Articulo del 2008 August en Exodica Blog

29Aug/080

$ kill -9 the_rap

Simplemete maravilloso, una obra de arte, es demaciado geek, aunque.. al avez no...

Filed under: Humor, Informatica, Linux, Musica No Comments

27Aug/080

Error "de cofianza" en internet

Interesante nota publicada en el blog de WebAndBeer:

A través de Slashdot llego a esta noticia de Wired, según la cual un par de investigadores de seguridad informática revelaron el que sería el bug más grande de toda la arquitectura de internet.

Se trata de un error en el protocolo BGP (Border Gateway Protocol), a través del cual cualquier hijo de vecino (con conocimientos avanzados de networking, hacking y programación, por supuesto), podría tener acceso a todo el contenido no cifrado que circula por internet, modificandolo a su antojo. Básicamente a través de este agujero se puede "engañar" a los routers de todos lados para redirigir el tráfico hacia un eavesdropper, y hacer un ataque man-in-the-middle, y lo único que se necesita es tener un router con soporte para BGP (algo bastante común).

Este bug aparentemente había sido detectado en 1998 por Peiter "Mudge" Zatko, quien testificó e informó a "los burócratas de Washington" (como diría Monty Burns), y evidentemente todavía no se hizo nada al respecto. En realidad, parece que es algo sobre lo que se venía hablando hace tiempo, pero nadie lo había podido demostrar. En teoría era factible, pero nadie lo había llevado a la práctica. En la última DefCon Hacker Conference, Anton "Tony" Kapela y Alex Pilosov lo demostraron interceptando tráfico de la red de la conferencia, mandandolo a su sistema en New York y ruteandolo de vuelta a la conferencia. Ahora bien, esto no lo hicieron realmente a través de un bug o falla del protocolo BGP, sino explotando la forma en que el mismo funciona. Es decir que es un error estructural, porque la arquitectura de BGP se basa en la confianza en los nodos.

En la nota se da un ejemplo bastante sencillo:
Para enviar un mail desde los clientes de Sprint en California a los de Telefónica en Espala, las redes entre las compañías usan routers BGP para ver cuál es el camino nñas rápido y eficiente para que la información llegue a destino. Pero el protocolo BGP asume que el router realmente dice cuál es el mejor camino. De esta manera, los eavesdroppers pueden engañar a los routers diciendo que les manden el tráfico a ellos.

Más especificamente, cuando cualquiera hace un request a un server, el DNS resuelve una IP de destino a partir del dominio. Luego el router del ISP consulta una tabla BGP para obtener la mejor ruta. Esa tabla está compuesta de anuncios (casi como propagandas) hechos por ISPs y otras redes, que se llaman ASes Autonomous Systems, donde declaran el rango de IPs (o prefijos de IPs) a las cuales entregarán tráfico. En esa tabla se busca la IP de destino para los paquetes entre los distintos prefijos. Si hay dos ASes que tienen la misma IP, la que tenga el prefijo más específico "gana" el tráfico. Por ejemplo, si hay un prefijo que matchea con un rango de 90.000 IPs y otro con un grupo de 24.000, el tráfico se envía al segundo.

Entonces, para interceptar la información, un eavesdropper "publicita" un rango de IPs más acotado que el de otras redes y, una vez propagado el aviso, el tráfico empieza a llegar al interceptor. Esto no es algo nuevo y se llama IP Hijacking (lo que hizo una compañía pakistaní el año pasado con YouTube). El tema es que de la forma en que se venía haciendo se creaban desconexiones en la red (outages), lo cual hacía que los hijackings se descubrieran rápidamente.

La mejora de Kapela y Pilosov es que usan un método llamado "AS path prepending" (algo así como "preposición de la ruta del AS"), a través del cual pueden hacer que el tráfico llegue a su destino original (es decir, un man-in-the-middle, no como en el caso anterior donde el tráfico terminaba en otro lugar). Entonces, al no producirse fallas, no se detecta.

