miércoles, 16 de diciembre de 2009

Video tutoriales de metasploit


No soy original, lo sé... pero creo que puede ser interesante difundir este material. Unos vídeo tutoriales sobre diferentes usos de Metasploit aquí.

jueves, 3 de diciembre de 2009

Manifest “En defensa dels drets fonamentals a internet”

Davant la inclusió en l’Avantprojecte de Llei d’Economia Sostenible de modificacions legislatives que afecten el lliure exercici de les llibertats d’expressió, informació i el dret d’accés a la cultura a través d’Internet, els periodistes, blocaires, usuaris, professionals i creadors d’Internet manifestem la nostra ferma oposició al projecte, i declarem que:

1. Els drets d’autor no poden situar-se per sobre dels drets fonamentals dels ciutadans, com ara el dret a la privacitat, a la seguretat, a la presumpció d’innocència, a la tutela judicial efectiva i a la llibertat d’expressió.

2. La suspensió de drets fonamentals és i ha de continuar sent competència exclusiva del poder judicial. Ni un tancament sense sentència. Aquest avantprojecte, en contra de l’establert en l’article 20.5 de la Constitució, posa en mans d’un òrgan no judicial -un organisme dependent del Ministeri de Cultura-, la potestat d’impedir als ciutadans espanyols l’accés a qualsevol pàgina web.

3. La nova legislació crearà inseguretat jurídica en tot el sector tecnològic espanyol, perjudicant un dels pocs camps de desenvolupament i futur de la nostra economia, entorpint la creació d’empreses, introduint entrebancs a la lliure competència i alentint la seva projecció internacional.

4. La nova legislació proposada amenaça als nous creadors i entorpeix la creació cultural. Amb Internet i els successius avenços tecnològics s’ha democratitzat extraordinàriament la creació i emissió de continguts de tot tipus, que ja no provenen de manera prevalent de les indústries culturals tradicionals, sinó de multitud de fonts diferents.

5. Els autors, com tots els treballadors, tenen dret a viure del seu treball amb noves idees creatives, models de negoci i activitats associades a les seves creacions. Intentar sostenir amb canvis legislatius a una indústria obsoleta que no sap adaptar-se a aquest nou entorn no és ni just ni realista. Si el seu model de negoci es basava en el control de les còpies de les obres, en Internet no és possible sense vulnerar drets fonamentals: haurien de buscar un altre model.

6. Considerem que les indústries culturals necessiten per sobreviure alternatives modernes, eficaces, creïbles i assequibles i que s’adeqüen als nous usos socials, en lloc de limitacions tan desproporcionades com ineficaces per a l’objectiu que diuen perseguir.

7. Internet ha de funcionar de forma lliure i sense interferències polítiques afavorides per sectors que pretenen perpetuar obsolets models de negoci i impossibilitar que el saber humà continue sent lliure.

8. Exigim que el Govern garantisca per llei la neutralitat de la Xarxa a Espanya, davant de qualsevol pressió que puga produir-se, com a marc per al desenvolupament d’una economia sostenible i realista de cara al futur.

9. Proposem una veritable reforma del dret de propietat intel·lectual orientada a la seua fi: tornar a la societat el coneixement, promoure el domini públic i limitar els abusos de les entitats gestores.

10. En democràcia les lleis i les seues modificacions s’han d’aprovar després de l’oportú debat públic i havent consultat prèviament a totes les parts implicades. No és de rebut que es facen canvis legislatius que afecten a drets fonamentals en una llei no orgànica i que versa sobre una altra matèria.

P.S. L'he copiat íntegrament del bloc del Vicent Cubells (gràcies, Vicent)

lunes, 28 de septiembre de 2009

Hackeando la Gripe A

Hace siglos que no posteo ni un solo articulo, fruto de la inactividad vacacional y de la auditoría anterior.

De echo he estado pensando en cerrar el blog, por muchos motivos, uno de los cuales el poco tiempo que le puedo dedicar.

Sin embargo hoy no puedo resistirme a referenciar un articulo de bioinformática sobre la Gripe A titulado Hackeando la Gripe A. En es se explica a groso modo sus mecanismos de reproducció, de provocar daño,etc. y su lectura informática.... realmente esta disciplina es muy interesante!

sábado, 1 de agosto de 2009

Tramper Data


Como ya he comentado en algunpost anterior, estas vacaciones estoy haciendo una auditoría de seguridad en plan "ocio" para un amigo. Y como no podía ser de otra manera ha tocado auditar una aplicación web.

En Windows conocia un proxy que permitía modificar las peticiones realizadas por el navegador, así como examinaarlas concienzudamente, pero para Linux no conocia a priori ninguna contrapartida. Al fin he topado con Tramper Data que no es mas que un complemento para el navegador FireFox que permite examinar las cabeceras y métodos POST tanto de ida como de vuelta con mucha comodidad y por un precio en espacio irrisorio (y coste económico 0, claor).

Totalmente recomendable si tener que auditar alguna web o simplemente depurar su funcionamiento.

martes, 28 de julio de 2009

El Eee Pc también de vacaciones

Tres semanas y media de vacaciones para el Eee Pc que ha aprovechado para visitar a sus padres... mecaoenlamar!

