GaRaGeD Style

Este sábado probablemente tenga la oportunidad de dar una plática o taller en el flisol acerca de XSS y SLQi, la cual de hecho debí haber dado con el Roa el mes pasado en Tlaxcala, pero no pude asistir al congreso 🙁

Espero que los que asistan a la plática aprendan con cierto detalle las técnicas utilizadas para detectar y atacar manualmente estos dos tipos de vulnerabilidades, pero algo que me interesa mucho también es intentar dejarles la semillita a los asistentes de que se debe ser responsable en cuanto a la programación de software (especialmente aplicaciones para web) y aún más responsable con la respuesta a las vulnerabilidades en estas.

Es muy común en la actualidad, y de hecho creo que siempre fue común :), que las compañías se dediquen a vender aplicaciones y de repente se olviden de que tenían que hacerlas con un mínimo de calidad, por lo que no es nada complicado encontrar sitios que tienen alguna de estas dos vulnerabilidades, y algunas otras que no voy a comentar.

El problema no acaba ahí, hay un problema que considero aún mas grave, es bastante común encontrar que las compañías no tienen la más mínima consiencia de cómo manejar los reportes de seguridad, y con cierta frecuencia ignoran por completo los avisos, de repente la burocracia no les permite responder en menos de unos meses, y algunas otras variantes.

Otro detalle es el de cómo reportar, los que no tienen nada mejor que hacer, y buscan vulnerabilidades para pasar el rato, tienen la responsabilidad primero de no alterar dramáticamente los sitios, eso es algo de mal gusto (a menos que tengas algun mensaje interesante que dar), y deben de reportar por los medios acostumbrados (eso sería un email), si hay una respuesta entonces al menos debe esperarse un mes para hacer público el hallazgo, o de plano nunca hacerlo público, depende de qué te interese :), y la compañia debe ser responsable de avisar un mínimo plan de trabajo, y la fecha de corrección del problema, para que evitar descontentos no solo para los clientes, sino también para el cuate que se dió el tiempo de reportar en buena onda.

Mas o menos eser sería el esquema que a mi me agrada, claro que debe haber varios detalles que no tomo en cuenta, y hay que ser flexibles en ambos lados de la linea, a veces no se puede corregir algo en 1 mes (sería muy raro, pero pue pasar), y a veces es más importante avisar que esperar a que se corrija, cosas así.

Lo más importante sería que lograramos enseñar a la gente a que debe ser detallista en cuanto al aprendizaje, si vas a hacer aplicaciones web por favor revisa también como hacerlas seguras, aprende a atacarlas, y aprende a corregir vulnerabilidades, no toma más de unos días aprender lo necesario, y puede evitar problemas muy serios.

2 Comments | In: Seguridad | | #

Este sábado 24 de abril de 2010 se celebra el FLISOL, para los que no lo conocen y les da pereza ir a leer la liga les comento que es un “install fest”, un “install fest” es …. nah

Se trata de promover el uso de Software Libre en toda latinoamérica, todos los países el mismo día generan muchos eventos en varios de sus estados y ciudades, acá en México existe un listado (bastante mal mantenido) de estados y ciudades que realizaran su FLISOL.

En particular en Morelos habrá este año también FLISOL en la UTEZ, y en el wiki oficial del evento de Morelos pueden ver las pláticas, posiblemente se de un taller (posiblemente yo lo de), y claro está el install fest para la tarde donde se espera dar ayuda para instalar una buena cantidad de distribuciones de Linux

No Comments | In: Uncategorized | | #

En el tema recurrente de todas las conversaciones, ahora voy a comentar sobre las tontas declaraciones del secretario de seguridad nacional, el gomez mont ese, y de las tácticas sinaloenses para evitar que se haga público algo que YA ES PUBLICO !!!

La revista proceso publicó la semana pasada una nota que muchos ya deben conocer, el director de la revista fue a entrevistar en persona al “Mayo” Zambada, en un movimiento de seguridad digno de la mejor agencia de seguridad lo llevaron hasta donde estaba el narco este y estuvo platicando con él un rato (edicion 1744, o google es tu amigo).