Luego el artículo sigue bastante y se explican diversas formas en que el error se puede combatir. De hecho los especialistas dicen que los ISPs están en condiciones de combatir este tipo de ataques, pero no lo hacen porque implica mucho trabajo y resulta costoso.

Realmente es un tema muy interesante y hay que seguirlo de cerca para ver qué cambios se hacen en la arquitectura de internet. Mientras tanto, y esto tampoco es nuevo, cualquier información importante ¡¡¡¡¡TIENE QUE VIAJAR ENCRIPTADA!!!!!

Fuente: http://webandbeer.com.ar/2008/08/el-bug-ms-grande-de-internet.html

Compártelo

Filed under: Informatica, Internet, Seguridad No Comments

24Aug/080

XSS + Logueo por ajax….muy mal!!!

Algo muy loco.En algunos sitios, usan logueo por ajax, hastá ahí todo bien, entas a un sitio que es muy dinamico, mucho JS que forma todo, y un login por ajax bastante copado ya que si el usuario quiere dejar un comentario o algo asi, solo se loguea y que se habiliten los campos, le da a un usuario no registrado un vistaso de lo que puede hacer.

Con esto hay un pequeño problema:

Cuando guardamos a los usuarios de un site lo hacemos con cuidado de proteger su acceso, guardamos hashes de la contraseña para que si por ejemplo, nos cabe un injection, y listan la taba usuarios, no tengan a manos las passwords.
Pero hay algunos sites que tiene un problema a la hora de loguear con ajax.

Muchos sites muestran el cuadro de login, y una vez loguado el cuadro desaparece, otras es reemplazado por otro con la información del usuario, pero no siempre es el mismo, y hasta en ocuaciones son 2 divs diferentes adentro de un mismo contenedor para hacer algun efecto loco.

Aca viene el pequeño error, supongamos que el site tiene esto:

En este caso la funcion loginAjax envia los datos al servidor y obtiene una respuesta, un XML con los datos.

Cual es el problema? Particularmente, este site como muchos otros,no eliminan el elemento div, lo ocultan, este en particular con un efecto de fade.

A este site (donde descubri el problema), le cabia un XSS (inyeccion de Javascript) en un lugar perdido, algo que de por si ya era un problema ya que se podian robar los cookies de credenciales y mantener las sessiones vivas y entrar con las credenciales robadas.
Pero en este caso, eso que acabo de decir era perder el tiempo, se podia hacer algo mejor y ensima mas facil... robo de usuarios y contraseñas... grave...muy grave.

Pensalo 5 minutos....

Si no caiste..... el elemento con id "pass" se oculta con el div "la caja de login" pero no es eliminado ni blanquado, tenemos la contraseña todo el tiempo en la pagina,basta con mandar como parametro a nuestro remitente del XSS document.getElementById("

usuario").value y document.getElementById("pass").value y listo.

Aunque se tienen que dar un par de casos, es algo que hay que tener en cuenta, ya que si se descubre un XSS no es taaan grabe, se eliminan los archvos de session del servidor previo apache restart, y con las sesiones muertas los usurios que capturaron las credenciales no pueden volver a entrar, pero en este caso, supongamos que el script dure 2 dias antes de ser detectado por algun admin/desarrollador, robando usuarios y contraseñas silenciosamente y ese periodo se louean 2000 personas infectadas... son 2.000 usuarios que tiene que cambiar SI o SI su contraseña y deforma totalmente inmediata, y por lo menos al toke hacer que no puedan ver sus datos hasta que alla una confirmacion de que realmente son los dueños de las cuentas.

Un lindo bardo.

Compártelo

Filed under: Informatica, Internet, Seguridad, web 2.0 No Comments

22Aug/080

IDF 2008, Intel Developers Forum

Ante todo, gracias por la paciencia que me tuvieron todos aquellos que querían leer cosas recién salidas del horno, y yo no aparecía. El motivo de mi ausencia era que estaba aprendiendo el pasito Flogger (mentira). Pero lo importante es que volví y en el presente articulo voy a hacer una actualzacion de lo mas importante que paso esta semana.

