Nuevo Blog

febrero 16, 2010

Gente, espero sepan disculpar la falta de actualizacion de mi blog. Estuve muy ocupado pero por suerte ahora puedo ponerme a trabajar en un nuevo blog. Me gustaria apunten su lector rss o que modifiquen sus favoritos para mantenerlos actualizados.

Not For Default

Regards

Martín


Richard Stallman en el Teatro Alvear

agosto 10, 2009

Wikimedia Argentina, el capítulo local de la Fundación Wikimedia, invita
a la charla abierta y gratuita que ofrecerá Richard Stallman, el padre
del movimiento de Software Libre, a realizarse en el Teatro Presidente
Alvear, Av. Corrientes 1659, el martes 25 de agosto desde las 12hs.

Stallman llega a Argentina para participar de la 5ta. Conferencia
Internacional de los Proyectos de Wikimedia, Wikimanía 2009, que tendrá
lugar entre el 26 y 28 de Agosto en el Centro Cultural General San
Martín de la Ciudad de Buenos Aires. En este marco, Stallman ofrecerá
esta charla abierta y gratuita para todo público, en particular para
todos aquellos interesados en conocer la cultura que dio origen al
movimiento copyleft, su fundación, sus bases filosóficas, y los
principios que reúnen al movimiento de Software Libre, programas de
computadora que se pueden usar con cualquier propósito, estudiar,
adaptar a las propias necesidades, copiar y distribuir las copias,
incluso las versiones mejoradas.

Este movimiento que comenzó con Stallman a mediados de la década del 80,
se ha extendido a otros campos de la cultura. Justamente este concepto
de Copyleft, y las licencias de libre distribución de obras culturales
son la base de la enciclopedia libre Wikipedia, y de todos los proyectos
que alberga hoy la Fundación Wikimedia.

Este evento es posible gracias a la gentileza del Complejo Teatral de
Buenos Aires y el Gobierno de la Ciudad que cedieron las instalaciones
del Teatro Presidente Alvear, y el apoyo de organizaciones de la
comunidad de cultura libre local como Fundación Vía Libre, Buenos Aires
Libre, Colectivo La Tribu, CaFeLUG (Grupo de usuarios de software libre
de Capital Federal) y RedPanal, que promete un cierre con músicos en
escena.

Más información en http://www.wikimedia.org.ar y en los sitios de las
organizaciones amigas.

*Concurso: La canción del Software Libre*

Aprovechando la visita de Richard Stallman, la RedPanal, colectivo de
música colaborativa, lanzará el concurso de La Canción del Software
Libre, para invitar a los músicos a involucrarse con la cultura Copyleft
remixando uno de los himnos emblemáticos del movimiento de la Cultura
Libre. Los músicos de la RedPanal pondrán a disposición pública las
pistas necesarias para reversionar la canción del Software Libre en un
concurso que culminará en noviembre de este año cuando La Tribu realice
su 2do. Encuentro de Cultura libre y Copyleft, Fábrica de Fallas 2009.

Más información sobre el concurso y cómo participar en
http://www.redpanal.com/

Junto a Richard Stallman, los participantes de la RedPanal harán el
cierre musical del evento.

*Información útil sobre el evento*

Día y hora: Martes 25 de agosto, de 12 a 15hs.
Sede: Teatro Presidente Alvear, Av. Corrientes 1659. Buenos Aires (A
metros de estación Callao Subte B)
Capacidad: 861 personas sentadas.
Entrada: Libre y gratuita. No hace falta registración previa.
Organiza: Wikimedia Argentina, con la colaboración de Vía Libre,
CaFeLUG, Buenos Aires Libre, La Tribu y RedPanal.
Apoya: Gobierno de la Ciudad. Complejo Teatral de Buenos Aires.
Agradecemos la difusión.

