Buscar dentro de este blog

miércoles, 25 de agosto de 2010

Gravisimo Bug de softs en Windows

HD Moore, destapaba hace algunos días un problema de seguridad en decenas de aplicaciones de terceros cuando eran ejecutadas sobre Windows. Aunque la raíz del problema es, en realidad, una programación insegura de las aplicaciones, dada la magnitud del problema Microsoft ha publicado un aviso de seguridad con instrucciones para mitigar el fallo.

Moore identificaba el fallo mientras estaba investigando el grave
problema en archivos LNK que fue conocido en Windows hace algunos días.
A su vez Acros, una compañía de seguridad eslovena, hablaba de una
vulnerabilidad en iTunes por la que, si se abría un archivo asociado a
iTunes desde una ubicación remota, iTunes podría llegar a cargar más
DLLs desde esa ubicación. HD Moore comenzó a buscar más aplicaciones que
se comportasen de este modo.

Así, el problema está en múltiples aplicaciones de terceros (y propias)
para Windows a la hora de cargar librerías dinámicas (archivos DLL). Si
las aplicaciones no especifican las rutas completas de las librerías que
necesitan, Windows podría llegar, en su búsqueda, a "encontrar" primero
las librerías de los atacantes y ejecutarlas. Al principio Moore
identificó unas cuarenta aplicaciones, pero en estos momentos se
conocen cientos. El número, además, será mayor con el tiempo.

Todas estas herramientas no han seguido ciertas recomendaciones de
seguridad a la hora de ser programas. Por tanto, un atacante podría
llegar a ejecutar código si incita al usuario a abrir con una aplicación
vulnerable un archivo desde una ubicación remota (compartida a través
de WebDAV, SMB) o incluso una llave USB. La novedad es que el archivo
abierto no tiene por qué contener ningún exploit. La única condición es
que el atacante pueda escribir una librería en la misma ruta donde se
encuentra el archivo que se quiere abrir, y el programa vulnerable se
encargará de cargarla.

Este tipo de ataques son denominados "binary planting", "DLL preloading"
o "DLL Hijacking" y pueden verse como una nueva variante de los ataques
de ruta (PATH): a no ser que se especifique exactamente la ruta de los
binarios, no se sabe qué se está ejecutando; bien porque exista un
archivo con un mismo nombre en un directorio, bien porque se encuentre
en el PATH de sistema o, como en este caso, bien porque la aplicación
llame a DLLs que no son las legítimas.

Windows arrastró este histórico error durante mucho tiempo. Pero una de
las (muchas) mejoras de seguridad introducidas desde Windows XP SP1, es
que por defecto, se mejora el orden de la búsqueda de librerías con el
parámetro SafeDllSearchMode activado... pero el problema se da cuando
las librerías no existen en el sistema y no se especifica ruta
completa... el programa va a buscarlas en remoto y el atacante podría
cargar así las que quisiera.

Microsoft ha creado una guía de buenas prácticas para programadores y
sobre cómo cargar de forma segura librerías dinámicas, disponible desde:
http://msdn.microsoft.com/en-us/library/ff919712(VS.85).aspx

No se trata de una solución en forma de parche, puesto que bloquear por completo un comportamiento adquirido durante años por los programadores, solo podría causar problemas. De hecho, la introducción de SafeDllSearchMode hace 8 años "ya" podría considerarse como la solución. 

Ya están apareciendo exploits públicos :) que permiten aprovechar el fallo
con todo tipo de aplicaciones, por ejemplo, al abrir un inocente archivo
Office desde una unidad remota.
Fuente: Hispasec

jueves, 5 de agosto de 2010

BackTrack 4 R1

Se ha liberado la nueva version de Backtrack :)



Changelog resumido:

  • 2.6.34 kernel
  • Tools up to date
  • Mayor soporte de hardware
  • Mejoras ve la maquina virtual
  • Mejoras del desktop

martes, 3 de agosto de 2010

Multiple XSS in MyIT CRM (EDB-ID: 14531)

Por fin he podido publicar mi primer vulnerabilidad encontrada :)

El bug es del tipo "Reflected Cross-Site Scripting (XSS)" y afecta al producto MyIT CRM ver.0.2.8.1. Exploit Database la identifica con el ID 14531.

Pueden ver el advisory completo en http://www.exploit-db.com/exploits/14531




lunes, 2 de agosto de 2010

Test Freaky

Queres saber que tan Freaky sos?
Ingresa a http://www.frikitest.net/
A mi me dio 15.4334038 %, conclusion "Freaky"

viernes, 30 de julio de 2010

Sysadmins: Feliz Dia!

Sysadmin, si vos:


FELIZ DIA!!!



EMET: La nueva pesadilla de los pentesters :(

Microsoft saco una nueva herramienta que aplica mitigaciones anti-exploits llamada "EMET" del tipo ASLR (Aleatorización del Esquema de Espacio de Direccionamiento) y DEP (Prevención de Ejecución de Datos) en versiones de Windows más antiguas. EMET soporta tanto aplicaciones de 32 bits como de 64 bits...

EMET (Enhanced Mitigation Experience Toolkit) funciona aplicando las tecnologías de mitigación de seguridad a aplicaciónes arbitrarias para bloqueo contra la explotación a través de vectores comunes de ataque.
El video lo pueden bajar de aca

Además de implementar ASLR y DEP en versiónes más antiguas de sistema operativo Windows, Microsoft dice que EMET también agregará mitigaciones anti-explotación a los programas existentes de terceros que actualmente no eligen las mitigaciones.

Resumen de protecciones que aplica el EMET:

* Protección de sobre escritura de manejo estructurado de errores (EHOP) que impide la explotación de sobre escritura del Manejo Estructurado de Excepciones (SEH) mediante la realización de validaciones de cadenas SEH.
  • * La Prevención de Ejecución Dinámica de Datos que marca porciones de la memoria del proceso como no ejecutable, dificultando la explotación de vulnerabilidades de corrupción de memoria.
  • * La asignación de página NULA que asigna la primera página de memoria antes de la inicialización del programa y bloquea a los atacantes de poder aprovecharse de las referencias NULAS en modo usuario.
  • * La Asignación de Rociado de memoria Heap que pre-asigna direcciones de memoria para bloquear ataques comunes que llenan la memoria heap del proceso con contenido manipulado especialmente.
  • * La aleatorización mandatoria del esquema de espacio de direcciones (ASLR) tanto como los módulos que no soportan ASLR en Windows Vista, Windows Server 2008 y Windows 7.
  • * La tabla de exportación de direcciones (EAT) que usa puntos de parada para filtrar el acceso a la EAT de kernel32.dll y ntdll.dll, bloquea el acceso si el puntero de intrucciones no está dentro del módulo, e interrumpe los shellcodes metasploit comunes actualmente.

Micro$oft QUE GANAS DE COMPLICARNOS LOS PENTESTs ehh!!!


Fuente: Segu-info

jueves, 22 de julio de 2010

Europa debate: Software libre o privativo?


La Comisión Europea prepara el documento "Marco de Interoperabilidad Europeo", mediante el cual aconsejará a los gobiernos nacionales, provinciales y locales de los 27 países miembros en la compra de software. 

Los defensores del software libre son Google, IBM, Red Hat y Oracle, mientras el lado oscuro de la fuerza esta conformado por Microsoft, Ericsson y Alcatel-Lucent. 

Como muchos de nosotros recordamos, Microsoft se vio obligado a proporcionar los códigos confidenciales de interoperabilidad de Windows Server después de perder una demanda antimonopolio que se alargó durante 10 años.. Ahora Microsoft dijo: la adopción de software libre podría limitar la capacidad de elección de los clientes si desalienta al sector público a comprar software propietario...

Esperaremos con ansias las declaraciones de Stallman al respecto ;)

 Vos de que lado de la fuerza estas?? 

jueves, 24 de junio de 2010

martes, 22 de junio de 2010

[Megapost] ¿Por qué Linux es mejor?

Olvida los virus


Si tu ordenador se apaga solo y sin preguntarte, si aparecen ventanas extrañas con texto que no entiendes así como toda clase de anuncios cuando tú no los pediste, si se envían emails a todos tus contactos sin que lo sepas, entonces tu ordenador probablemente tiene un virus y la principal razón para esto es porque usas Windows.