El "peke" ha vuelto a estropear-se, de nuevo el teclado no funcionaba, y se ha pasado tres semanas y media en Asus hasta que lo han devuelto. Me preocupaba pq había instalado el eeeBuntu y se supone que perdía la garantía. Por suerte lo han pasado como en garantía, eso si, al volver nada de lo que tenía en disco, todo formatado y de nuevo con el horrible Xandros.

...Pero funcionando...

domingo, 26 de julio de 2009

Como se notan las vacaciones!


Pues si, como se notan las vacaciones! Y es que llevo mas de un mes sin publicar ni una entrada!

Des de entonces he acabado con el Máster de Seguridad Informática de la UOC (Incluido el proyecto de segundo año), finiquitado el curso escolar con sus reclamaciones, etc y empezado las "vacaciones".

Y es que las vacaciones con una hija de 3 años y otra de 4 meses son "vacaciones" XD. Por suerte tengo algo de trabajo "lúdico", mi primera auditoría real, y un buen libro para leer, juego de tronos (Canción de hielo y fuego) y como no el huerto y alguna pequeña obra en casa. Y como no preparar las asignaturas del nuevo ciclo formativo y que me tocarán impartir el año que viene (Aplicaciones Web y Aplicaciones Ofimáticas) así como pensar ya alguna acción tutorial para los de primero....

En el tintero se quedará seguramente Blender y OpenSim (para hacer tutoría el año que viene) aunque quien sabe, el verano es largo....

Por ahora a disfrutar un poco, que nos lo hemos ganado!

viernes, 12 de junio de 2009

Cancioncilla animada

No se el motivo que llevo unos días con las cancioncilla en la cabeza... de echo el jugo me lo pasé hacer ya un año (Portal: un juego maravilloso pero muy muy corto). La cuestión es que la simpática y desquiciada IA se hace entrañable al final.... XD




Y si, la IA tb es algo rencorosa! XD

jueves, 4 de junio de 2009

A tiempos interesantes, cuchara de palo!

A tiempos interesantes, cuchara de palo! Ejem, me explico....

Este mes dos entregas de la UOC (una en menos de una semana), exámenes finales de trimestre, notas finales y recuperaciones, alumnos + primavera... el huerto exuberante, con sus plagas a pleno rendimiento y las malas hierbas que lo invaden todo... las niñas notando el veranito y semi-resfriadas... uf uf... TIEMPOS INTERESANTES!

En casa el portátil se ha escacharrado la tarjeta gráfica, por lo que no puedo jugar (de hecho ya llevo medio año así). Al de sobremesa no le cabe una gráfica vieja que tengo pq al ser de carcasa horizontal no cierra con la gráfica puesta, a más lleva Linux y a pesar que he localizado juegos que corren bien y tienen cierta calidad (Alien Invasion, Enemy Territory, Wesnorth ...) no puedo deshagoar el estres con "los clásicos": EN CASA DE HERRERO, CUCHARA DE PALO!

Total que como sé que jugar un poco me va muy bien para desconectar mentalmente y hacer un descanso (cosa que necesito como el aire que respiro) he decidido poner la gráfica vieja en el Ubuntu de sobremesa (pese a quedar la carcasa abierta) y pedir ayuda a un alumno para conseguir configurar el World of Warcraft para rodar en Wine del Ubuntu Jaunty.

Siguiendo la guia de Trian para hacer ir el Wow en linux lo he conseguido a la primera y con la gráfica vieja funciona muy bien. Ahora tan solo queda racionar el tiempo entre productividad y descanso. Retomo el Wow!

Por cierto, no podía cerrar el post sin citar el nuevo bloc de Trian: Ciberteminal

jueves, 28 de mayo de 2009

Ejemplos de informes periciales de informática forense


Ironías del destino, ayer entrego la practica de informe pericial y hoy encuentro un ejemplo fantástico! Se trata del Reto forense episodio 3 patrocinado por Red-IRIS y UNAM-CERT en el 2006... si si, es muy viejo pero esto no pasa de moda! XD

El ganador fue un español y podemos descargar, a parte de las imágenes para realizarlo nosotros mismos, los informes técnico y ejecutivo de los 8 primeros puestos. Con ello podemos ver que herramientas se utilizan, como, los pasos que han seguido y como han realizado el reporte.

Ya tengo trabajo para las vacaciones, hacer un seguimiento de esos reportes y aprender un montón!
Podéis visitar la web del reto con toda la información y descargas aquí.

martes, 26 de mayo de 2009

Embargo de Microsoft Messenger

Hoy leo estupefacto que Microsoft ha revocado el servicio de Messenger a los países que Estados Unidos tiene embargos. El servicio ha sido eliminado en Cuba, Siria, Irán, Sudan y Corea del Norte.

Un punto a favor del software libre, o en contra del privativo! A más deja bien claro que este tipo de servicios están totalmente bajo el control e intereses de las grandes empresas que los ofrecen y estas, como no, tienen intereses políticos y "amistades".

