (13)
- April 2006 (9)
- March 2006 (15)
- February 2006 (18)
- January 2006 (13)
- December 2005 (12)
- November 2005 (11)
- October 2005 (9)
- September 2005 (10)
- July 2005 (4)
- June 2005 (11)
- May 2005 (12)
- April 2005 (3)
Publicidad
- Vuelos Baratos
- Text Link Ads
Gura | RSS Feed

Información

Categorías

Blogroll

Archivo

Publicidad