Linux difícilmente tendrá algún virus y no es como: "Bueno, no muy común, tu sabes", es más bien como: "Si tú alguna vez has escuchado de un virus real en Linux, por favor avísame". De hecho, un virus en Linux no es imposible pero Linux hace que esto sea muy difícil que ocurra, por varias razones:

La mayoría de personas usa Microsoft Windows y los delincuentes informáticos quieren hacer tanto daño (o controlar) como sea posible, por tanto, ellos apuntan sus ataques a Windows. Pero contrariamente a esto, el servidor web Apache (un servidor web es un programa localizado en un ordenador remoto que envía páginas web a tu buscador de Internet cuando las solicitas) que dispone de un software de código abierto, tiene la mayor cuota de mercado (comparado con los servidores de Microsoft IIS) y este sufre muchos menos ataques/fallos que el de Microsoft.

Linux usa una gestión de autorización inteligente. En Windows tú (y cualquier programa que instales) usualmente tienes el derecho de hacer casi cualquier cosa a tu sistema. Si quieres castigar a tu PC porque simplemente dejó que tu precioso trabajo desaparezca, puedes ir dentro de la carpeta del sistema y borrar lo que quieras: Windows no se va a quejar. Por supuesto que la próxima vez que reinicies, los problemas empezarán. Ahora imagina que si tú puedes borrar estas cosas del sistema, otros programas podrán hacerlo también o sencillamente estropearlo todo. Linux no permite eso. Cada vez que tú solicitas hacer algo que tiene que ver con el sistema, aparecerá un administrador de contraseñas (y si tú no eres un administrador de este sistema simplemente no podrás hacerlo). Los virus no pueden ir por ahí y borrar o modificar lo que quieran en el sistema: ellos no tendrán la autorización para eso.
Más ojos hacen menos fallos de seguridad. Linux es un software de código abierto, lo que significa que cualquier programador en el mundo puede echarle una mirada al código fuente (la "receta" de todo programa) y dar una mano, o simplemente decirle a otros diseñadores de programas "Oye, que tal si blah blah, ¿es este un fallo de seguridad?".

¿Tu sistema es inestable?


¿Alguna vez perdiste tu precioso trabajo porque Windows se colgó? ¿Siempre apagas tu ordenador de la manera apropiada o algunas veces simplemente lo apagas porque Windows se volvió loco y no te deja hacer nada más? ¿Alguna vez te apareció la "pantalla azul de la muerte" o mensajes de error diciéndote que tu ordenador necesita ser apagada por razones poco claras?

Las últimas versiones de Windows, especialmente las "Profesionales" se están haciendo más estables que antes. Pero esta clase de problema todavía aparece muy a menudo.

Definitivamente ningún sistema operativo es perfecto y la gente que te dice que el suyo jamás se va a colgar, nunca, están mintiendo. Sin embargo, algunos sistemas operativos pueden ser tan estables que la mayoría de usuarios nunca verán su sistema operativo colgarse, incluso por varios años. Esto es cierto para Linux. Aquí hay una buena manera de ver esto. Cuando un sistema se cuelga, necesita ser apagado o reiniciado. Entonces, si tu ordenador puede estar encendido y funcionando por un largo tiempo, no importa cuanto la uses, entonces puedes decir que el sistema es estable. Bien, Linux puede funcionar por años sin necesidad de ser reiniciado (la mayoría de servidores de Internet usan Linux y usualmente no se reinician, aunque con actualizaciones importantes, también van a ser reiniciados (la manera apropiada). Si instalas Linux y luego usas tu sistema tanto como quieras, dejando tu ordenador encendido todo el tiempo, podrás seguir así por años sin tener ningún problema.

La mayor parte de las ocasiones, no vas a dejar encendido tu ordenador tanto tiempo, pero esto muestra cuan estable es Linux.


Linux protege tu ordenador


Virus, troyanos, adware, programas espías... Windows deja que todos estos entren a tu ordenador muy fácilmente. El tiempo promedio para que un PC con Windows (conectada a Internet y con un "Service Pack 2" instalado) se infecte es de 40 minutos.

Entonces puedes 1) instalar un firewall, 2) instalar un antivirus, 3) instalar un anti-adware, 4) deshacerte del Internet Explorer y Outlook (con Firefox y Thunderbird para reemplazarlos), y 5) rezar para que los delincuentes informáticos no sean lo suficientemente listos para superar estas protecciones y que, si se descubre un fallo de seguridad, Microsoft tome menos de un mes para hacer que esté disponible una actualización (y esto no pasa muy a menudo). O puedes instalar Linux y dormir profundamente de ahora en adelante.

Como ya dijimos en la sección de los "virus", un software de código abierto (ej Linux) significa más ojos para revisar el código. Cada programador en el Planeta Tierra puede bajar el código, darle un vistazo y ver si hay fallos de seguridad. Por otro lado, las únicas personas autorizadas para ver el código fuente de Windows (su "receta" son las personas que trabajan para Windows. Esto significa cientos de miles de personas (quizás millones) contra unos pocos miles. Y esto hace una gran diferencia.

Pero de hecho esto no es exactamente un asunto de cuántos fallos tiene un sistema, comparado con los otros. Si hay muchos fallos pero nadie los ha descubierto aún (incluyendo los delincuentes informáticos), o hay unos pocos (que no comprometan una parte importante del sistema), los delincuentes informáticos no serán capaces de hacer gran daño. Es realmente un asunto de que tan rápido un fallo de seguridad puede ser resuelto, una vez que haya sido descubierto. Si un fallo de seguridad es descubierto en un programa de código abierto, cualquiera en la comunidad de código abierto puede darle una mirada y resolverlo. La solución (y la actualización) usualmente aparecen en pocos días, algunas veces unas pocas horas. Microsoft no tiene tal mano de obra y usualmente libera los parches de seguridad dentro de un mes después de que el fallo haya sido descubierto (y algunas veces hasta publicada): eso es más que suficiente para que los delincuentes informáticos hagan lo que quieran con tu ordenador.

No pagues 100 dólares por tu sistema operativo (Y no lo copies ilegalmente)


Tal vez estás diciendo para ti mismo: "Oh, yo no pagué por Windows". ¿Estás absolutamente seguro? Si tu ordenador vino con una copia de Windows, entonces pagaste por ella, incluso si la tienda no te dijo nada al respecto. El precio de una licencia de Windows llega a ser en promedio un cuarto del precio de cada ordenador nuevo. Entonces, a menos que hayas obtenido Windows ilegalmente, tú probablemente pagaste por él. ¿De dónde crees que Microsoft obtiene su dinero?

Por otro lado, tú puedes tener Linux completamente gratis. Así es, todas esas personas alrededor del mundo trabajaron muy duro para hacer un sistema ordenado, seguro, eficiente y bonito, y ellos lo están obsequiando a todos para que lo usen (si te preguntas porque estas personas hacen esas cosas, envíame un email y yo trataré de explicarte lo mejor que pueda ). De hecho, algunas compañías están haciendo un buen negocio vendiendo soporte, documentación, servicio en linea, etc., para su propia versión de Linux y esto es algo realmente bueno. Afortunadamente la mayor parte del tiempo tú no vas a tener que pagar un céntimo.

¡Libertad!


Linux y los software de "Código Abierto" son "libres". Esto significa que su licencia es una "licencia libre" y la más común es la GPL (Licencia Pública General). Esta licencia establece que a cualquiera le está permitido copiar el software, ver el código fuente (la "receta", modificarlo y redistribuirlo siempre y cuando mantenga la licencia GPL.

Entonces te preguntarás: ¿a mi que me importa la libertad? Bueno imagina que mañana desaparece Microsoft (vale, no es muy probable pero que tal en 5 años, 10 años?). o imagina que súbitamente triplican el precio de las licencias de Windows o de Office. Si estás atado a Windows no hay nada que puedas hacer. Tú y/o tu empresa confían en esta única compañía, en su software y posiblemente no podrías hacer que las cosas trabajen sin él (¿que tan bueno es un ordenador sin un sistema operativo?). ¿Acaso no es un serio problema? Estás dependiendo de una sola compañía y confías de todo corazón algo tan importante en estos días como es el hecho de que tus ordenadores trabajen de la manera que deberían. Si Microsoft decide aumentar el precio $1000 para la siguiente versión de Windows, no hay nada que puedas hacer al respecto (excepto cambiar a Linux, por supuesto). Si Windows tiene un error que te molesta muchísimo y Microsoft no lo va a arreglar, no hay nada que puedas hacer (y reportar los errores a Microsoft no es nada fácil, ver la sección de "Reporte de errores".