Pues ahora resulta que los babosos del gobierno se ponen a decir babosadas como solo ellos saben para desestimar el asunto: Gomez Mont le dice al mayo que saque la cara !!

A ver señor secretario de seguridad, no le parece a usted que pedir eso es como riesgoso hasta para usted ???

Cuídese de lo que desea señor, no vaya a ser que se haga realidad, mejor por qué no se pone a hablar con los candidatos de su partido y si se puede de los otro también, para que dejen de recibir apoyo del narco, por qué no habla con los gobernadores que a todas luces están metidos en eso ??, por qué no se pone a ejercer las leyes de verdad ??

Yo tengo la respuesta a todas esas preguntas, porque usted está metido hasta las manitas, no nos hagamos tontos, y en efecto, estoy acusando sin pruebas, pero para qué las queremos ?? se hizo algo con Bours en alguna de las veintitantas detenciones de camiones de bachoco con drogas ??, no verdad ?, entonces usted no tiene absolutamente ninguna credibilidad ni calidad moral para exigirle a NADIE N-A-D-A.

Mejor callese la boca, ya renuncie y pásele a lo que sigue, no le vaya a pasar lo que su ex-colega de Morelos que ahora está en la carcel adivine por qué? 😛

No Comments | In: Uncategorized | | #

El uso de recursos desesperados normalmente no sirve de gran cosa, las guerras son un buen ejemplo, y hemos estado recibiendo mensajes de parte de algunos políticos que quieren “unificar” las policías, realmente no se en qué se basan para creer que eso serviría de algo, pero yo voy a comentarles para qué creo que servirá dadas las circunstancias de este país.

Actualmente tenemos el gran problema de que las policías están siendo sobornadas por el narco, y el problema es grave, porque están siendo sobornadas TODAS las policías, preventivas, ministeriales, judiciales, y por lo que se ve, los políticos no encuentran manera de contrarrestar este problema, a menos que sea a través de la conformación de “una nueva policía”.

Hasta ahí la cosa está bien, si no fuera por el pequeño detalle de que no solo los policías están comprados, sino que los jefes de ellos reciben cantidades mucho más grandes, y no para ahí la cosa, en Morelos tenemos pruebas duras de que el anterior secretario de seguridad estaba involucrado con los narcos, información que dificilmente desconocía el gobernador, y claro, está “la libretita” de cuentas bancarias, y salarios de policías que tenía “el barbas”, y en la cual no solo estaban los nombres de montones de policias y jefes de policías, también estaba la famosa cuenta de N^HMarco Adame, y pos el que no esté seguro de que Adame estaba involucrado con los negocios del “jefe de jefes” pos tiene que ser o su socio o de plano todavía cree en santa claus.

Ok, volvamos a lo de la unificación, dado lo anterior, y estamos hablando de Morelos, un estado relativamente nuevo en esto del narcotráfico a gran escala, un estado que apenas tiene unos 3 gobernadores involucrados en la globalización de la economía del narco, la extrapolación no es necesariamente correcta, pero todos sabemos que en este particular caso no puede ser más acertada, TODOS los estados del norte del país estan gobernados por personajes totalmente metidos en el negocio, algunos como Burs más descarados que otros, pero esa es la triste realidad.

Así que, de qué serviría unificar la policía ?? pues serviría de mucho para el presidente, en ves de tener que recibir unos cuantos millones de dolares, podría recibir aún más, ahora que ya no fuera necesario que los narcos anduvieran teniendo que sobornar a tantos diferentes órganos de seguridad, para eso serviría, para erradicar el narco ? para nada, para bajar la violencia? posiblemente, si no hay posibilidad de que una policía esté “patrocinada” por una banda y otra policía lo esté por una banda enemiga de la primera, pues en efecto es posible que las ejecuciones, las venganzas y todo esto que estamos viendo no sucediera tanto, bajaría a su nivel basal, el nivel que tuvo hace 10 o 20 años.

