GaRaGeD Style

Soy un hue…von y no habia vuelto a instalar mi blogsito, pero intento hacerlo ahora

No se que voy a hacer aqui, en realidad lo que mas me interesa es tener una galeria de fotos, y tal vez bloguear de vez en cuando…

No Comments | In: Uncategorized | | #

Todos sabemos que el nuevo y brillante sistema operativo de M$ es también proclamado el “mas seguro” (como sus antecesores de esta decada).

Y es claro para la mayoría que no es posible hacer un sistema seguro 100%, y mucho menos clamar que es “muy seguro” por tener DRM, firmado de binarios, o como le querramos decir a lo que está intentando ahora hacer M$.

Y para los que les gusta el tema, seguramente saben que Rutowska ha estado presentando trabajos y pláticas sobre como no es posible, y de hecho ha tenido algunos “ataques” diciendo que no está en lo correcto.

Pues se le hizo realidad la teoría y uno de sus cuates presentó una prueba (PoC) de que está en lo cierto.

Veremos si este detallito discreto y pequeño le sigue dando el empuje necesario a los sistemas operativos libres, y por ende al SL en general.

Mejor programa bien, que meter ofuscación al sistema (bloat?)

No Comments | In: Uncategorized | | #

Todos los que hacen algún tipo de desarrollo para web saben que los problemas que conlleva están en varios niveles: (in)compatibilidad de los navegadores a nivel de HTML, JavaScript y CSS, problemas de seguridad como XSS (cross site scripting) e inyecciones SQL.

Para todo hay trucos, y por ejemplo la incompatibilidad de los navegadores en cualquiera de los niveles se puede corregir tal vez a un 90% en la mayoría de los navegadores (los 4 mas populares :), sin embargo, los problemas de seguridad pueden ser incluso mas importantes, o mas preocupantes.

En los últimos días he estado pensando en como podría lograrse un método o conjunto de herramientas (funciones y clases) que permitan escribir código PHP para web sin que sea posible un ataque SQLi o XSS, y sin tener que hacer a mano las validaciones.

Una alternativa es NO USAR PHP, con python/django es posible hacer todo eso y más, pero estoy intentando reescribir una aplicación ya hecha en PHP, que va a seguir siendo mantenida por programadores de PHP (en teoría) y que además tiene un esquema de base de datos ya definido (no es un problema para usar django realmente).

He estado dándole vueltas al asunto durante los últimos días, como es usual perdiendo el tiempo en vez de actuar :), pero si sería chido conocer una alternativa robusta para hacer las cosas de la “manera correcta™”.

Por lo pronto creo que voy a darle un poco por el lado de django, pero si alguien llega a leer esta nota, y además sabe de una alternativa interesante para PHP (2 requisitos complicados de cumplir) por favor comunícamelo con señales de humo, email, respuesta aquí, o como se pueda.

8 Comments | In: debian, Uncategorized | tags: php, Seguridad, web. | #

Cuando es un éxito de taquilla el hecho de que una empresa como Dell venda PCs con Ubuntu.

Que demonios pasó con aquel tiempo en el que podía uno sin problemas comprar una PC SIN SISTEMA OPERATIVO !!

La globalización sin duda, snipers ya se están tardando !

1 Comment | In: Uncategorized | | #

Visto en el blog de Vic

Me queda claro que no soy nada fuera de lo común.

No Comments | In: Uncategorized | | #

Despues de 6 días divertidos (y pesados) en la “linea de especialización” previa al congreso de seguridad de la UNAM, me quedo con una buena satisfacción, estuvo excelente la que tomé (al final me cambié a detección de intrusos y honeypots), la otra estaba mas orientada a usuarios con menos experiencia en eso de ataques estilo script kiddie 🙂 (tengo años como script kiddie :P)

Todo el meoyo del asunto (creo que en la mayoría de las lineas) está en saber monitorear, y hacerlo lo más extensivamente posible, como dice Richard Bejtlich “Ví el futuro, y está monitoreado“, la verdad es que ahora incluso todo está legislado para que podamos monitorear a los que están a nuestra disposición, los administradores de red estamos en una posición interesante, e incluso riezgosa, ya que tenemos que monitorear para proteger y dar mejores servicios, pero además tenemos a nuestra disposición demasiada información, que usada de manera equivocada (no intencinalmente mal) puede simplemente destruirnos.

Lo buenos es que no es común ver que un administrador tiene problemas por “perdidas de información” o “filtrado de la misma :P”, sin embargo la realidad es que todavía estamos pasando de la época de dar servicios, a la época de tener control total de los servicios ofrecidos.

El los próximos días voy a empezar mi campaña de implementación de lo que aprendí en el cursillo, y estaré hablando mas al respecto de este interesante tema.

Recuerden, nos estan viendo cuando navegamos, cuando estamos de compras, cuando estamos en el banco, y cuando hacemos transferencias, es mejor hacer lo correcto (a diferencia de “no hacer daño”) a tener que esconder lo que hacemos, no lo vamos a lograr de cualquier manera.