A diferencia de esto, con el software de código abierto, si un proyecto en particular o empresa de soporte cierra, todo el código permanece abierto a la comunidad y la gente puede seguir mejorándolo. Si este proyecto es especialmente útil para ti hasta puedes hacerlo tú mismo. Si un error en particular te molesta, puedes notificarlo, hablar con los mismos diseñadores del programa, pero incluso antes, los puedes arreglar por ti mismo (o contratar a alguien para que lo haga) y enviar los cambios de vuelta a los diseñadores del programa para que todos tengan también las mejoras. Tú eres libre de hacer (casi) lo que quieras con el software.

Una vez instalado tu sistema, ¿Por qué aún necesitas instalar más cosas?


Instalar Windows es sólo el inicio. Imagina que acabas de instalar una nueva copia de Windows 7 y te preparas para liberar tus habilidades en computación. Un amigo te manda un email con un archivo PDF adjunto: upss... no tienes un programa para leerlo. Necesitas ir a internet, buscar un sitio web para bajar el Adobe Reader (u otro visor de PDF) descargarlo, instalarlo, tal vez hasta necesites reiniciar. Bueno, vale, ahora ya estás listo. Adjunto al email de tu amigo encuentras un documento de texto file.doc. Tu Windows tampoco puede leer eso: ¡maldición! o vas a comprar una copia de Microsoft Office o simplemente descargas el OpenOffice pero todavía necesitas encontrarlo, descargarlo (esperemos que tengas una conexión de banda ancha), instalarlo, etc. Tu amigo también te mandó una imagen pero tiene un mal contraste, mala luminosidad y necesita una buena reducción. Entonces puedes ir en este instante y comprar Photoshop (cuántos cientos de dólares más es eso?) o descargar el GIMP (este es el nombre de un programa libre que puede hacer casi lo mismo que el Photoshop) y también tienes que: buscarlo, descargarlo, instalarlo, etc. Es suficiente: llegas a una conclusión, Windows está lejos de ser completo e instalarlo es sólo el comienzo de los problemas.

Cuando obtienes una distribución Linux (tal como Ubuntu, Mandriva, Fedora, etc., estos son diferentes "sabores" de Linux) también tienes, sin instalar nada más :

Todo lo que necesitas para escribir textos, editar hojas de cálculo, hacer presentaciones ordenadas, dibujar, editar ecuaciones.
Un navegador web (ej. Firefox) y un cliente de correo (ej. Thunderbird o Evolution).
Un editor de imágenes (GIMP) casi tan poderoso como el Photoshop.
Un programa de mensajeria instantánea.
Un reproductor de películas.
Un reproductor y organizador de música.
Un lector de PDF.
Todo lo que necesitas para descomprimir archivos (ZIP, etc.).
etc.
Simplemente puedes empezar a trabajar en seguida.

Olvídate de los controladores


Las nuevas piezas de hardware, incluidas las del tipo más sencillo, usualmente vienen con un CD. En el CD hay una pequeña pieza de software llamada “controlador”. Si lees el manual de instrucciones, sabrás que el hardware no funcionará en un ordenador con Windows, hasta que instales el controlador. Si eres como la mayoría de las personas que no lee el manual, imagínate a ti mismo cuando probablemente veas como tu nuevo dispositivo de alta tecnología, no funcione siendo nuevo.

Inserta el CD, haz clic en el asistente de instalación, espera, expulsa el CD y reinicia tu ordenador.

Si compraste el hardware hace tiempo y lo quieres re usar en otro ordenador, probablemente quieras olvidarte del CD y obtener la última versión del controlador en el sitio web del fabricante, esto puede tomar un poco de tiempo, ¿verdad?, ya sabes lo extraño que organizan los sitios web de los fabricantes.

Bien, es una pequeña pieza de hardware, pero ahora imagina si quieres instalar Windows en un ordenador totalmente nuevo. Para cada pequeña pieza de hardware, debes buscar el último controlador (o usar el CD), instalarlo y reiniciar cada vez. Tarjeta de vídeo, tarjeta de sonido, teclado, ratón, chip set de la tarjeta madre, etc. (mejor instala primero el controlador de la tarjeta de vídeo, si no quieres que tu monitor de alta tecnología muestre una resolución muy baja). Y todo esto después del largo tiempo que toma la instalación de Windows por sí misma.

Linux no necesita controladores aparte. Todos los controladores vienen incluidos actualmente en el kernel de Linux, el núcleo del sistema, y este a su vez viene con cada instalación sencilla de Linux, esto significa:

Un muy rápido e independiente proceso de instalación. Una vez terminado, tendrás todo lo que necesitas para comenzar a trabajar (incluido el software que usarás, mira la sección de “Cuando el sistema ya ha sido instalado...” de este sitio web).
Periféricos funcionando desde el primer momento.
Menos daño para el planeta porque todos estos CDs no necesitan venir con el hardware jamás (bueno, al menos que Windows no los necesite...).

Actualiza todo tu software con un sólo clic


Windows tiene una herramienta muy conveniente llamada "Windows Update", el cual te permite tener al día tu sistema con las últimas actualizaciones disponibles.

Pero ¿que tal todo tu software no-Microsoft? ¿aplicaciones Adobe? ¿compresor ZIP? ¿grabador de CD? ¿navegadores web, clientes de correo, etc. no-Microsoft?. Necesitas actualizar todos ellos, uno por uno y eso toma tiempo, considerando que cada uno de ellos tiene su propio sistema de (auto) actualización.

Linux tiene una aplicación especial llamada "Gestor de Paquetes", la cual se encarga de todo lo que esté instalado en tu sistema, pero también de cada pieza de software que tu ordenador tiene. Entonces, si quieres mantener todo actualizado, lo único que necesitas hacer es presionar el botón de "Instalar Actualizaciones".

¿Por qué hacer copias ilegales de software, si puedes tenerlo gratis?


Entonces, estás perfectamente limpio, ¿has *cof, cof* comprado una licencia para todo el software que alguna vez haz usado *cof, cof, cof* y nadie puede molestarte por esto?. Bueno, si ese es el caso, felicidades

Sin embargo, seamos honestos, para la mayoría de personas tener software ilegal es muy común. Copiar Adobe Photoshop en vez de comprarlo probablemente no te da pesadillas. Pero ¿estás seguro que nunca tendrás problemas por eso? No tan seguro, huh... los creadores de software están progresando y encontrando más y más maneras de rastrear a dueños ilegales, y desde que más y más personas tienden a tener conexiones (permanentes) de banda ancha, ellos pueden añadir una función en linea en el software que va a controlar y verificar tu copia cada vez que lo uses.

Si usas Linux e instalas software libre, no vas a tener que preocuparte por esto ¡nunca más! La mayoría del software libre es gratis. Puedes encontrar reemplazos libres para la mayoría del software comercial que hay por ahí. Podrán carecer de algunas de las funcionalidades avanzadas pero serán más que suficientes para la mayoría de personas.

Aquí hay una lista de algunos software comerciales y sus equivalentes de software de código abierto:

Comercial Código Abierto ¿Existe en Windows?

Adobe Illustrator (~$500) Inkscape Sí
Adobe InDesign (~$700) Scribus Sí
Adobe Photoshop (~$600) The GIMP Sí
Adobe Premiere (~$800) Kino, Cinelerra No
Adobe Reader (free) Evince, Kpdf, GV No
Apple iTunes (free) AmaroK, Rhythmbox, Banshee No
Autodesk 3ds Max (~$3500) Blender Sí
Autodesk Maya (~$7000) Blender Sí
Kazaa (free) aMule, eMule Sí
Microsoft Excel (~$200) OpenOffice Spreadsheet Sí
Microsoft Internet Explorer (free) Firefox, Konqueror Sí
Microsoft Office (~$400) OpenOffice Sí
Microsoft Windows Mail (free) Thunderbird, Evolution, KMail Sí
Microsoft Powerpoint (~$200) OpenOffice Presentation Sí
Microsoft Windows Media Player Mplayer, VLC, Totem, Kaffeine Sí
Microsoft Word (~$200) OpenOffice Word Processor Sí
Microsoft Windows Messenger Pidgin, Kopete, aMSN Sí
Nero (~$100) K3b, Gnomebaker No
Palm Desktop (free) Gnome-Pilot, KPilot No
Quark XPress (~$800) Scribus Sí
QuickTime Player (free) Mplayer, VLC, Totem, Kaffeine Sí
Winamp (free) AmaroK, Rhythmbox, Banshee No

¿Necesitas software nuevo? No te molestes buscando en la web, Linux lo hace por ti


Si quieres echar una mirada a un nuevo software en Windows, vas a necesitar:

Buscar en la web qué tipo de software encaja con tus necesidades.
Encontrar un sitio web de donde bajarlo.
Tal vez pagar por él.
Ahora sí, bajar el software.
Instalarlo.
Algunas veces reiniciar tu computadora.
Uf, ¡eso es un montón de trabajo para simplemente probar algo nuevo!