Señor presidente, yo prefiero la variedad, si van a robar, al menos que sean muchos, y no solo 3 o 4 familias como está usted intentando que las cosas sean.

Igual con la policía, si de cualquiera manera van a defender al narco que les esté pasando la mensualidad, pues mejor que sean muchas, así al menos hay equilibrio, y no tenemos a un monstruo de poder que empiece a hacer lo que se le de la gana porque nadie tiene posibilidad de combatirlo.

Cuando seamos tan rectos y civilizados como en España, entonces podemos tener una policía como ellos. Thank you very much

1 Comment | In: Uncategorized | | #

Hoy venía pensando cuánto tiempo seguiré twitteando.

No soy realmente de los prolíficos twitters que se avientan varios cientos de twitts al día, pero si soy de los que lee bastantes twitts, y de hecho creo que soy del tipo “respondedor”, tiendo a responder twitts con la misma frecuencia que escribo cosas de mi cosecha.

La verdad creo que estaré twitteando con la frecuencia que lo hago al menos un par de años más, no estoy completamente seguro que dentro de 5 años sea así, en 5 años muchas cosas pasan, y seguramente habrá algo nuevo.

De hecho, la duda es bastante válida para mi, porque por ejemplo hace unas semanas me di de baja (hasta donde se puede) de facebook, aunque a facebook nunca le agarré cariño. Y bueno, estuve en plurk unas semanas, y me di de baja tambien, a ese de plano no le agarré cariño sino algo de aversión.

Y luego de repente que me llega un correo de linkedin con información que no me interesa, y me pregunto, pa qué estoy suscrito ?, o más bien, pq no le he quitado la opcion de que me manden correos.

Qué será de las redes sociales típicas de hoy dentro de 5 años ??, hasta mi blog ha cambiado varias veces de presentación y de nombre (dominio) varias veces en 10 años, será que todavía bloguee ?? estará mi bló abandonado a su suerte pa entonces ?

Qué piensas tu de tus redes sociales y blogs?

No Comments | In: Uncategorized | | #

Hoy en mi vista por los RSS del planeta debian me encontré con una nota muy interesante, no por su novedad, porque el tema está bastante masticado, sino porque expresa con mucha claridad exactamente lo que está pasando en México

La nota es

http://www.enricozini.org/2010/global-trends/

Y propone dos premisas que comentaré adelante:

No necesito ser decente para mantenerme en el poder

Y habla de cómo es prácticamente imposible encontrar un político que sea respetable, que no esté involucrado en asuntos inmorales e ilegales, y creo que pocos son suficientemente tontos en México para estar en desacuerdo con esto, pero lo triste es que como es lógico, Enrico Zini está hablando de Italia, y menciona Francia e Inglaterra como posibles candidatos a la misma premisa. Entonces, aqui es donde toma fuerza el título de su nota “Tendencias Globales”, el cuate no sabe demasiado del mundo tal vez, pero ha observado suficiente en su toma estadística para poder sacar conclusiones que son totalmente correctas en nuestro continente !!

Yo soy un pesimista, y como tal, mi conclusión a cerca de mi país es bastante deprimente y desalentadora, pero dejando eso de lado, detalles como el apoyo de FECAL al chapo guzman, los abusos de poder de los gobernadores de Puebla, Veracruz, Morelos, Sonora, que además de todo no son rumores, son delitos bien comprobados, y nunca sentenciados, nos hablan de que vivimos en una “democracia” que realmente raya en lo ridículo, nuestra democracia sirve para generar personajes intocables, semidioses que pueden hacer realmente lo que se les antoje, no solo roban dinero con descaro singular, sino que se involucran con los narcos descaradamente, trafican con personas, están en redes de abuso infantil, y pos ya nomas por no dejar, desvían fondos y favorecen las compañías de sus parientes.