Se realizo un evento llamado IDF (yo conocía hasta el momento WTF What The Fuck, pero esto es diferente).

IDF es Intel Developers Forum, o sea una reunión anual donde los chicos de Intel muestran todo lo nuevo y hacia donde va su tecnología, su forma de ver la informática y posibles productos que próximamente estarán en el mercado. Como sabrán, no soy muy amigo de Intel, pero en este caso la imparcialidad me obliga a hacer este informe ya que se vienen unas cuantas cosas interesantes (aunque quizá para los que estamos en esto no sean mas que el camino de evolución natural de muchas tecnologías actuales).

Paso entonces a detallar en orden estas nuevas buenas:

Línea de Almacenamiento SSD:

Presentaron líneas de discos para servidores de alto rendimiento y para Laptops y PCs de escritorio.

El Intel X-25-E Extreme SATA SSD ofrece desempeño y confiabilidad para servidores, con menores requerimientos de enfriamiento y energía. Vendrán en formato de 2.5?, en versiones de 32 y 64GB. Estos discos usan la tecnología SLC (Single level cell) Estos discos trabajan a mayores velocidades y usan mucho menos energía, pero se obtienen menos información por celda, y son bastante mas caros.

Por otro lado está la línea Intel X25-M y X18-M, con MLC. El número refleja el factor y la M significa mainstream, o sea, productos para el mercado en general, en versiones de 80 y 160GB. Estos discos son MLC (Multi Level Cell) tienen una mayor densidad de datos, por lo que son más baratos, sacrificando ligeramente el desempeño en lectura y escritura.

Hablan de un 40% hasta 140 % mas de velocidad. Estos discos ofrecen lecturas de hasta 250MB/s con 85ms de latencia y escritura hasta 70MB/s.

En resumen queridos amigos esta tecnología SSD vino para quedarse, y en pocos años los unicos discos rígidos que existirán serán de esta tecnología.

Tv Internet Intel Canmore:

Desde hace un tiempo se esta intentando fusionar la querida Tv con Internet, seguramente con la finalidad de captar otro tipo de usuario, osea el que no posee computadora, y pueda navegar desde su tv.

En esta oportunidad Canmore es un procesador Intel Media Processor CE3100 y ya algunos fabricantes de tv como Samsung ya están incorporándolos en sus Tvs o Blurays.

Algunas cosas que podremos hacer en un futuro con nuestras Tvs: Acceder a servicios de información, clima, rss, etc a través de iconos semitransparentes al pie del canal que estamos viendo, Acceder a nuestras fotos en un servicio como por ejemplo Flickr, descargar películas directas a nuestro tv (blockbuster ya estaria armando algo), videos, música, etc. Aun no se habla ni de sistema multitactil o de teclado para poder redactar mails, textos, etc. Para mi que en esta primer etapa se centra mas que en la interactividad, en el acceso a la información de la red.

Se mostró un aparato marca Tatung (Lector de Blu-ray) con este procesador y con posibilidad de 2 discos rígidos, salidas Usb, Wifi, memoria Ddr2, etc. Y lo bueno trae instalado Linux como S.O.

Conclusión cada día harán al publico mas idiota, diciéndole: Compra esta caja, luego conéctale el cable de Adsl, enchúfalo a 220v y solo limítate a usar las opciones disponibles, similar a lo que hacemos en un tv, solo cambiamos canales.

USB 3.0:

Lo primero: será compatible con los dispositivos anteriores osea Usb 1.1 y 2.0.Pasaremos de los actuales 480 Mbps a la increíble cifra de 4.8 Gbps, (10 veces mas rápido que los actuales) o lo que es lo mismo cerca de 614 megabytes por segundo.