Fuente: http://www.cafelug.org.ar/modules/news/article.php?storyid=249


Slowloris: DoS para Apache

julio 1, 2009
En líneas generales, para generar un DoS (o DDoS) en un sitio con suficientes recursos, es necesario hacer uso de una botnet, un montón de ordenadores zombies a nuestro servicio, que efectúan peticiones de forma simultánea contra un objetivo común, configurable en tiempo y en lugar por el atacante. Al final, la denegación de servicio del objetivo se puede hacer efectiva por varias causas:
  • Porque el servidor o los servidores, son incapaces de contestar a tantas peticiones de forma simultánea
  • Alguno de los mecanismos intermedios (routers, switches, firewalls, balanceadores…) que atraviesan dichas peticiones se satura de peticiones y se ve incapaz de gestionar la marabunta
  • El ancho de banda disponible de dicha organización se ve desbordado y el tráfico lícito se pierde en un gran porcentaje o se degrada el servicio.

El DoS que os presentamos actualmente corresponde a los del primer tipo descrito.

Hace ya una semana que se ha dado a conocer una nueva herramienta que ha puesto los pelos de punta a la comunidad: Slowloris. El autor de la criatura, Robert Hansen, publicó en http://ha.ckers.org/ el código fuente y el funcionamiento básico.

Este “sencillo” script hecho en Perl implementa una potente e inteligente manera de generar una denegación de servicio sobre un servidor web Apache. Para ello, se basa en la cantidad de peticiones que es capaz de mantener un servidor web de forma concurrente. La forma de saturar el pool de servicios es mediante la creación de “requests” HTTP (con HTTPS también funciona) de manera que se empiezan a enviar cabeceras y más cabeceras al servidor de manera que así se fuerza a mantener abierta las conexiones por parte del servidor. Los servidores web tienen determinado un número máximo global de sockets permitidos (configurados en los ficheros correspondientes).

Se trata de un DoS localizado al servicio web en concreto, manteniendo el resto de los servicios de la máquina accesibles.

¿Cómo mitigarlo?
Madre mía, qué buena pregunta. La verdad es que tiene una respuesta complicada.

He encontrado en Internet multitud de módulos Apache que se pueden incluir en el servidor web para efectuar diferente tipo de restricciones. Describo un poco los que más me han llamado la atención:

  • mod_evasive: Este módulo sirve para gestionar el número de peticiones por IP hacia una misma página en concreto o hacia el servidor en general. Se configuran los umbrales que permitimos así como diferentes sistemas de notificación (bloqueo dinámico con IPTables, correo de notificación de detección de intento de DoS, Syslog, etc,…)
  • mod_limitipconn: Mediante este simple módulo, podemos restringir el número de peticiones origen desde una única IP hacia un servidor. Permite configurar diferentes políticas según el Location, el tipo de fichero a descargar, etc,… para “abrir la mano” y no provocar una autodenegación de servicio.
  • mod_ip_count: Aún más simple que los anteriores, comprueba si el número de peticiones HTTP desde una única IP excede un tamaño máximo definido durante un periodo de tiempo.
Con todos ellos, la verdad es que hay que tener mucho cuidado, puesto que si configuramos de una forma excesivamente restrictiva estos módulos podemos generar la denegación de servicio nosotros mismos. Esto ocurriría por ejemplo, si los visitantes del servidor web acceden al mismo utilizando la misma dirección IP. Esto sucede cuando todas las peticiones salen desde una misma red cuyo router o firewall efectúa un NAT utiliza una única IP pública hacia Internet (lo más normal del mundo) o mediante un proxy.

Otra posible solución para paliar un ataque hecho mediante Slowloris es modificar, en el propio servidor web, el valor del parámetro TimeOut así como KeepAliveTimeOut. Para el primero por defecto son 300 segundos (o sea 5 minutos), lo cual puede hacer que efectivamente nuestro Apache sea carne de DoS en un corto espacio de tiempo. Si lo modificamos a un valor inferior (sin pasarse, puesto que una vez más, peticiones legítimas dejarían de funcionar), obligaríamos a que el atacante con slowloris hiciera uso de más y más máquinas para consumirnos muchas conexiones en muy poco tiempo. El segundo valor es el tiempo que espera para más peticiones bajo una misma conexión persistente. Por defecto viene a 15 segundos; un valor inferior liberará antes los recursos de esas conexiones persistentes.