Y llegamos a la segunda premisa:

No necesito respetar la ley para mantenerme en el poder

Lo cual creo que ya quedó comentado, efectivamente, en nuestro país los presidentes hacen exactamente lo que se les antoja, realmente lo único que no han logrado es la reelección, pero no andan muy lejos, por lo demás, los círculos de poder se mantienen y mantienen su poder poniendo monigotes que solo llegan a empeorar la situación de corrupción tanto a nivel federal como estatal y municipal.

Recuerdo que ayer o antier leía una nota en la revista proceso que hablaba del presidente municipal de Cuernavaca, yo no tenía idea de quien era, ni de donde salió, pero amablemente la revista proceso me hizo entender el porque de ello. Resulta que Martinez Garrigos es un yupi de la familia que controla las gasolineras en Cuernavaca, y miren que se han hecho varias en los últimos años, a pesar de la pequeñez de la ciudad, y de que prácticamente no hay manera de crear una nueva bajo los estándares de seguridad lógicos, y bueno, por ahí dejan ver que el garrigos ni siquiera terminó su carrera, nunca había tenido un puesto político que le diera carrera como para saber qué hacer de presidente municipal, y obvio, toda su campaña se manejó a través de publicidad falsa, y promesas que NO ha cumplido para nada.

Entonces qué sucede con nuestro país ? tenemos como en la mayoría de los paises del mundo (USA es un ejemplo típico) un sistema de poder basado en corrupción, es bastante conocido en el mundo que nuestro país tiene grandes problemas para mantener la credibilidad del sistema electoral, los partidos políticos están totalmente involucrados con los narcos, ha habido incluso declaraciones de importantes políticos al respecto, que de repente se van de boca al hablar, claro, luego recapacitan y corrigen sus errores, pero pues no necesitamos que acepten la realidad para saber que existe.

Y claro, podemos esperar una mejora a nuestra constitución que les permita reeleccion, y que aumente los años de reinado, eso si, vendida como “una mejora en la continuidad de los proyectos”, pero para qué queremos continuidad ?? si lo que necesitamos es que tengan menos y menos proyectos, porque entre más tiene más roban.

Así que, de hecho Italia está peor que nosotros, al menos acá todavía no hay reelección, pero no nos sirve de mucho, de todas maneras hay como 20 familias que tienen el 80% del dinero del país, así que con reeleccion o sin ella ellos tienen el poder TODO EL TIEMPO.

Y si Enrico, el mundo está igual, pa que engañarnos verdad? disculpe usted que no tengo planes de escribir esto en inglés 🙂

No Comments | In: Uncategorized | | #

Hoy salió a la luz información interesante acerca de  unos de mis sitios “favoritos”, facebook, la cual menciona una historia bastante común en nuestras fechas.

Resulta que aparentemente facebook ha estado rodeado desde sus inicios no solo de los problemas de seguridad y confidencialidad que los usuarios han podido precenciar, sino que apartentemente el fundador no solo robó la idea de un proyecto para el que lo contrataron, sino que al parecer incluso se puso a usar información confidencial recabada en facebook para atacar a sus contrincantes, y demeritar la imagen de páginas de competencia.

Hay dos cosas que me parecen muy relevantes, una es la manera tan infantil en la que un desarrollador se comporta con sus clientes, robando un concepto y haciendolos ver como si ellos tuvieran la culpa de que no despegara, digo, el contexto es totalmente lógico, pero lo preocupante es la manera en la que un cuate de 19-20 años ya tiene bien puesta su visión en la lana, y va a hacer lo que sea necesario para lograr lo que el llama éxito, lo cual quedó demostrado con los años y sus actividades.

Por otro lado, es bastante curioso que este cuate, viniendo de un perfil más técnico/tecnológico, no haya logrado encajar correctamente los conceptos de seguridad y confidencialidad, aunque pensandolo bien, pues creo que tiene sentido, si él mismo no está dispuesto a respetar la información de los subscriptores con tal de perjudicar a la competencia, pues mucho menos estará interesado en hacer esa parte del trabajo sucio que significa: hacer las cosas moralmente correctas.