Este incremento en la velocidad se ha logrado por aumentar el número de líneas, actualmente tenemos 4 (2 transfieren datos, una es tierra y la otra energía) y con el USB 3.0 tendremos 9, de las que 4 líneas se encargan de la transferencia de datos (2 líneas de envío y 2 de recepción). Así que podremos enviar y recibir datos simultáneamente.

En cuanto a la energía, pasaremos de 100 mAh (miliamperios) a 900 mAh, lo que implica que podremos cargar nuestros Gadgets más rápidamente, o tendremos menos problemas de energía al utilizar un Hub o que en un futuro ya no sean necesarios dos cables USB para alimentar un disco duro portátil.

Lo único malo por el momento, que tampoco es tan trágico, es que el grosor del cable sera mas grueso, o sea como los cables de red, y al mismo tiempo mas rígidos que los actuales.
Tambien tendra un manejo optimizado del consumo de energía.

Procesadores ATOM de doble núcleo:

Los tendremos para septiembre. El primer modelo se llamara Atom 330 y vendrá integrado en una placa madre mini-ITX, que vendrá con una Intel GMA 950, conectores SATA II e IDE, posee una única ranura para memorias RAM de hasta 2GB (de 667MHz), hasta 8 puertos USB, sonido de 6.1 canales, y salida S-Video.

Lo malo (como era de esperarse) este procesador no es capaz de reproducir video en alta definición de forma fluida, por lo tanto no traerá una salida HDMI. Esto nos vuelve a mostrar la ineficiencia de Intel en el sector de graficas integradas, sector donde AMD y ahora VIA tienen productos con menor consumo energético y grandes capacidades graficas.

Classmate pantalla tactil:

Se presento la tercera generación de este portátil. Tiene un procesador Intel Atom de 1,6Ghz, conectividad WiFi, Webcam, acelerómetro incorporado y una batería de cuatro celdas. El equipo tiene una bisagra que le permite ser usado como tableta, mientras que su pantalla de 9 pulgadas es táctil y puede ser usada con la punta de los dedos o con un Stylus.

Lo malo es que no es económico para las aulas de los países subdesarrollados, motivo por el cual fueron desarrollados, compitiendo y tratando de arruinar el proyecto del MIT o sea las OLPC.
Conclusión serán un juguete caro para niños ricos de países del primer mundo.

Intel Nehalem: Core i7:

Este fue el gran anuncio de Intel en este foro.

Este procesador de 45nm promete un rendimiento de entre un 15 a 20% más que los Penryn.
Al ir a la sección de Benchmarking Francois Piednoel, vocero de Intel, pregunto que aplicación actual necesita 4 núcleos y 8 hilos de procesamiento? con esto dejo en claro que el software hoy en día esta muy rezagado con respecto al hardware, entonces estos avances de procesamiento no se hasta que punto se pueden aprovechar al máximo.

Pero, al mostrar video HD al dble de velocidad el micro ni se inmuto, por lo que si un usuario intenta hacer eso con un core 2 duo con un video normal, se entrecorta todo en resumen decia el vocero “con estos procesadores podremos manipular video HD como si fueran fotos”.

MID Mobile Internet Devices:

Para terminar este informe, comento que gracias al Atom, que principalmente tiene un precio competitivo, hizo que muchos ensambladores construyeran muchos de estos aparatos mas pequeños que las sub-notebooks. Estos MIDs tendrán distintos usos, ya que algunos integran gps, que apuntaran al mercado de los automóviles y otros intentaran llevar al máximo la experiencia de Internet Mobil.

Por lo que esta feria estuvo inundada de estos Gadgets.

Seguramente estos cambios tendran impacto y efectos recien en los proximos 2 años, pero es bueno ir sabiendo lo que se viene.