Dentro de la propia máquina que alberga Apache (si es un *NIX) se pueden utilizar las herramientas propias del kernel de la máquina o del cortafuegos integrado para establecer políticas de conexión por cada IP.

Asimismo, utilizar las opciones de configuración provistas por los dispositivos intermedios (como firewalls o IPSs) podrían ser de utilidad también, para mitigar el flujo de tráfico que permitimos hacia el servidor web.


YPF migra a Red Hat Enterprise Linux

julio 1, 2009

Red Hat, el proveedor de soluciones de código abierto líder en el mundo, anunció en un comunicado que YPF S.A. ha migrado desde su software propietario a Red Hat Enterprise Linux 5 con tecnología de virtualización integrada sobre plataformas con servidores Intel para su negocio YPF Gas.

Adriana Marisa Vázquez, responsable del Grupo Administración de UNIX de YPF explicó:

“En YPF, las decisiones se toman únicamente luego de pruebas e investigaciones exhaustivas, y el equipo de IT debió demostrar que la migración de los viejos servidores propietarios hacia plataformas abiertas y flexibles no pondría en riesgo la confiabilidad, la disponibilidad y el rendimiento de los sistemas.

También debíamos garantizar que nuestras soluciones SAP y Oracle fueran plenamente compatibles y certificadas en la plataforma elegida”.

Además de Red Hat Enterprise Linux, también utiliza la solución de gestión de sistemas y optó por contar con la experiencia de consultoría de Red Hat durante su implementación.


Firefox 3.5 ya disponible también para Mac

julio 1, 2009

Ya se puede descargar la última versión de uno de los navegadores mas utilizados: Firefox. Disponible para su descarga para Mac, Windows y Linux y en mas de 50 idiomas.

Como siempre que sale una nueva versión de un navegador promete ser mas rápido, mas seguro… en definitiva, mejor. Habrá que probarlo.

http://www.mozilla.com/en-US/firefox/all.html

Fuente: http://elblogdelswitcher.blogspot.com/2009/06/firefox-35-ya-disponible-tambien-para.html


Teletienda: productos para hacker.