Con todo , un día triste ya que Internet o la informática en general es un poco menos libre a día de hoy...

Mas info aquí.

domingo, 24 de mayo de 2009

Introducción a la informática forense

Buscando información para la práctica de la asignatura de Informática Forense he encontrado este PDF de Miguel López Delgado donde se trata de forma ligera (31 páginas) los aspectos y herramientas mas importantes utilizadas en esta disciplina.
Para aquellos que queráis conocer un poco esta sub-disciplina algo oscura de la informática os dejo el documento aquí:

analisisforense_ed2
analisisforense_ed2 infobits

viernes, 22 de mayo de 2009

Control parental en el router adsl

Hoy he instalado mi nuevo router adsl. Ya llevaba tres routers rotos en tres años y esta vez no me he conformado con el que me envía la operadora y me he comprado uno nuevo, no especialmente bueno pero con algunas cosillas extra. También estoy mirando de forma urgente SAIs para evitar nuevos incidentes!

Mirando las opciones del router me ha llamado la atención el control parental. En él podemos configurar web "prohibidas", pero lo mejor es configurar hasta tres franjas horarias donde permitir o vetar la conexión! Mas de un padre debería echarle un vistazo y evitar que su hijo juegue tantas horas al World of Warcraft!

Aquí una captura de las opciones:


XD

Mini manual de Proyectos y Tareas para dotProject

Navegando "a ver que encuentro" por Scribd he encontrado un interesante manual de Bortoli Wines donde explica el funcionamiento de los dos bloques principales de dotProject: Proyectos y tareas. Os lo dejo, ya que esta bastante bien explicado todo:

dProject Information and Tasks
dProject Information and Tasks Jan-Erik Project Information and Tasks

jueves, 21 de mayo de 2009

Seminario gratuito sobre seguridad informática por CEINA i ASCAMM

Se pretende compartir con los asistentes las recientes tendencias de ataques informáticos a empresas y usuarios.

Del 09/06/2009 al 09/06/2009
De 11:00 a 13:30 horas
Precio: 0€
Auditori del Parc Tecnològic del Vallès
Cerdanyola del Vallès

Cronograma del seminario:

10:50

Acreditaciones y registro de invitados

11:00-11:05

Presentación del encuentro

11:05-11:45

Tema: Amenazas de última generación en Internet (las Redes Zombies). Como se controlan miles de ordenadores desde Internet.

1. Qué es son las botnets (redes zombies de ordenadores)

2. Como infectan y operan las botnets con los sistemas victima.

3. Ataques posibles de realizar utilizando botnets contra la seguridad de empresas y usuarios.

4. Prueba de concepto: Montando una botnet paso a paso.

Expositor: Antonio Ramos. Profesor del título propio: Experto en seguridad informática, Universidad Complutense de Madrid en el modulo de metodología de la intrusión a sistemas.

11:45-12:15

Tema: La seguridad en el puesto final de la empresa (Enpoint Security)

1. El problema de la seguridad en los usuarios finales.

2. Técnicas de usbhacking indetectables contra usuarios.

3. Prueba de concepto mediante dispositivo usb: accediendo a información altamente sensible del usuario.

Expositor: Jean-Paul García-Moran, experto en seguridad Open Source, asesor en auditorias de seguridad y test de intrusión de Stack Overflow, coautor/autor de publicaciones de seguridad informática y hacking como: Hacker 2006, Hacking Práctico de la editorial Anaya Multimedia y Hacking y seguridad en Internet de la editorial Rama.

12:15-12:45

Coffee break

12:45-13:30

Tema: Inseguridad en redes Wifi. Ataques ingeniosos y novedosos contra la privacidad de los datos de empresa y usuarios.

1. Los ataques wifi cada vez son más sofisticados.

2. Ataques hombre en le medio sin romper la sesión de la víctima.

3. Como con estos ataques Wifi se puede acceder a correos electrónicos y servicios de redes sociales en Internet de usuarios. Práctica demostrativa de ataque.

Expositores:
Antonio Ramos y Jean-Paul García-Moran (puede consultarse un breve currículum profesional en www.radiusdoc.com .

13:30-13:40

Consultas y Cierre del encuentro.


Mas info aquí.

miércoles, 20 de mayo de 2009

Approbo: El fin del corta y pega!

A partir del ElPeriódico me entero de esta nueva herramienta "para profes": Approbo es una herramienta gratuita que permite verificar si un trabajo se ha realizado utilizando corta/pega.

Veremos que resultados da!

jueves, 14 de mayo de 2009

V OWASP Spain Chapter Meeting en Barcelona

El proximo dia 15 de mayo en el Ateneu Barcelonès de Barcelona se celebrará la quinta "Chapter Meeting" de OWASP. El evento es abierto y gratuito, así que intentaremos ir por todos los medios!

OWASP és una metodología abirta para la seguridad de páginas web, las ponencias más que interesantes:

15:00h-15:30h

Registro

15:30h-15:35h

Bienvenida y presentación del evento.
Vicente Aguilera Diaz. CISA, CISSP, ITIL, CEH Instructor, ECSP Instructor, OPST, OPSA.
OWASP Spain Chapter Leader. Director del Departamento de Auditoría de Internet Security Auditors.