En fin, me da tristesa que el mundo se mueva por el dinero, a todos nos gusta vivir bien, pero es ridículo que la mayoría de nosotros busquemos “la buena vida” a pesar de lo que sea.

He hablado de temas similares con google, con apple, microsoft, y podemos hablarlo con televisa, tvazteca, telcel, el PRI, el PAN, PRD, y así, es tan triste que ni siquiera sean suficientemente cuidadosos como para mover las piezas de manera discreta, se avientan sus robos, sus fraudes, sus tranzas por enfrente de todos, y no hay nadie que los pueda detener, triste.

1 Comment | In: Uncategorized | | #

Acabando de ver Avatar, ando emocionadito, filosofando, y como pueden ver escribiendo tonterías como siempre.

Ayer escribía sobre el tonto rumbo que están tomando apple y google, y hoy en techcrunch sale una notita que solo alimenta el troll que llevo dentro.

Resulta que apple ha empezado a controlar aún más el tipo de aplicaciones que permite en el “app store”. Ya es conocido de la mayoría que usa productos de apple que han metido freno a cosas como VoIP, navegadores web, reproductores multimedia, etc, con pretexto de “no querer funcionalidad repetida”. Pues ahora ya le empezaron a dar duro a la mojigatez (más aún), no solo no permiten nada explícitamente sexual, sino que la simple silueta femenina, o incluso masculina por lo que se ve, es considerada “no apta” y por tanto han empezado a dar de baja un monton de aplicaciones que tienen fotos de mujeres u hombres en bikini, siluetas sugestivas, y todo lo que pueda parecer sensual o sexual.

Pero qué creen  ?? playboy si tiene luz verde :), entonces a ver, necesitamos la grandiosidad de steve jobs para entender la lógica intrínseca. TIP: playboy tiene suficentes ganancias para pagar miles o tal vez millones de dolares EXTRA a apple, si, EXTRA, apple gana un porcentaje no tan malo, 30%, de lo que se vende, así nomas por que si, y nadie tiene posiblidad de brincarse ese impuesto mas que a través del conocido “jailbreak”.

Entonces, a ver, cómo es que un poco de piel es suficiente para bajar una aplicacion que no es realmente de tema sexual, pero no bajan la aplicación de playboy que en este momento tiene una imagen de la respetable y puritana Tara Reid enseñando su nueva adquisición, unas boobs dignas de Carmen Electra o Pamela Anderson.

En fin, yo por lo pronto espero que lleven a la pantalla grande “The Host”, ahi se ven.

No Comments | In: Uncategorized | | #

Ya estoy cayendo en el viejo vicio de todos los que blogueamos por hobby, ya no posteo nada, pero tiene algo bueno, al menos no posteo intrasendencias 😛

En las últimas semanas han pasado cosas interesantes, apareció finalemente la “itablet” que en realidad se llama iPad, que en realidad es un iphonsote que no hace llamadas, sigue si soportar flash y NO hace nada que una netbook no pueda hacer con la excepción de ser “touch”. También apareció google buzz, de una forma intempestuosa y bastante desordenada, para empezar es un intento por convivir con twitter y matar a facebook (con lo cual no tengo ningun problema), pero si sirvió como un refuerzo para demostrar que google será muy chido y estará lleno de geeks, pero no entiende lo que la gente quiere (ah !!! también apareció wave !, bueno hace un par de meses, pero blah).

Qué es lo que realmente muchos queremos ?? en general, queremos más apertura, pocas aplicaciones nuevas aportan conceptos novedosos, por ejemplo el ipod touch y iphone fueron novedosos en el sentido de que ahora si hay una interface sensible al taco que funciona decentemente, las palm tenía “touch” desde hace siglos, y nunca fueron realmente amigables. Pero eso no es lo que nos interesa realmente, lo que nos interesa es la apertura ! y no solo a los geeks obsesivos con el software libre, a todos en general les interesa eso, porque es la única forma de personalizar las herramientas.

Y qué es lo que nos ofrecen apple y google (ni pa que hablar de M$), nos ofrecen herramientas que prometen cambiar la forma en la que trabajamos, cuando en la práctica no necesitabamos una nueva forma, lo que necesitamos es más flexibilidad.