Con Linux todo es mucho más simple. Linux tiene algo llamado "Gestor de Paquetes": cada pieza de software está almacenada en su propio "paquete". Si necesitas algún nuevo software sólo abre el gestor de paquetes, escribe unas cuantas palabras clave, escoge qué software quieres instalar y presiona "Aplicar" u "Ok". O puedes también navegar dentro de las categorías de software existente (hay un montón para escoger!).

Entra en la nueva generación de escritorios


¿Te han impresionado las posibilidades 3D y de transparencia introducidas originalmente en Windows Vista y has decidido que estas capacidades únicas valen unos pocos cientos de dolares? ¿Incluso compraste un nuevo ordenador para poder alcanzar los (muy altos) requerimientos de Vista? Te engañaron: Linux puede hacerlo mejor, gratis y con requerimientos de hardware mucho menos exigentes.

¿Tu vida digital parece fragmentada?


Si ya sabes lo que es fragmentación y estás acostumbrado a desfragmentar tu disco cada cierto tiempo, aquí está la versión corta: Linux no necesita desfragmentación.

Si no sabes lo que es, aquí tienes una buena explicación: imagina que tu disco duro es un armario gigantesco con millones de cajones (gracias a Roberto Di Cosmo por esta comparación). Cada cajón puede contener sólo un número predeterminado de información. Así, los archivos que son más grandes que lo que dichos cajones pueden contener, necesitan ser divididos para que encajen en estos. Algunos archivos son tan largos que necesitan miles de cajones y por supuesto, acceder a estos cajones es mucho más fácil cuando los cajones que ocupan están cerca unos de otros en el armario.

Ahora imagina que eres el dueño de este armario pero no tienes el tiempo para estar pendiente de él así que quieres contratar a alguien para que lo haga por ti. Dos personas solicitan el trabajo, un hombre y una mujer.

El hombre tiene la siguiente estrategia: sólo vacía los cajones cuando un archivo es eliminado, divide cualquier nuevo archivo en piezas más pequeñas para que encaje en los cajones y lo acomoda aleatoriamente en los primeros cajones disponibles. Cuando le mencionas que esto hace más difícil hallar las piezas de un archivo en particular, él responde que se debería contratar a una docena de chicos cada fin de semana para reorganizar las cosas.
La mujer tiene una técnica diferente: tiene anotado, en un pedazo de papel, los cajones vacíos contiguos. Cuando un nuevo archivo llega, busca en esta lista una fila de cajones vacíos lo suficientemente larga y aquí es donde coloca el archivo. De esta manera, a pesar de que hay mayor actividad, el armario siempre estará organizado.
Sin ninguna duda contratarías a la mujer (deberías haberlo sabido, las mujeres son más organizadas ). Bien, Windows usa el primer método y Linux usa el segundo. Mientras más uses Windows, más lento será acceder a los archivos; mientras más uses Linux, más rápido será. Tú decides!

Escoge la apariencia de tu escritorio


Casi todos los usuarios de Windows tienen el mismo escritorio. Si bien es cierto puedes cambiar el fondo de pantalla o los colores de la decoración de Windows (el azul es el predeterminado), básicamente terminarás con la interfaz común de Windows.

Con Linux esa elección está devuelta a ti. Ya no estarás forzado a aceptar la única manera de moverte entre varias ventanas: puedes escoger entre muchos programas, que son llamados "gestores de ventanas". Pero no te preocupes, no necesitarás saber esto, ya que tendrás un muy bonito gestor de ventanas predeterminado. El punto es que tú puedes cambiarlo si quisieras.

Con Linux tú decides como quieres que se vea tu escritorio. Incluso no tienes que decidir de manera definitiva: puedes cambiar a cualquiera de estos diferentes estilos de escritorios en el momento que te registres para abrir una nueva sesión.


¿Por qué tu Windows es más lento cada día?


Windows tiene un buen número de fallos de diseño, resultando en que se hace cada vez más y más lento y que no dure mucho tiempo. Probablemente habrás escuchado a alguien decir, más de una vez, "mi ordenador se está poniendo perezoso, voy a reinstalar". Reinstalar Windows resuelve el problema... hasta la próxima vez.

Puedes pensar que esta es la manera como trabajan los ordenadores, son tecnología moderna y todavía no son muy estables. Bueno, prueba Linux y estarás sorprendido. Dentro de 5 años tu sistema estará tan rápido y eficiente como el día que lo instalaste, sin mencionar que no vas a tener ningún virus, adware, troyano, gusano, etc., que te obligue a reinstalar de todas maneras.

He podido convencer a muchas personas a que cambien a Linux, dejando instalado Windows en su disco duro porque necesitaban algún software que Linux no tiene (ej Autocad), de forma que usaron ambos sistemas. Desde el día que cambiaron, la mayoría de ellos ha reinstalado Windows aproximadamente una vez cada 1 o 2 años, pero Linux no los defraudó y todavía está funcionando perfectamente hasta el día de hoy.

Linux te deja más tiempo para trabajar sin tener que reinstalar una y otra vez todo de nuevo.

Medio Ambiente


¿Cómo puede ser Linux diferente de Windows en lo que se refiere al entorno?, puedes preguntarte. Después de todo, ambos son solo trozos de software con un muy pequeño impacto en la contaminación y el cambio climático. Bueno, usar Linux puede tener una influencia en el entorno:

Windows y Mac OS se venden en cajas. Esto significa que se necesita manufacturar cantidades masivas de papel y plástico antes de que las cajas lleguen a las estanterías de tu tienda cercana (y sean traspasadas a ti después de que las compras). Linux es gratuitamente descargable de Internet; no hay involucrada ninguna cantidad de papel o plástico.
Las aplicaciones propietarias para Windows o Mac OS son también, la mayoría de las veces, vendidas en tiendas locales en cajas, mientras que puedes descargar la gran mayoría de software para Linux del Internet, gratis (nuevamente ¡una gran cantidad de papel y plástico ahorrado!).
Conforme los requerimientos de hardware para Windows o Mac OS aumentan más y más, muchos ordenadores se quedan obsoletos, y se necesita deshacerse de ellos... pero como Linux funciona muy bien incluso en máquinas muy viejas, éstas pueden ser recicladas con varios propósitos (almacenamiento, acceso a Internet, caja multimedia, etc.) en lugar de ser tiradas a la basura!
Millones de CDs se utilizan para contener una instalación de Windows o Mac OS y son vendidos a los clientes en cajas. Linux también necesita ser quemado en un CD antes de la instalación (en la mayoría de los casos, por lo menos -- la instalación desde la red o de un disco duro es también común). Sin embargo, muchas personas eligen quemarlo en un CD regrabable ("CD-RW", que puede ser re usado con otros propósitos una vez que la instalación está terminada (a diferencia de los sistemas operativos propietarios, no necesitas mantener el CD guardado después de que has instalado el software, siempre puedes bajarlo de nuevo posteriormente).

Sin puertas traseras en tu software


La diferencia entre el software de “código cerrado” (propietario) y el de “código abierto” (¿cómo adivinar?) es que su “código” está abierto. Eh, bueno, ¿porqué me importa? Bien, el “código” o “código fuente” es como la receta secreta de cada software, como la receta de un pastel. Cuando compras un pastel, no hay manera de que tú puedas averiguar la receta exacta (aunque puedes adivinar un poquito, “tiene un poco de coco rallado aquí”). Sí la pastelería proporcionara la receta de su super exitoso pastel de queso, pronto quebraría por que la gente lo hornearía por si mismos en su casa y dejaría de comprarlo. Así mismo, Microsoft no proporciona la receta, o “código fuente” de su software como Windows y con razón, por que es con lo que hacen su dinero.