No Comments | In: Uncategorized | | #

Mañana empiezan las lineas de especialización del Congreso de Seguridad de la UNAM.

Yo estaré atendiendo a la que trata de Técnicas de Intrusión, Análisis de Vulnerabilidades y Pentest de mañana al miercoles que viene.

Espero conocer gente con la que se pueda compartir mucho, y ojala que los temas estén muy chidos 🙂

Lástima que no creo estar en los 2 días del congreso, pero por lo menos estaré en uno de los cursos.

Nos vemos mañana !

No Comments | In: Uncategorized | | #

Tratando de dejar de lado la política, vamos de nuevo a la tecnología que todos adoramos, la de internet 🙂

Creo que la mayoría de los usuarios asiduos de internet se han preguntado como hacerle para trabajar en una página web mientras no tienen conección, por lo menos se que yo si me lo pregunto, viajo 6 horas al día de lunes a viernes, bien podría utilizar de vez en cuando ese tiempo (o parte) para bloguear, escribir correos, y cosas parecidas, sin tener que comprarme una tarjeta BAM (goooooooool).

Desde hace tiempo que se ha predicho esa nueva era, en la que las aplicaciones web van a ser robustar y soportar trabajo fuera de linea; esto es especialmente importante para aplicaciones de escritorio, así como correo y blog.

Pues como era obvio, el primero en dar un paso en grande es el idolo de todos google, que presentó ayer una nueva herramienta para crear aplicaciones web que soporten trabajo fuera de linea, el nombre GEARS.

La página tiene ligas a un tutorial sencillo, algunos demos, y un foro de discusión sobre la misma, así que muchos de nosotros estaremos experimentando con ella desde ya y hasta tener una idea clara de lo que se puede lograr con la misma.

Ah ! y que licencia tiene ? BSD !

4 Comments | In: gears, google | | #

La ociosidad es mala, y siempre hay que combatirla por lo menos con babosadas.

Hoy como vi esto en akregator

Es obvio que solo slashdot podía darme esa imagen.

No Comments | In: /., 1337 | | #

A menos que de plano no hayas pasado cerca de algún periódico o no hayas visto absulutamente nada de noticias en los últimos meses, creo que algo de lo mas relevante que ha estado sucediendo en el país es la llamada “guerra contra el narco” que ha implementado FECAL (el presidente, no el que ha hecho comentarios en mi blog :).

La síntesis rápida de la campaña es que ha habido una gran cantidad de muertos, de ambos bandos, y se han registrado asaltos por convoys, ejecuciones de altos mandos de la policía y judiciales, así como la desaparición de un derrotado candidato del PRD, que “presuntamente” fue financiado por uno de los capos mas importantes del norte.

Aún más ! hay acusaciones y contra acusaciones de que en las pasadas elecciones a presidente el narco financió las ya reconocidas campañas ilegales o irregulares si se quiere decir bonito, que como digo Moreal TODOS (incluso el PRD) llevaron a cabo según el IFE (que ya está siendo investigado por la PGR).

Todo esto parece apoyar el hecho de que la legalización haría que nada de esto pasada, pero yo me pregunto si no sería en todo caso darle legalidad a estos procedimientos, sería una manera de que el gobierno obtuviera dinero del comercio de drogas, pero que no son compradas por enfermos, sino por adictos, sería añadirle a nuestra vida la realidad de que no solo tendríamos la libertad de ser alcoholicos y adictos al cigarro, sino a alucinógenos como la marihuana, y les daríamos la pauta a los que usan coca, extasis, hongos alucinógenos, lsd, etc, para que abogaran por la legalización de esas drogas tambien.

Con la legalización de la marihuana (u otras drogas no legales) lo que lograríamos es que fuera relativamente mas seguro comprarlas, pero seguramente también lograríamos que fueran mas comunes los accidentes por culpa de los irresponsables que manejan drogados.

Aún peor, estaríamos enfrentando mas frecuentemente a los que mezclan alcohol y marihuana con los resultados que muchos ya deben de conocer.

Segun la wikipedia la DEA (USA) no apoya la legalización precisamente con un argumento como del que yo estoy convencido, las consecuencias malas serían mas grandes que las buenas. Entonces esto se reduce a balancear las condiciones, nos parece que vale la pena arriesgar a mas personas a ser atropelladas, y a mas hijos a ver a padres drogados y alucinando las babosadas que les provoca la marihuana (que aunque no son como el lsd, y otras drogas, son igualmente molestas, si no mas problemáticas) a cambio de que los que usan marihuana no corran tanto peligro comprandola, y que el gobierno tenga un poco de la ganancia económica que la adicción provoca.

Creo que principalmente nos hace falta educación y valores, si llegamos al concenso de que no es malo permitir el uso legal de la marihuana (no medico), y aceptamos el hecho de que el gobierno actual “ataca” al narco enemigo del narco que lo financió, pues no vamos a llegar a nada.

Es obvio que la marihuana es dañina, y es obvio que el gobierno no intenta erradicar el narco, sino a los que le hacen competencia en el negocio.

Que país !

2 Comments | In: Uncategorized | | #