Redactado por Mariano Calvo de Rch.com.ar

Fuente: Fayerwayer.com

Compártelo

Filed under: hardware, intel, procesadores No Comments

19Aug/080

Como ser un Master Of The Universe de Ubuntu

Los MUTU (Master Of The Universe), con los que mantienen los repositorios universe y multiverse de Ubuntu, si queres ser uno de esos, acá un video introductuvo:

Fuente: http://www.vivalinux.com.ar/articulos/video-ubuntu-master-of-the-universe.html

Compártelo

Filed under: Informatica, Linux, Software Libre, Ubuntu, programación No Comments

14Aug/080

Exodica EyeOs: desktop.exodica.com.ar

Entre la maraña de cosas que estoy haciendo con esto de "exodica" y para no remitirme simplemente a un blog, les vengo a ofrecer este servicio es que esta bastante bonito.

EyeOs, para los que no lo conocen es un escritorio basado en web, un clon de youos, pero libre, que en sus primeras versiones lo conoci y no me gustó, pero que hace poco re-encontré, y note todo lo que habia evolucionado (incluso supara a youos para mi).

La aplicación se puede descargar de la web y montarlo en tu servidor, no necesita base de datos, pero si que los directorios esten en permisos 777.

screenshot de mi sesión

Yo lo instalé en un hosting que tengo para clientes, haber si da resultado, estoy dando cuentas con cuotas de hasta 100MB (por ahora) y se pueden registrar directamente en la portada.

Para los que le interese tener sus archivos siempre a mano atravez de internet (sin tener que andarlos buscando como en gmail) esto les puede servir, tambien cuenta con lector de rss, documentos, hojas de calculos y hasta instale una aplicación que edita php, css, xml y html (eyeEdit).

Por otro lado, en la barra de arriba, en el icono de sitios, hay una carpeta que dice "pública", que seria /public, todo lo que copien en ese directorio lo podran ver todos, es como una carpeta en comun para compartir archivos, pdfs, etc.. y no consume cuota del usuario, asi que pueden subir todo lo que quieran, hay un archivo de texto llamado leeme.txt que les dira las reglas y les dara una bienvenida.

Por cuelquier cosa no duden en contactarme

Aca les paso el link para usar el Desktop: http://desktop.exodica.com.ar/

Compártelo

Filed under: Desktop On-line, Exodica, Eyeos, Informatica, Internet, Servicios web No Comments

13Aug/080

Beijing abre, y cierra con un CTRL+ALT+DEL (¿?)

Una noticia muy graciosa, en la apertura de los juegos en Beijing nuesto amigo Bill Gates se hace mencionar al aparecer su mas grande creación: La pantalla azul de la muerte (o BSOD- Blue Screen Of Death). Recuerdo cuando mencionaron que usaría windows XP en las olimpiadas y no vista, da igual, hibiera sido roja :-O

Curiosidad: En el OS/X Leopard el icono que representan los equipos con windows, son monitores con el BSOD.

Link: http://www.smh.com.au/news/off-the-field/bills-blue-screen-of-death-malfunction/2008/08/12/1218306871673.html

PD: Estoy medio colgado y pido disculpas, el fin de semana me fui a la Debconf y quiero hacer un articulo sobre eso, y tambien se viene un articulo sobre Arch.

Compártelo

Filed under: BSOD, Humor, Informatica, Windows, windows xp No Comments

12Aug/080

Tira Linux Hispano: Seguridad

Link: http://linuxhispano.net/tira/

Compártelo

Filed under: Humor, Informatica, Windows Vista No Comments

6Aug/081

aMSN2, aMSN + emesene + Pymsn

Los desarrolladores de los 3 clientes de mensajería instantanea dedicados al protocolo MSN: aMSN, emesene y Pymsn unirán fuerzas para crear un cliente con los beneficios de cada uno.

La muy buena noticia, es que ya no será tcl/tk, ahora estara programado en phyton, por otro lado el mensajero va a ser integrado tanto a GTK, como a Qt (Una buena para los KDEederos como yo .

Esperemos que esta sea otra buena excusa para dejar de temerle al sistema del pingüino. Los desarrolladores han hecho un video mostrando como va hasta ahora la parte visual, que por sierto esta muuuy adaptada a los efectos gráficos de los escritorios modernos, por lo que le veo larga vida entre Gnome 3 y KDE 4.