La manera en la que google está entregando nuevos servicios realmente solo está probando que tienen mucho dinero, y necesitan gastarlo creando cosas, pero dudo que muchos se sientan entusiasmados con la idea de usar buzz para microbloguear sin poder mantener facebook en el juego, y eso que yo de plano soy anti-facebook; wave fue un concepto interesante, pero no aporta tampoco nada más que interaccion en tiempo real para crear páginas de wiki, lo cual podrían haber implementado sobre mediawiki, en vez de cerrarse a su sistema, que por cierto dijeron que iban a liberar, pero no he visto nada al respecto.

Y pos apple sigue intentando aferrarse a un gran logro, y nos entrega un nuevo producto que sigue sin soportar flash, y no tiene un teclado alternativo que sea más amigable que el “touch”, y sobre todo NO ES AMIGABLE para cambiar de sistema operativo, justo lo que no necesitamos.

Y bueno, vamos a rematar con los chromes, si, lindo muy lindo, arquitectura nueva, soporte de HTML5, el OS se actualiza solito transparentemente, el navegador es muy rápido pa ejecutar javascript, y todas esas cosas lindas que nos gustaría dar por sentado a todos, gracias, pero no hubiera sido más productivo que le metieran esa chamba a linux y firefox ?? no necesitamos más fragmentación !!! gateme, necesitamos jalar pal mismo lado, necesitamos sistemas funcionales como tal, no sistemas que dependan de que google mantenga sus servicios en linea y que sepan cómo manejar la privacidad de nuestra información, de hecho, es útil en muchos casos, pero es más útil tener la posibilidad de elegir qué conviene más !!

En fin, el futuro segun yo requiere apertura, tanto en sistemas, como en la información, pero google y apple nomas no van por el camino correcto, y eso que van por caminos relativamente diferentes.

No Comments | In: Uncategorized | | #

Hoy estaba viendo el video del Campus Party brasil, no entiendo casi nada, pero es interesante ver cómo la mitad del panel que está hablando son chamaquitos y chamaquitas de menos de 15 años (12 tal vez), y pos una me sentí bien ruco, pero eso no tiene nada de raro, ya hace rato que pasé la edad de gloria, ahora todos son más jóvenes que yo en las reuniones geeks (congresos esencialmente, no asisto a otros tipos), pero luego luego mi sentimiento de depresión se agravó al pensar qué voy a hacer con mis hijas en menos que canta un gallo.

Estoy viendo que ahorita es normal que niños de secundaria estén involucrados profundamente en el internet y las redes sociales, y mis hijas actualmente andan con relativa facilidad explorando videos infantiles en youtube, y juegan en la página del discovery kids, pero bajo una supervisión bastante estricta, la necesaria para que niñas de 4 y 3 años estén usando una máquina con internet.

No es difícil llegar a la conclusión de que para cuando mis hijas tengan 8 años ya será común que a esa edad se tenga acceso a redes sociales, para que negar lo inevitable.

Mi duda es qué tendremos que hacer los padres para controlar esta situación ?? es un problema similar al de los video juegos, pero con agravantes. Supongo que lo sensato es permitirles conocer el ambiente, pero nunca dejarlos sin supervisión, lo cual sabemos que se puede lograr un 90% de las veces, y bueno, supongo que habrá que estar atentos a las señales de daño mental por uso de internet a escondidas, muy al estilo de lo que se debe hacer para detectar que un hijo no ande en las drogas, o similares.

En fin, lo pior es que yo desde los 6 o 7 años empecé con los videojuegos, y las compus, y babosadas así, con qué cara les voy a decir a mis hijas que no se pasen horas en ello, si yo lo hacía 🙁 (prácticamente hasta antes de que nacieran, y aun me la llevo en internet la mayor parte del día).

Things that makes me go chale ! (parafraseando a @alinesalazar)

2 Comments | In: geek, revolucion | | #