15:35h-16:30h

Sintonizar la función de seguridad con el negocio.
Necesitamos una clara sintonía, por no decir armonía, entre la funciónde seguridad en tecnologías de la información dentro de una organización y el negocio, la verdadera razón de ser de la organización. La mera idea de negocio implica asumir unos riesgos. Sin embargo, la seguridad trata de mitigar riesgos. Esta presentación propone 8 medidas, basadas en más de 10 años de experiencia profesional, para conseguir esa sintonía entre el negocio y la seguridad.
Alberto Partida. CISA, CISSP, SANS GIAC Gold GSEC, Gold GCFW, Gold GCFA, GCIA y GREM.
Miembro del consejo asesor de SANS Institute.

16:30h-17:25h

LDAP Injection & Blind LDAP Injection.
Las técnicas de inyección de código son conocidas ámpliamente. Esta sesión se centrará en las posibilidades de las inyecciones de código LDAP en aplicaciones web. Se verá, en un entorno de prueba, el impacto que pueden tener los ataques de inyección LDAP y la extracción de datos mediantes técnicas a ciegas.
Chema Alonso. Microsoft MVP Windows Security.
Consultor de Seguridad. Informatica64.

17:25h-18:00h

Coffe-break

18:00h-18:55h

Gestión de Incidentes de Seguridad Web en la Brigada de Investigación Tecnológica.
En la primera parte de la ponencia conoceremos la estructura y funciones de la Brigada de Investigación Tecnológica y veremos algunos ejemplos de las distintas tipologias delictivas mas frecuentes, para centrarnos en la segunda parte en los incidentes de seguridad web que se denuncian habitualmente, sus consecuencias y el tratamiento que la Brigada da a cada uno de ellos, haciendo especial mención a aquellos aspectos que debe tener en cuenta un administrador para no perjudicar una posible investigación posterior.
Jorge Martín, Inspector. Jefe del grupo de Seguridad Lógica.
Brigada de Investigación Tecnológica. Cuerpo Nacional de Policía.

18:55h-19:50h

Extensión de módulos de pruebas de seguridad de la herramienta Webgoat de OWASP.
Se hablará sobre la modificación del código fuente del framework para realizar tests de seguridad y permitir su internacionalización, así como varios módulos para realizar pruebas que hasta el momento no existían: el uso de cifrado predecibles, como es el caso del bug aparecido en Debian el pasado año, y la explotación de desbordamientos de búfer en aplicaciones web.
Daniel Cabezas Molina. Technology and Security Risk Services (TSRS) Manager. Ernst & Young.
Daniel Muñiz Marchante. Consultor. Ernst & Young

19:50h-20:25h

Mesa redonda.
Se abrirá un debate sobre alguna temática relacionada con la seguridad y las aplicaciones web, entre los distintos ponentes y los invitados:
Francesc Rovirosa i Raduà. G.O d'Integració Tecnològica. Universitat Oberta de Catalunya (UOC)
Gabriel Martí. Vocal de la Junta Directiva General. Responsable de los servicios ATInet. (ATI).

20:25h-20:30h

Despedida y cierre del evento.
Vicente Aguilera Diaz. CISA, CISSP, ITIL, CEH Instructor, ECSP Instructor, OPST, OPSA.
OWASP Spain Chapter Leader. Director del Departamento de Auditoría de Internet Security Auditors.



Mas info aquí.

miércoles, 13 de mayo de 2009

Aprobada la ley anti piratería francesa

Extraido de La Vanguardia:
"París. (EFE).- Los diputados franceses aprobaron la controvertida ley contra el pirateo de internet, que prevé cortar el acceso a la red a los internautas reincidentes que se descarguen de forma ilegal archivos sometidos a derechos de autor."
Da miedo, esperemos que no sea contagioso! XD
Mas infor aquí.

domingo, 10 de mayo de 2009

Upgrade finalizado!


Bueno, hoy con algo de paciencia he actualizado la versión del servidor de Ubuntu a la 9.04... la del conejillo! XD

Todo está de fábula y sin problemas aparentes, aunque el Compiz que acabo de instalar (por aquello de fardar de escritorio 3d, etc) parece que no acaba de funcionar bien... será cuestión de invertir un poco de tiempo para solventarlo.

sábado, 9 de mayo de 2009

Ciudadelas online, todo un vicio!


Vuelve el calor....
... vuelven los dias previos a examenes....
... los chabales vuelven a pedir para estudiar ...
... otros tienen que acabar los ejercicios ...
... otros simplemente pasan de todo ...
... y yo vuelvo a no tener que explicar materia!

Y si, me paso horas medio aburrido en clase, explicando alguna cosilla, resolviendo alguna duda y esperando a empezar la última parte (Open Office Calc)....

Y claro, uno recae en los viejos vicios!

Ciudadelas es un juego de cartas bueníssimo donde uno debe construir una ciudadela (a base de distritos) y utilizar cada ronda un personaje diferente que le otorga habilidades especiales. Juego con mucha estrategia, poco coste e infinitas horas de diversion... ¿la pega? necesitas gente para jugar!!!