junio 26, 2009
¿Cansado de tu monótono trabajo? ¿pensando en convertirte en un hacker ético? ¿quieres formar parte de la comunidad underground? ¡¡Ahora ya puedes hacerlo con este Kit que proponemos y que podrás pagar en cómodas cuotas de 99,9€!!. No. Lo sentimos pero desgraciadamente no tenemos tienda online y no vendemos nada.
Por si os puede servir para adquirir o solicitar nuevo equipamiento, hemos recopilado una pequeña lista con lo que consideramos el hardware ideal para realizar tests de intrusión y otras actividades propias de un profesional en seguridad. Muchas de ellas opcionales y aquí, cada uno se haga la suya propia :-)
  1. Portátil: por supuesto es el elemento más importante y vamos a remarcar algunos puntos a tener en cuenta antes de seleccionar cual comprar:
    • Wifi: importante que la tarjeta integrada tenga compatibilidad con herramientas como Aircrack.
    • Smartcard: poco a poco se hace más uso de las tarjetas inteligente como el propio dni electrónico, por este motivo es esencial que nuestro portátil tenga lector de smartcards, ya sea integrado o externo.
    • ExpressCard, será necesario para ampliar el portátil con otra tarjeta wireless, un modem 3G o cualquier otro accesorio que pueda ser necesario.
    • USBs: no, 2 USB no son suficientes, 3 son justos y con 4 empezamos a entendernos.
    • Tarjeta Gráfica: Si pensabas que no encontrarías excusa para pedir una tarjeta gráfica potente, nosotros tenemos una. Usando la GPU de las placas con soporte CUDA se es posible optimizar el rendimiento en algunas aplicaciones de fuerza bruta. Recomendado GeForce 8800 en adelante, como un buen quakero.
    • Bluetooth: imprescindible para conectar con el móvil, un GPS, hacer análisis de seguridad de bluetooth y algunas cuantas miles de cosas más.
    • Bateria adicional: sobre todo será necesaria para los análisis de seguridad wireless, donde pocas veces podremos conectar el portátil a una toma de corriente eléctrica.
    • Hyper-V: hoy en día ejecutar máquinas virtuales es lo más común, si nuestro equipo soporta esta tecnología garantizaremos el mejor rendimiento en virtualización.
    • TPM: interesante para usar algunas soluciones como BitLocker.
    • Módulo 3G/HSDPA: si tiene el módulo para este modem, nos ahorraremos usar el móvil o un modem externo, ganando algo en comodidad. Las tarifas más interesantes son de Yoigo y Simyo.
    • Compatibilidad: no estaría de más comprobar que no existen “problemillas” de compatibilidad con Linux.
  2. Antena Wifi: si estás pensando que aún puedes salir a auditar con tu antena pringles, la respuesta es NO al igual que no deberías usar hombreras. Puedes comprar una antena wireless que sirva para mejorar la ganancia de tu adaptador, como por ejemplo, una antena Yagi
  3. Tarjeta adicional Wireless: a la que puedas conectar la antena, hay tarjetas USB que tienen integradas potentes antenas y son desmontables para utilizar otras externas. Un chipset que permite jugar cómodamente es RTL8187L o Atheros. Si tenemos presupuesto (mucho), AirPcap es la tarjeta mejor soportada en Windows para todo tipo de herramientas.
  4. GPS: ya sea USB o Bluetooth, es muy útil para mapear puntos de acceso en grandes localizaciones durante una auditoría wifi. Sirf suele dar buenos resultados.
  5. Cadena de seguridad: si vamos a dejar solo el portátil en nuestra ausencia, este tiene que tener un buen cierre, que nos asegure que cuando volvamos el portátil siga donde lo dejamos.
  6. Filtro de privacidad: para evitar el famoso “sniffing over hombro” tan habitual entre compañeros y mirones que se sientan a nuestro lado en el avión.
Desde luego más difícil de encontrar es el portátil, sobre todo porque el que dispone de unas opciones no dispone de otras, además que en general tendremos que utilizar el que provea la compañía de una marca concreta.

7 reglas para realizar Javascript de calidad

junio 19, 2009

Siete consejos para realizar un javascript de calidad y no intrusivo:

  • No hagas suposiciones: no pienses que el usuario tendrá el javascript activado o que usará un navegador adecuado.
  • Usa IDs y relaciones entre elementos: para no depender de un HTML mal estructurado y que el javascript sea imposible de realizar, utiliza IDs para acceder a los elementos con los que se quiere tratar y busca elementos que faciliten acceder a otros elementos.
  • Utiliza estilos: en vez de modificar los estilos de los elementos HTML mediante Javascript, usa clases CSS que modifiquen los estilos, y mediante Javascript se le puede añadir la clase a un elemento superior.
  • Comprende el navegador y a los usuarios: debes pensar cómo funciona un navegador, no sobre saturar su comportamiento (abuso de drag&drop, eventos, …). Además debes pensar qué espera el usuario que haga el navegador, y respetarlo.
  • Comprende los eventos: los eventos no solo corresponden a un objeto, sino a los elementros hijo que contiene. Así se pueden realizar eventos sobr un único elemento y no tener que modificar los demás.
  • Respeta el código de otros: seguro que a parte de tu código existe algún otro que has añadido, por lo que deberás programar teniendo en cuenta que hay que evitar conflicto entre funciones.
  • Después de ti vendrá otro: es muy frecuente que alguien acabe modificando tu código, ten un poco de consideración por los demás y escribe código legible y entendible.

The seven rules of Unobtrusive JavaScript

Vía / @dcedilotte


Seguir

Recibe cada nueva publicación en tu buzón de correo electrónico.