El problema es que pueden poner cualquier cosa que quieran en su receta, sin nuestro conocimiento. Si ellos quieren agregar un poquito de código diciendo: “cada día 12 del mes, si el ordenador está en línea, crear una lista de todos los archivos que se han descargado en este ordenador desde el último mes y envíala de regreso a Microsoft a través de la red”. Microsoft probablemente no haga esto, pero ¿cómo lo puedes saber si todo está cerrado, invisible, secreto?.

Hace poco tiempo (durante octubre de 2008) muchos de los usuarios chinos de Windows (la mayoría compró copias pirateadas de Windows) vieron que algo extraño pasaba con su ordenador: cada hora, su pantalla se tornaba negra por unos segundos, nada que realmente te impida trabajar, pero puede hacer que fácilmente te desesperes. Microsoft agregó este pedacito de código (como un ingrediente a la receta) diciendo “si es detectado como una copia pirateada de Windows, haz la pantalla negra por unos segundos, cada hora”. Ahora, el punto no es que el software fuera pirateado, piratear software el malo, punto. El punto es que estos usuarios obtuvieron una actualización automática para Windows (las actualizaciones usualmente corrigen errores y agregan nuevas características) sin el conocimiento de que esto afectaría su sistema. Nadie sabia.

Cambiar el código fuente del software de código abierto, es un proceso mucho más abierto. Por definición, todas las recetas son públicas. Esto no es tan importante para ti, ya que no serás capaz de entender el código de todos modos, pero la gente que lo entiende, puede leerlo y hablarlo. A menudo lo hacen. Cada cierto tiempo, alguien quiere cambiar el código fuente y todos los demás desarrolladores pueden ver el cambio (“oye, ¿por qué agregaste este código para espiar lo que escribe el usuario con el teclado?, ¿te has vuelto loco?”). E incluso si todo el equipo de mantenedores de alguna pieza de software se volviera loco y empezara a agregar características mata-perritos por todo el código fuente, alguien fuera del equipo, puede tomar todo el código, remover todos los bits malvados, crear toda una nueva versión de él y dejar saber al mundo la diferencia. Es abierto.

Esta es la razón por la que puedes estar seguro que el software de código abierto no hace cosas malas a tus espaldas: la comunidad mantiene un ojo muy cerca de todas las recetas.

Disfruta de soporte gratis e ilimitado


Uno de los grandes valores de la comunidad de Código Abierto (y Linux en particular) es que es una comunidad real. Los usuarios y diseñadores de software realmente están ahí, en los foros de internet, listas de correo, en los canales IRC, ayudando a nuevos usuarios. Ellos están felices de ver que más y más personas se están cambiando a Linux y están muy contentos de ayudar a estos nuevos usuarios a aprender a moverse en su nuevo sistema operativo.

Entonces, si hay algo que no entiendes, un programa que no se comporta de la manera que tú esperas o no encuentras alguna opción, no dudes en ir y preguntarles. Si hay alguien cercano a ti (¿familiar? ¿colega?) que está usando Linux, él o ella van a estar dispuestos a ayudarte. De otra manera, simplemente entra a internet y vas a encontrar literalmente miles de lugares donde gente amable va a responderte y echarte una mano para solucionar, la mayor parte del tiempo, tus problemas: los hinchas de Linux de hecho son gente amigable, si haces tus preguntas educadamente. También puedes teclear: "ayuda linux" (o reemplaza "linux" por la distribución que escojas -- ver la sección de instalación) en Google y sin lugar a dudas vas a encontrar todo lo que necesites.

¿Demasiadas ventanas? Usa las distintas áreas de trabajo


Nunca fui un usuario de Windows y hay algo que no puedo entender: una vez que abren el procesador de textos, navegador web, cliente de correo, cliente de mensajería instantánea y algunas ventanas para explorar sus archivos, ¿como hacen los usuarios de Windows para no perderse en este desorden?

Áreas de trabajo es una aplicación que nunca cambiaría por nada. Probablemente sólo tengas una pantalla, no? Prueba Linux y tendrás cuatro. Bueno, no podrás ver las cuatro al mismo tiempo, pero esto no importa ya que tus ojos no pueden ver en dos direcciones al mismo tiempo, ¿verdad?. Imagina que en la primera pantalla ponemos tu procesador de textos, en la segunda tu cliente de mensajería instantánea y en la tercera tu navegador web. Entonces cuando estés usando tu procesador de textos y quieras revisar algo en Internet, no necesitarás buscar a tu navegador web entre todas tus ventanas apiladas unas detrás de otras. Sólo cambiarás a tu tercera ventana y allí estará.

Ese es el "cambiador de áres de trabajo". Podrás ver que por defecto tiene cuatro pantallas (virtuales), pero puedes tener más que eso (yo uso 2 de ellas, pero algunas personas tienen más). Para cambiar a otra, sólo haz clic en la que quieras o también puedes usar una combinación de teclas que tú escojas.

No esperes años a que se arreglen los fallos, comunicalos y sigue su solución


Si encuentras un error en Windows, básicamente debes esperar y rezar para que Microsoft lo arregle rápido (y si este fallo compromete la seguridad del sistema vas a tener que rezar el doble de fuerte). Puedes pensar que comunicar ese fallo a Microsoft (y así ellos lo arreglarán más rápido) debe ser fácil. Bueno... piénsalo de nuevo. Aquí hay un interesante artículo sobre esto. ¿Qué tal si Microsoft ni siquiera se da cuenta de los fallos? Bueno entonces, tengamos esperanzas en que la próxima versión de Windows lo arreglará (pero tendrás que pagar otros cientos de dólares).

Casi todo el software de código abierto (incluyendo las distribuciones Linux) tienen un sistema de rastreo de errores. Tú puedes no sólo llenar reportes de fallos (y te animamos a hacerlo!) explicando cual es el problema, pero también puedes ver que es lo que pasa luego: todo es abierto y transparente para todos. Los desarrolladores de software te responderán, también te pueden preguntar por algo de información extra que los ayude a solucionar el error. Sabrás cuando el fallo fue arreglado y como obtener la nueva versión (siempre gratis, no faltaba más). Entonces aquí tienes personas arreglando tus problemas, manteniéndote informado y todo eso gratis!. Si el problema está resuelto para tu sistema, también lo estará para los sistemas de los demás: está en el interés de todos trabajar juntos para hacer un mejor software. Esta es la manera como trabaja el código abierto.

¿Estás cansado de reiniciar tu ordenador continuamente?


¿Alguna vez haz actualizado una o dos cositas en tu sistema Windows con el "Actualizador de Windows"? Por favor reinicie. ¿Alguna vez haz instalado software nuevo? Por favor reinicie. ¿Parece tu sistema inestable? Intente reiniciando, probablemente todo trabaje mejor después de eso.

Windows siempre te recomienda reiniciar tu computadora y eso puede ser fastidioso (tal vez te sucedió alguna vez que estabas descargando algo grande y no querías interrumpir la descarga porque actualizaste un par de cosas en tu sistema). Pero incluso si haces clic en "Reiniciar después", Windows te seguirá molestando cada 10 minutos para hacerte saber que realmente deberías reiniciar tu computadora. Y si por casualidad estabas lejos de la computadora y no viste la pregunta, Windows alegremente reiniciará el sistema automáticamente. Hasta la vista descarga.

Linux básicamente no necesita reiniciar. Ya sea si instalas nuevo software (incluso programas bien grandes) o realizas actualizaciones de rutina para tu sistema, no te va a preguntar para reiniciar la computadora. Sólo es necesario cuando una parte del corazón del sistema ha sido actualizada, y eso sólo pasa una vez después de varias semanas.

¿Conoces los servidores de internet? Son grandes ordenadores que te responden cuando solicitas una página web y te sirven la información a tu navegador. La mayoría de ellas usa Linux, y ya que necesitan estar siempre disponibles (un visitante puede llegar a cualquier hora), no son reiniciados muy a menudo (los servicios no están disponibles mientras el sistema se está reiniciando). De hecho, muchos de ellos no han sido reiniciados por varios años. Linux es estable, corre perfectamente bien sin reiniciarlo todo el tiempo.

Probablemente no vas a dejar tu computadora funcionando por varias semanas pero el punto es: tu sistema no va a molestarte con eso de reiniciar todo el tiempo.