Pero con Ciudadelas Online eso esta solventado (y tiene la ampliación incluida). Es cierto que los juegos son algo lentos, ya que hay que esperar a que todos los jugadores hagan su turno para que te toque, y el juego no es in-time, es decir haces unos turnos y te desconectas hasta mañana... pero claro, siempre puedes hacer varias partidas a la vez!!! XD

Y todo gratis claro!

En resumen, no puedo mas que recomendaros que os registreis y probeis este fantástico juego de cartas!

viernes, 8 de mayo de 2009

Open Office 3.1.0 lanzada


La gran suite ofimática de software libre, código abierto y multiplataforma, avanza hasta la versión 3.1x con 800 bugs corregidos de anteriores ediciones y algunas mejoras interesantes que la potencian aún más.

Mas info y descargas aquí.

jueves, 7 de mayo de 2009

The Hunt For Gollum


El pasado día 3 se libreó una peli de 40 minutos, con un presupuesto de 3.000 libras e inspirada en los acontecimientos entre El Hobbit y El Señor de los Anillos. Se narra la persecución a Gollum por parte de Aragorn para recabar mas información sobre El Anillo.

The Hunt For Gollum esta hecha por fans y con un presupuesto muy pequeño (3149,27 Euros) han realizado una película mas que decente. Por fans y para fans.

A mas, la descarga es gratuita ya que la peli es "libre". La podéis ver subtitulada al español desde su web y si queréis descargarla podéis bajarla desde aquí con subtitulos en español integrados.

A disfrutar! Un pequeño trailer:



martes, 5 de mayo de 2009

Cracking sin secretos: Ataque y defensa de software


Hace ya tres años que compré este magnífico libro de cracking. En el se explica con pelos y señales las principales técnicas de cracking y como se debe proteger el software. Se explican las herramientas, en el CD hay crackmes (retos de cracking) y se explican sus soluciones, todo ello con la teoría base y de forma muy práctica y amena.

Por desgracia tan solo acabé los primeros capítulos y quedó aparcado por falta de tiempo. Sin embargo le tengo muchas ganas de volver a cogerlo y pelearme con él. Por ello hacía tiempo que quería localizarlo en PDF para poderlo leer en cualquier lugar y al fin lo he encontrado aquí!

Os recomiendo comprarlo, ya que es de esos libros que requieren lectura pausada para entender y asimilar todo, a más tiene una buena calidad y no es de esos libros llenos depaja o difíciles de leer... pero para que lo podáis evaluar echad un vistazo al PDF... Hay que decir que este mundillo es muy vición y cuando empiezas con crackmes te vas aficionando cada vez mas!

Los contenidos:
-Las técnicas actuales de protección y sus vulnerabilidades.
-Los puntos débiles de las protecciones actuales.
-Los programas y herramientas empleadas por los crackers.
-Cómo depurar y defenderse de la depuración de un programa.
-Cómo desensamblar y defenderse contra el desensamblaje de un programa.
-Cómo usar y defenderse de los programas FrogsICE y ProcDump.
-La edición del código del programa.
-El formato de fichero PE y los compresores-codificadores PE como soluciones más actualizadas frente a la piratería.
-El cracking como mejor método de prueba de las protecciones.
-Información complementaria sobre el cracking.

sábado, 2 de mayo de 2009

Iniciación a la informàtica forense

Buscando información para realizar las prácticas de la asignatura de informática forense he topado con este documento PDF de Miguel López Delgado donde en 31 páginas da un rápdo repaso a esta disciplina.
Para aquellos que le quieran dar un primer vistazo a este "submundo" oscuro y muy desconocido de la informática aquí lo tienen!

analisisforense_ed2 analisisforense_ed2 infobits

miércoles, 29 de abril de 2009

ClockingIt 0.99.3: Mejoras esperadas


Han actualizado la herramienta online de ClockingIt añadiendo mejoras muy esperadas (al menos por mi).

ClockingIt es una herramienta online de gestión de proyectos donde podemos crear usuarios, clientes, proyectos y tareas... asignar tareas a usuarios, llevar un registro de su progreso, generar un Gantt, Wiki, Forum, Chat... vamos prácticamente todo lo necesario para trabajar de forma colaborativa y a distancia.

En esta actualización han añadido permisos a los usuarios de manera que podemos crear usuarios que tan solo vean y trabajen en determinados proyectos, o incluso crear usuarios "cliente" que puedan consultar el estado del proyecto y poco mas.


Las ventajas sobre dotProject (que actualmente uso) son:
  • Interfaz limpia, simple e intuitiva.
  • Gestión simplificada de usuarios.
  • El diagrama de Gantt funciona!
  • Libre de costes de infraestructura (servicio de terceros).
Pero no esta falto de inconvenientes:
  • Por el momento gratuito.
  • Dependemos de una tercera empresa.
  • No tan completo como dotProject.
  • No tan flexible como dotProject.
Con todo muy buena herramienta, y dependiendo de los recursos que contemos (servidores disponibles, tiempo de gestión, etc...) y las necesidades de control y de funcionalidades puede ser nuestra herramienta ideal para la gestión de proyectos colaborativos.

lunes, 27 de abril de 2009

Herramienta FOCA: Extracción de metadatos de documentos ofimáticos


Es curioso como se pueden averiguar datos tan valiosos (lease peligrosos) como nombres de usuario, nombres de hosts, impresoras, estructura de ficheros, etc con tan solo fisgonear un poco en los documentos ofimáticos publicados.