Deja que tu viejo ordenador tenga una segunda vida


Windows requiere cada vez ordenadores más y más potentes, mientras el número de versión sube (95, 98, 2000, Xp, etc.). Entonces, si quieres seguir usando Windows, necesitas comprar constantemente nuevos ordenadores, pero no veo ninguna buena razón para esa evolución tan rápida. Si bien es cierto que muchas personas necesitan un ordenado potente y la nueva tecnología y hardware los ayudan en esto, la mayoría de usuarios simplemente navega por internet, lee y escribe correos electrónicos, escribe textos o hacen diapositivas, ¿cuál es el motivo para comprar unnuevo ordenador cada 2, 3 o 4 años, a parte de hacer que los vendedores de ordenadores hagan más dinero? ¿Cuál es la razón exacta de porqué tu ordenador no puede continuar haciendo lo que hizo hace 5 años perfectamente bien?

Linux funciona perfectamente bien en ordenadores antiguos, en un ordenador en el que Windows Xp no podría ser instalado, o te haría esperar 20 segundos después de cada clic. De hecho, Linux no va a hacer que tu ordenador de 12 años sea un bólido, pero funcionará muy bien en él y te permitirá realizar tareas habituales (navegar por internet, escribir textos, etc.) simplemente bien. Para poner un ejemplo, el ordenador que te envió esta página no es muy moderno y ejecuta Linux: si puedes leer esto, entonces está activo y funcionando (y si la página web carga lentamente, échale la culpa sólo a mi conexión de internet).

Juega gratis a cientos de juegos


Cientos de juegos están liberados bajo la licencia libre: 2D, 3D, crucigramas, juegos de guerra, multijugadores en línea, ¡el que quieras!

LISTADO JUEGOS LINUX: http://www.icculus.org/lgfaq/gamelist.php

Ayuda a otros países y al tuyo propio


Microsoft es una compañía estadounidense y su éxito es excelente para la economía de ese país.

Pero si no vives en USA, cuando compras software propietario (ej. Windows), cerca de la mitad del dinero se va directamente a la compañía (ej Microsoft): ese dinero deja tu país, mientras que la otra mitad se queda (comisiones por la venta, etc: beneficios no técnicos). Con esto tu país no está produciendo nada e incluso no tienen a las personas calificadas para vender los servidores/ordenadores. Eso lleva a tener profesionales de la tecnología de la información (IT) sin conocimiento de alto nivel que sólo instalan y configuran software propietario sin la opción de modificarlo/aprenderlo/personalizarlo.

Con el Software Libre (ej. Linux), la economía (y el conocimiento del profesional IT) de tu país podría mejorar, ya que podrían haber muchas compañías pequeñas o medianas personalizando soluciones, dando soporte, consultoría, etc.

Las personas que saben como hacer las cosas y retener el dinero en tu país se beneficiarían con esto, en vez de otras personas que sólo saben vender ordenadores, enviando tu dinero al extranjero, dejando a los profesionales IT sin un conocimiento real de como trabajan las cosas.

Usa MSN, AIM, ICQ, Jabber, con un único programa


Tal vez tengas cuentas en varios servicios de mensajería instantánea, tales como MSN, Yahoo, ICQ, Jabber, etc. pero mientras estás usando Windows o Mac OS x, probablemente necesites usar un programa para conectarte a cada uno: MSN Messenger para MSN, ICQ para ICQ, etc.

Con Pidgin, el cliente de mensajería instantánea para Linux (existe también para Windows), te puedes conectar a todos estos servicios a la vez con este único programa y ver a todos tus amigotes al mismo tiempo.

Consigue un gran reproductor musical


Linux tiene muchos reproductores de música (incluyendo Amarok, Rhythmbox, Banshee, etc.) y algunos de ellos son grandiosos. Echa una mirada a Amarok, éste gestiona y reproduce tu música perfectamente, aprende qué melodías prefieres, rastrea automáticamente el título y las letras de las canciones en Internet, incluso ¡te trae las carátulas de los CD!

Bien, por estas y por muchas otras razones me decidí a usar LINUX. Espero que a ti también te hayan ayudado aunque sea un poco a nivelar la balanza a favor de nuestro querido pingüino.

Un saludo y disculpen por la extensión, aunque quería dejar claros de una vez todos o casi todos los PROS de su utilización. 



Fuente original

viernes, 18 de junio de 2010

viernes, 11 de junio de 2010

Chistes freakys :) [Humor]


Ejecución de comandos arbitrarios en XP y 2003

Tavis Ormandy ha publicado, en la lista de Full Disclosure, los detalles y prueba de concepto de una vulnerabilidad sin parche que permite ejecutar comandos arbitrarios a través de una URL. El fallo descubierto se halla en Microsoft Windows Help Centre, la aplicación para acceder a
la documentación de ayuda.

Dicha aplicación registra un manejador de protocolo con el esquema "hcp://" para acceder a la documentación a través de URLs.
Cuando se accede a través de una URL a la documentación, el manejador del nombrado esquema "hcp", añade el parámetro de línea de comandos "/fromhcp" para indicarle a la aplicación del centro de ayuda que el recurso ha sido
solicitado desde una URL; restringiendo el uso de parámetros y
permitiendo sólo un conjunto de documentos que se encuentran en una
lista blanca.

Ormandy ha encontrado un método para evadir esta lista blanca, basado en
un error en la implementación de la función que comprueba las URL.

El fallo reside en la función "MPC::HTML::UrlUnescapeW", usada para la
normalización y filtrado de la URL antes de ser validada. Dicha función
usa a su vez la función "MPC::HexToNum" para convertir los caracteres
escapados (p.ej %20 al valor de espacio en blanco) a su correspondiente
valor numérico.

Sin entrar en detalles técnicos, básicamente, la función
"MPC::HTML::UrlUnescapeW" omite el chequeo del valor de retorno de
"MPC::HexToNum", permitiendo envenenar la cadena final y evadir la
restricción de lista blanca.

Para proseguir con la explotación Ormandy necesitaba una página de la
documentación que cumpliese con varias condiciones, poder ser invocado
directamente desde una URL y con un fallo de cross-site scripting que le
permitiese incluir una cadena manipulada.

Pudo localizar la página de documentación e identificar el XSS, pero
curiosamente no pudo explotarlo (Ormandy no es especialista en Web). Así
que tuvo que echar mano de su compañero en Google y experto en seguridad
web y navegadores Michal Zalewski, muy nombrado últimamente por su
escáner de seguridad web Skipfish.

Con la ayuda de Zalewski y de una propiedad exclusiva de Internet
Explorer el XSS pudo ser explotado ;)
En ese momento se disponía de un método para evadir la lista blanca, una página de documentación de ayuda instalada por defecto y con un XSS explotable. Al ejecutarse la página en una zona privilegiada tan solo bastaba incluir un comando en la cadena para provocar su ejecución.

Más info:

http://seclists.org/fulldisclosure/2010/Jun/205

http://blogs.technet.com/b/msrc/archive/2010/06/10/windows-help-vulnerability-disclosure.aspx

Gracias Puky por la data :)

miércoles, 5 de mayo de 2010

Otro bug en el fucking Facebook!

Hoy, un error permitía a los usuarios ver las conversaciones que sus contactos mantenían con otros amigos, en vivo y en directo.

TechCrunch detectó una falla de seguridad en facebook que exponía información personal. Este bug permite que terceros tengan acceso tanto a los chats como a las solicitudes de amistad.

El fallo es accesible a través de la vista preeliminar de perfil, situada paradójicamente en las opciones de privacidad.

De todas formas, la red ya solucionó el problema...

Curiosamente, este error es producto de las nuevas medidas de seguridad introducidas por facebook... JA JA JA!

viernes, 30 de abril de 2010

Llegó Ubuntu 10.04 :)

Cada seis meses, Canonical y su comunidad de desarrollo sacan a la luz una nueva versión de Ubuntu.... 
Ayer salio la última versión llamada Ubuntu "Lucid Lynx" 10.04 LTS (Long Term Support).

Al ser un LTS, veremos a Ubuntu 10.04 al menos durante los próximos tres años...

Con el tiempo, Ubuntu se ha convertido en la distribución Linux más conocida, y es que aúna facilidad de uso y seguridad ;)

Ubuntu cuenta con su propio gestor de paquetes, para que instalar un nuevo programa no sea un problema. Reconoce la mayoría de hardware y conectarse a Internet no supone ninguna complicación. Y además podés probarlo sin necesidad de instalación.


Changelog:
* Versión LTS (Long Term Support) 

* Arranque optimizado
* Redes sociales: Twitter, Facebook, flickr… cobran mas protagonismo en Lucid Lynx para que no te pierdas nada de lo que ocurre en la “nube”.
* Reemplazos de programas: Se eliminan aplicaciones como Gimp o Xsane, dando paso a otras como pitivi, Gwibber o Simple Scan
* Centro de software de Ubuntu rediseñado
* Integración de Empathy y Gwibber en la barra de menú
* Nuevo tema de Escritorio y pantallas de arranque y apagado
* Fondos de Escritorio
* Actualización de paquetes 

* Ubuntu One Music Store: tienda de música online integrada en Rhythmbox 

Los ajustes de rendimiento han sido varios, y como tales, permanecen bajo la cubierta de Ubuntu. La versión del kernel es la 2.6.32, apenas un punto por detrás del último kernel Linux estable. Las mejoras en los tiempos de inicio son cada vez más impresionantes. Habrá que ver qué tanto de estas optimizaciones se mantienen en sistemas más humildes, pero hemos quedado sorprendidos por el gran trabajo que Canonical sigue haciendo en este aspecto, y si un usuario cuenta con un disco SSD, la velocidad es aún mayor. Finalmente, otro detalle estético: ¿Recuerdan al Centro de Software de Ubuntu? ¿Recuerdan también que, aunque funcionaba correctamente, realmente necesitaba una nueva cara? Bueno, parece que en Canonical se han dado cuenta de esto, porque la apariencia del Centro de Software ha cambiado, y debo decir que para bien. El diseño es más limpio, los iconos más claros, y el proceso de desinstalación de software sólo requiere de un clic y la autentificación necesaria (como sucede con toda operación que requiera de una elevación de privilegios). 

Dónde consigo esta maravilla de Ubuntu 10.04? ACA !

Por último les dejo un videito (en gallego) donde se recopilan las novedades y se explica como instalarlo paso a paso:

miércoles, 28 de abril de 2010

Balmer apadrinó UADE Labs

En su segunda visita a la Argentina, Steve Ballmer,  expuso la visión de Micro$oft sobre "cloud computing" y fue elegido como padrino del  UADE Labs.
Este laboratorio supuestamente apuesta a la innovación educativa y fomenta la investigación universitaria...

Jorge del Águila, rector de UADE dijo: “La iniciativa busca elevar el nivel de la educación superior argentina dotando de un mayor profesionalismo a la formación de los estudiantes universitarios, promoviendo la transformación de la infraestructura educativa nacional y regional”.

La verdad es que lo que dijo da que pensar... ya que relacionan el profesionalismo y la educación con una empresa capitalista y privativa (es de entenderse viniendo de la UADE). 
Pero, como investigas sobre un sistema que no podes modificar, analizar, entender en profundidad como funciona y que encima no se encuentra bien documentado? 
Además, el EULA privativo de Micro$oft no permite modificaciones sobre los mismos...

UADE distinguió a Ballmer en “reconocimiento a su gestión en la consolidación del liderazgo mundial de Microsoft y por su sobresaliente labor en pos del desarrollo de la industria de IT -> WTF??!!!

Una vergüenza

martes, 27 de abril de 2010

Una visita privativa.... Steve Balmmer en UADE

Steve Ballmer, el CEO de Micro$oft (conocido por sus apariciones extravagantes), hoy dará una charla en la UADE.
Obviamente, siguiendo con la misma politica de la empresa, el acceso es PRIVATIVO (sólo por invitación por parte de la importante empresa privativa)...

Será por miedo a que lo "escrache" la gente del Software Libre o de que le pregunten algo que no se anime a responder???

Que casualidad que este tipo venga el mismo día en que el Dr. Richard Stallman, padre del movimiento del Software Libre, se retira del país después de dos semanas de dar charlas, participar en programas de TV y recorriendo varias ciudades "evangelizando" sobre la importancia de vivir en un mundo libre.

Ballmer hablará sobre nuevas tendencias tecnológicas y de negocios, desde la optica de Micro$oft. Se presentará en el Aula Magna de UADE.

Steve Ballmer quedó a cargo de Micro$oft en 2008, cuando su co-fundador Bill Gates decidió abandonar la empresa para dedicarse de lleno a la fundación benéfica que dirige junto a su esposa.


Para el que no lo conoce, este es el "loco" Ballmer:

martes, 20 de abril de 2010

Go Linux fue el ganador!

Amanda MacPherson, vicepresidente de marketing y programas de desarollo en la fundación Linux, ha anunciado a los 3 ganadores de la edición 2010 a los mejores videos Linux...

En el primer puesto puesto está el videito titulado "Go Linux", el cual fue elegido por ser el que mejor plasma el Espiritu Linux ;)


viernes, 16 de abril de 2010

Seguridad hasta las nuves [Articulo]

Las tendencias para este año en materia de seguridad apuntan a la ya famosa “Cloud Computing”… pero qué es exactamente esta famosa nube?

Cloud Computing (computación en nube) es un nuevo paradigma que permite ofrecer software como servicios a través de Internet, es decir, los usuarios finales acceden a la información (programas, datos, etc.) almacenada en servidores publicados en Internet, evitando así los problemas de compatibilidad y velocidad de procesamiento y almacenamiento de las workstations.

Como ejemplos de Cloud Computing se destacan Google Apps, Ubuntu One y Microsoft Azure. Todos ellos proveen aplicaciones on-line accesibles desde cualquier browser, mientras el software y todos los datos se almacenan en los servidores.

Si bien a priori parece una gran idea, hay que tener en cuenta que este paradigma limita la libertad de los usuarios, ya que los hace 100% dependientes del proveedor de servicios.
El Dr. Richard Stallman, fundador de la Free Software Foundation, cree que la computación en nube pone en peligro las libertades de los usuarios, porque éstos dejan su privacidad y datos personales en manos de terceros. Ha afirmado que la computación en nube es "simplemente una trampa destinada a obligar a más gente a adquirir sistemas propietarios, bloqueados, que les costarán más y más conforme pase el tiempo."

En lo que se refiere a seguridad, es evidente que hay que hacer especial foco en los pilares de Confidencialidad y Disponibilidad. Además, hay que tener mucho cuidado del EULA que debe aceptar la compañía / usuarios que deseen utilizar este tipo de servicios.

A raíz de esto, HP y Cloud Security Alliance (CSA) llevaron a cabo una investigación con el fin de ayudar a las compañías a entender tanto las amenazas actuales como las futuras; además de  proporcionar estrategias que garanticen que los procesos de negocio, así como los datos del mismo se mantenidas de un modo seguro en el entorno Cloud.

El informe titulado “Top Cloud Security Threats Report",  expone los resultados de la investigación realizada por expertos en seguridad de 29 empresas, proveedores de soluciones y empresas de consultoría que están expuestos a los entornos cloud más demandados y complejos.
Los resultados más destacados del mismo se presentaron en Cloud Security Summit durante la celebración de la RSA conference.

La investigación identifica la vulnerabilidades que obstaculizan la adopción de servicios cloud en todo su potencial. Por ejemplo, las compañías deben tener conocimiento del “abuso y uso nefasto del cloud computing", que incluye ejemplos como Zeus botnet y InfoStealing trojan horses, el software malicioso que ha demostrado ser especialmente eficaz en comprometer los recursos privados sensibles en entornos de Cloud.

Otras amenazas señaladas en la investigación son:
- Personas maliciosas dentro de una empresa / empleados disconformes.
- Vulnerabilidades de tecnología compartidas.
- Pérdida de datos/Fugas.
- Cuenta/Servicio y secuestro de tráfico.

Como conclusión al reporte, Archie Reed, Jefe de Tecnología para seguridad de Cloud, Secure Advantage de HP dijo:
 “Para mitigar el riesgo del negocio asociado al Cloud, las empresas deben invertir tiempo y recursos para asegurar correctamente sus activos del centro de datos".

Trend Micro, también habló al respecto en su "Informe de Amenazas para 2010".
En este sentido recuerda que ya el año pasado la industria ha sido testigo de Danger/Sidekick, el fallo de un gran servidor basado en la nube que causó el mayor apagón de datos en noviembre de 2009.
Esta denegación de servicio que afecto la disponibilidad de la información, es una clara evidencia de los riesgos del Cloud Computing.

martes, 13 de abril de 2010

Adios al Fucking Namoroka!

Seguramente les pasó que actualizaron Ubuntu y les instaló una supuesta nueva versión de Firefox...
Y su amado Firefox desapareció y apareció un "Firefox" llamado Namoroka y que tiene otro icono.