De echo esta forma información sensible que se almacena de forma automática en los documentos ofimáticos no acostumbra a ser limpiada por casi nadie y por tanto constituye una fuente de información más que apetitosa para hackers.

Para verla tan solo es necesario un editor hexadecimal y paciencia, aunque podemos facilitar la tarea (y salvar nuestra vista) utilizando herramientas especializadas como FOCA de Informatica64. Esta herramienta tiene dos versiones, una online con la que podemos extraer los metadatos de un documento cada vez y una para instalar que nos ayuda a localizar los documentos ofimáticos de un portal web, descargarlos y extraer todos sus metadatos a la vez... toda una gozada!

Soporta los formatos (Miscrosoft Office, OpenOffice, PDF.... vamos casi todos!):

.sxw .odt .ods .odg .odp .docx .xlsx
.pptx .ppsx .doc .xls .ppt .pps .pdf

Todo ello gratuito, of coure!

En clase les he mostrado a los alumnos algunos ejemplos, así como programas para hacer el limpiado de metadatos. Sin ir mas lejos, los borradores de los nuevos currículums de FP contienen una serie de metadatos suculentos... ejem...

viernes, 24 de abril de 2009

Release Party en el IES Nicolau Copèrnic de Terrassa

Me ha llegado información sobre la próxima Release Party organizada por el LoCo Team Catalán en el IES Nicolau Copèrnic de Terrassa. Como docente y ubuntunero doy soporte a estas iniciativas y por tanto publico esta entrada para intentar darle la máxima difusión possible.

Aquí podeis encontrar la información sobre los talleres, mesas redondas, etc.

Nos vemos allí?

martes, 21 de abril de 2009

Reportage del 30 Minuts sobre redes sociales

Pues eso, un reportaje sobre redes sociales del 30 minuts (en catalán) titulado Fent @mics"haciendo amigos". Una muestra mas de la histeria colectiva, justificada o no, que los medios de comunicación están azuzando.

Todo ello hace reflexionar sobre el simple hecho de que la tecnología avanza (o evoluciona) muchísimo mas rápido que nuestra sociedad, creando paradojas cada vez mayores. No me pondré filosófico pero bien seguro que los problemas sociales que provocarán las nuevas tecnologías serán cada vez mayores, no pq las tecnologías sean malas sino simplemente pq la sociedad no estará preparada para usarlas de forma correcta, madura, etc...

Nos queda un largo camino y es posible que el perfil de experto en IT tenga que añadir a su repertorio de conocimientos algo de sociología o psicología para poder abordar lo que la sociedad espera de él.

viernes, 17 de abril de 2009

Herramienta Kon-Boot


Kon-Boot es una herramienta que permite entrar como root en cualquier sistema Linux.

Se trata de un CD que al arrancar el ordenador con él, modifica durante la carga el nucleo del sistema operativo permitiendo entrar como root sin conocer el password.

También acaban de añadir la misma funcionalidad para sistemas Windows.

Así pues tan solo se necesita este CD y acceso físico a la máquina para poder hackearla tranquilamente.

domingo, 12 de abril de 2009

Pruebas de campo de Dani Puente

Lo siento, no puedo resistirme! Aquí os dejo un enlace a una entrada de

jueves, 9 de abril de 2009

Otro TI3?

Si es que es un vicio! Se hizo un amago de cambiar de juego, pero al final de la velada acabamos montando de nuevo el tablero para un Twilight Impreium 3!

Esta vez las razas han sido aleatorias y sin cambios, el repartimiento es:
  • Adolfo con la Hermandad Yin (gris).
  • Adri con el clan de Saar (azul).
  • Nidia con los Sardakk N'orr (naranja).
  • Rosa con la Baronía de Letnev (lila).
  • Raul (yo) con los Emiratos de Hacan (amarillo).
Esta vez me ha tocado la posición "tonta" quedando a tan solo dos sectores del sector natal de mis dos vecinos... muy poco espacio! A mas los Hacann nunca los he jugado, y de hecho no me han atraído nunca (excluyendo el excelente dibujo de la caja). Sin embargo probaremos sus dotes mercantiles y disuasorias, que les huelo mucho potencial... (eso de comerciar con cartas de acción dará que hablar).

Aun por decidir si usamos reglamento de la ampliación aparte de cartas (acción, objetivos, etc), tropas de asalto, minas, refinerías y colonias (que ya usamos la partida anterior).

El tablero? Este!XD

martes, 7 de abril de 2009

Segunda partida al TI3 y shattered empires

La ultima partida de TI3 con expansión duro unos cuantos días. Principalmente al ser mas jugadores, una novata, y nuevas reglas el juego se resintió. Sin embargo los pocos cambios que añadimos fueron espectaculares.