Eso significa que Ubuntu reemplazo tu Mozilla Firefox por la version 3.6 de Namoroka (nombre tomado del Parque Nacional Namoroka, ubicado en el noroeste de la isla de Madagascar).

Namoroka es un browser que está en desarrollo y por tanto, susceptible de ser inestable... de hecho es MUY INESTABLE!

Además es posible que algunas extensiones o complementos que tenías instalados en una versión anterior, ahora dejen de funcionar por no ser compatibles con Namoroka...
Y la frutillita del postre es que Namoroka, además, está en inglés!!

Seguramente esto les proboque un malestar importante y decidan como yo desinstalar la porqueria de Namoroka e ir a la versión estable de Mozilla Firefox.

Acontinuación detallo como hacerlo:

1- Ir a "Centro de Software Ubuntu", seleccionar "Navegador Web Mozilla Firefox 3.0" (ese es el fucking Namoroka!) y desinstalarlo.

2- Instalamos Mozilla Firefox v3.6 corriendo los siguientes comandos (como usuario root!):

echo -e "\ndeb http://downloads.sourceforge.net/project/ubuntuzilla/mozilla/apt all main" | sudo tee -a /etc/apt/sources.list > /dev/null
apt-key adv --recv-keys --keyserver keyserver.ubuntu.com C1289A29
apt-get update
apt-get install firefox-mozilla-build

lunes, 5 de abril de 2010

Ipad Crackeado

El Ipad fue "crackeado" en menos de 24 horas, tras su lanzamiento al mercado a fines de la semana pasada.

Miembros del equipo de Dev-Team, que ya se habían hecho famosos por haber violado los sistemas del iPhone, mostraron el procedimiento en un video subido a YouTube.

La noticia salió a la luz luego de que un mensaje en Twitter, diera a conocer las imágenes que develan el secreto de los crackers.

Gracias a esto se logra acceder a todos los archivos y carpetas del iPad, dando lugar a que, entre otras cosas, se modifiquen las aplicaciones del dispositivo o se instalen programas de terceros no autorizados ;)



jueves, 1 de abril de 2010

Richard Matthew Stallman en Berazategui

Stallman nos visitará nuevamente el Miércoles 14 de Abril en el "Centro de Actividades De Vicenzo" (Berazategui). 

La conferencia es para todo tipo de público, en español y no se requieren conocimientos técnicos. 
El acceso es libre y gratuito. Registrate aca

18:30 horas: Reunión de la comunidad local del Software Libre con Richard Stallman

Se ofrecerá un sencillo ágape para Richard Stallman junto a los usuarios y desarrolladores que durante todo el año trabajan haciendo e impulsando el Software Libre en la región.



Más info en http://berazateguilibre.org/

lunes, 29 de marzo de 2010

Se acabó la paciencia de Charlie Miller

El experto en seguridad informática Charlie Miller, dice que  ya no está dispuesto a notificar a los vendors sobre nuevos bugs que encuentre.

En la competencia Pwn2Own, por tercer año consecutivo, Miller reveló un total de 20 0days que afectan a: Powerpoint, Acrobat Reader, Mac OS X Snow Leopard, OpenOffice y Safari.

Estos bugs fueron descubiertos utilizando un fuzzer desarrollado por él mismo.
Gracias a esto, ganó 10.000 dólares y una MacBoook Pro :)

Sin embargo, en esta oportunidad no está dispuesto a revelar las vulnerabilidades ante los vendors, ya que dice sentir exasperación ante la forma descuidada con que las grandes empresas manejan la seguridad de sus productos.

Miller lamenta que las vulnerabilidades que él ha detectado son sencillamente parcheadas por los fabricantes, sin mejorar la seguridad en sí. 


A juicio de Miller, "la cultura de los parches" es negativa para la industria y los consumidores.

Pero está dispuesto a enseñar a Apple, Microsoft y Adobe a detectar y prevenir vulnerabilidades. 

lunes, 1 de marzo de 2010

Instalar última versión de Nmap en Ubuntu

En este post voy a detallar como instalar la última versión de Nmap para Ubuntu...
A la mayoria de los pentesters que usamos Ubuntu nos pasa que necesitamos tener siempre la última versión de nmap (para tener las últimas funcionalidades, nuevas firmas para OS Fingerprinting, etc...) pero la misma no se encuentra en los repositorios de apt...

Entonces no nos queda otra opción que compilarlo nosotros mismos.

A continuación voy a detallar paso a paso como hacerlo:

1- Ir a http://nmap.org/download.html y bajar la última versión del .tar.bz2 que encontremos (actualmente es el archivo nmap-5.21.tar.bz2)

2- Abrir una consola - como root - e ingresar al directorio donde descargamos el nmap, en mi caso sería: cd /home/juan/Descargas

3-  Para instalar el descompresor (bzip2) y el compilador (g++) tipear: apt-get install bzip2 g++
 
4-  Para descomprimirlo tipeamos:  bzip2 -cd nmap-5.21.tar.bz2 | tar xvf - 
Tengan en cuenta que el archivo que descargamos se llama "nmap-5.21.tar.bz2"

5- Ingresamos al directorio que contiene el nmap descomprimido: cd nmap-5.21


Ahora vamos a compilarlo e instalarlo...

6- Tipeamos: ./configure

7- Tipeamos: make

8- Tipeamos: make install

9- Ejecutamos el nmap tipeando: nmap

Noten que en la primer línea nos informa la versión...
En este caso dice "Starting Nmap 5.21 ( http://nmap.org )"

Happy Hacking ;)

lunes, 8 de febrero de 2010

Odio a Facebook!


Por qué odio a Facebook?

0- No tiene objetivo real útil

My Space comenzó con el fin de brindar espacio de almacenamiento masivo para usuarios (de ahí su nombre), después cambió permitiendo promocionar contenido multimedia de bandas y armar un perfil compartiendo info sobre bandas favoritas y demás. Además permite que bandas independientes puedan promocionarse.

Linkedin sirve como medio de promición de nuestro perfil profesional para mantenernos en contacto con colegas, clientes y por sobre todas las cosas para tener facilmente nuevas oportunidades laborales o debatir sobre algún tema.

Ahora... Facebook, que fin tiene? Boludear? Contactarnos con los mismos contactos que tenemos en otras redes sociales o IM (como MSN)? ... La verdad, no encuentro una finalidad útil.

1- Falta de Privacidad

Mark Zuckerberg, el "fundador" de Facebook (si, el pibito con cara de gil) , decía el pasado 9 de enero en la gala de los Crunchies Awards, San Francisco:

    “La gente se siente realmente cómoda no solo compartiendo información de diferente tipo sino de forma más abierta y con más gente. La norma social es algo que ha evolucionado a lo largo del tiempo.”

Según él, la privacidad ya no es una “normal social”; además, el crecimiento de las redes sociales refleja un cambio en las actitudes de la gente normal... WTF??!!

Esto es confirmado por una entrevista realizada por The Rumpus a un empleado anónimo de Facebook, la red social almacena cada interacción de los usuarios: cada foto subida, cada click hecho en al perfil de otros usuario, las actualizaciones de estado, cambios en la información de los perfiles, etc, etc…

No se olviden que la CIA invierte en Facebook... que raro no?? :P

De hecho Richard Stallman, ha asegurado que "nunca" ha visto Facebook aunque tiene entendido que "ofrece una falsa privacidad" y que mantiene una relación "estrecha" con la CIA...

Los máximos exponentes del término Privativo son Microsoft y Facebook sin lugar a dudas!

2- Vouyerismo / Spoofing

Cualquier gil se pude armar un perfil falso y "espiar" a amigos, conocidos o a cualquiera!...
Lo peor de todo es que cualquiera puede armarse un perfil falso "impersonalizando" a otro. Te gustaria que armen un perfil falso tuyo y que disfamen?

3- El 90% lo usa para buscar a sus ex o para histeriquear...

De acuerdo a un estudio de Divorce-Online, Facebook es mencionado en el 20% de las peticiones de divorcio online.
Según los abogados, el aumento de popularidad de sitios Web como Facebook está tentando a la gente a engañar a sus parejas. Esposas desconfiadas también han usado Facebook para encontrar evidencias de flirteo, o incluso aventuras, que han terminado en divorcio.

4- ODIO QUE LE DIGAN "FACE", No se hagan los chetos!

5- Todos usan Photoshop o hacen algo para que su foto sea lo más alejado de la realidad posible (pobres idiotas!)

Videos de gente que explica por qué Facebook Sucks...