Realicemos un mixto de objetivos, antiguos y nuevos, consiguiendo un mazo proporcionado entre objetivos bélicos y de desarrollo de imperio. Aparecieron objetivos como invadir planetas ocupados por el enemigo, bloquear una space dock (nuestras casetas de perros), ganar dos batallas contra al menos tres naves... vamos que nuestros integrantes mas bélicos disfrutaron como monos.

Las cartas de acción también fueron estrellas, de hecho fueron cruciales en varias batallas y sorprendieron a alguna WarSun confiada. O romiperon todos los esquemas a algun que otro oponente que tenia planeado forrarse armamentisticamente y veia como su sistema con mas ingresos sufria una rebuelta y quedaba exhausto.

Las políticas, aun usando las cartas de estrategia bases, fueron estrellas en la partida y la condicionaron desde un buen principio para males de los Muuat. La primera carta en aparecer daba un -2 a los acorazados y soles de guerra haciendo mucho menos temibles y quitando gran parte de la ventaja de los l1z1ts y Muuats. De heco con esta política la mayoría de nosotros dejemos de quejarnos sobre la WarSun y tecnologia inicial de los Muuat . Mas tarde apareció otra ley que daba a los Naalu la posibilidad de usar la habilidad secundaria de tecnología sin gastar strategy y con un descuento adicional. Finalmente en los últimos turnos apareció una ley que nos encarecía a todos las tecnologías en dos, haciendo que el avance tecnológico se enlenteciera considerablemente.

Las batallas se sucedieron, y con ellas se enfatizó un sutil cambio en la composición de las flotas. Gracias a la nueva tecnología de Automated Defense Turrets los destructores pasaban de un mediocre 9 a un mas que modesto 6 en combate y aumentaban su potencia anti-cazas a tres dados, aunado a su coste de un recurso fueron las estrellas de los combates. Hasta entonces casi no habían aparecido en ninguna partida y la gente se decantaba por los cruceros, en esta partida los Yan y Naalu pusieron todos sus destructores en el tablero y los cazas Naalu se escondieron limitandose a funciones de absorber fuego PDS o, gracias a la tecno de anti-gravedad, a invadir planetas de sistemas ya securizados.

Tan absorbidos estábamos que cuando apareció Imperium Rex (y fin departida) acordemos por unanimidad ignorarla y continuar hasta ls 10 puntos de victoria. Aunque hay que reconocer que la victoria era para Adri, que simpre se mantubo primero hasta el último turno donde consiguió los 10 puntos junto con Nidia.

En resumen, aun sin añadir reglas extras (añadimos por ejempleo, las refinerias y colonias, tropas de choque, retiradas) tan solo añadiendo las cartas y sistemas nuevos el juego mejora muchísimo!

Otra partida?

jueves, 2 de abril de 2009

EEE Pc arreglado... o no!

Después de un par de semanas sin el Eee PC ya lo tengo en casita! Se estropeó el teclado, inexplicablemente (sin hacer nada extraño) dejó de funcionar.

Hoy lo he probado y después de un rato me he llevado el susto! primero no funcionaban el teclado español, sino el ingles. Con calma he buscado por los menús como cambiarlo, pero nada, así que he ido a modificar la configuración del teclado desde el terminal.

El segundo susto ha sido descubrir que el terminal no se abría (Ctrl+Alt+T)!!! Después de media hora desesperado he visto que la partición principal estaba casi llena, así que he liberado algo de disco con el asistente de diagnósticos.. tan solo archivos temporales, pero unas pocas Kbs.

He reiniciado y al cabo de varios intentos se ha abierto la terminal! Así que he ido a modificar el /etc/default/locale y la sorpresa ha sido ver que estaba correcto. Al comprobar las teclas todo funcionaba bien.

Así pues problema de espacio en la partición principal y sin instalar nada mas que el nmap como extra! Esto impone una de dos soluciones: Juntar ambas particiones o instalar otro SO. Como que con ambas se pierde la garantía supongo que instalaré el EeeBuntu...

Haga lo que haga será en otro post!

martes, 31 de marzo de 2009

Curso de formación ocupacional sobre seguridad informática

La semana pasada nos llegaron al instituto las programaciones de los cursos de formación ocupacional que podíamos ofertar de cara al curso que viene. Estos cursos están destinados a personas en paro y por tanto son totalmente gratuitos. La mayoría eran los típicos pero el curso de TÉCNICO EN SEGURIDAD DE REDES Y SISTEMAS (IFCI21) me dejó estupefacto! Aquí os dejo la programación.

Entre las practicas, sin mirarlo al detalle, hay por ejemplo:
  • Inundar de una red mediante la técnica de SYN flooding.
  • Explotar vulnerabilidades en servicios FTP, IMAP, SMTP, PROXY, Xwindow
  • Comprobar la efectividad de las protecciones intentando atacar a los sistemas y redes protegidos previamente.
  • Monitorizar y comprobar intentos de ataque contra los sistemas y redes protegidos.
  • Hacer una política de seguridad.
Y un largo etcétera, ya que 120 horas dan para mucho y las 260 de prácticas en empresa aun más!

Aquí no lo impartiremos, demasiada preparación, pero tampoco he encontrado ningún instituto catalán que lo ofreciera el año pasado. Por el ámbito privado si lo he encontrado, con la misma programación pero al módico precio de 1300€....

Si tenéis suerte de encontrarlo en su formato de formación ocupacional (y por tanto gratuito) cerca no dudéis en apuntar-vos.

Yo por mi parte me he guardado a salvo la programación e iré montando el curso. Tanto con vistas a impartirlo en un futuro como para realizar todas esas prácticas de hacking ético a título personal.

Por cierto, si alguien lo cursa que pase los apuntes y prácticas!

viernes, 20 de marzo de 2009

En Linux también hay submarinos: Danger from de Deep

Bueno, pues esta semana me he quedado sin "centro de ofcio" al quedar frito el portátil viejo. Por suerte he conseguido arrancar y recuperar información importante... ya se sabe que no va atesorando rarezas.

Pero claro, ayer tenía intención de descansar media hora y entretenerme y me encontre chascado, así que me vine al sobremesa para ver si conseguía encontrar algun entretenimiento bajo Linux.


Hace tiempo ya topé con este simulador Danger from the Deep y lo descargué para Windows... nunca conseguí pasar del menú principal y sin ninguna razón aparente. Ayer con un poco de investigación conseguí hacerlo funcionar en el Ubuntu, inclusive en esta máquina que no tiene ni aceleradora funciona bien!

Se trata de un simulador de submarinos alemanes de la segunda guerra mundial, recuerda horrores al Silent Hunter III! Su calidad gráfica deja pasmado, sin embargo su control, opciones, IA, etc recuerdan que se trata de un juego OpenSource en fase Alpha (no es que el control sea fatal, es que aun les queda implementar varias cosas). Con todo es TOTALMENTE JUGABLE en las misiones históricas, el editor y no recuerdo si parte de la campaña.

Para instalarlo en Ubuntu tan solo descargas e instalar el paquete DEB. Con esto ya podemos ejecutar, pero al hacerlo nos aparecerá un error:

Caught exception: DftD error: Can't open directory /usr/share/games/dangerdeep/objects/airplanes/
Stack trace: (5 frames)
0x8070202 in dangerdeep at ??:0
0x806d431 in dangerdeep at ??:0
0x806d4f1 in dangerdeep at ??:0
0xb7a5b050 in __libc_start_main at ??:0
0x804e6a1 in dangerdeep at ??:0

Sin mas pistas. Pero he encontrado la solución en un foro. Falta, como bien dice el error, todo un conjunto de archivos en el directorio objects. Estos archivos los podemos descargar de la página oficial, en la sección de descargas por distribuciones separadas, se trata del zip Artwork/data llamado dangerdeep-data-0.3.0.zip.

Una vez descargado lo descomprimimos en /usr/share/games/dangerdeep/ y ya estamos listos para disfrutar del simulador. Tan solo ejecutamos dangerdeep y sobre todo nos leemos primero la configuración del teclado, que si no no sabremos ni como dar avance!



Animaros y disfrutatlo!

jueves, 19 de marzo de 2009

Los males no vienen nunca solos...

Y es que ya lo dice el refrán.
Esta semana esta siendo un bonito cúmulo de despropósitos, unos "planeados" y otros fortuitos:

  • He empezado a trabajar, al acabarse el permiso de paternidad.
  • La niña grande se ha puesto un poco enferma y no va al cole.
  • engo entrega de práctica del máster el domingo.
  • Se me ha estropeado el Eee PC (el teclado ha dejado de funcionar) .
  • Ayer quería relajarme un poquitín con el Storm of Zehir y resulta que la targeta gráfica del portátil viejo finalmente ha dicho basta..
Suert que aun tengo el de sobremesa que compré hace tres años por 200€ y que aun aguanta, sino no sé como trabajaría!

Bueno, ahora tan solo queda pasar el bache, intentar salvar todo lo posible del portátil viejo e intentar hacer algun milagro con él. Esperara a que Asus me devuelva el pequeñín y apretar la práctica.

Con todo se demuestra que Dios existe... y tiene un extraño sentido del humor! jejeje

viernes, 13 de marzo de 2009

Mundodisco, el juego de rol


Hoy me entero gracias a un amigote que antes del verano de este mismo año EDGE tiene planeado publicar un juego de rol ambientado en el Mundodisco!

El juego estará escrito por el propio Terry, Phill Masters e ilustrado por Paul Kidby... vamos una gozada!

No me imagino como puede resultar una partidilla con tan hilarante trasfondo, pero de bien seguro que nos lo agenciamos y lo probaremos en cuanto caiga un ejemplar por Gigamesh!
Ahora tan solo queda coger una buena bebida (proporcionada por Y-voy-a-la-ruina Escurridizo), unos libros de la bilbio de la universidad (para cogerlos recordad llevar un plátano al bibliotecario) y esperar a ver si el tiempo se deforma un poquitín y se acorta hasta su publicación.

Por cierto, el enlace a la noticia de EDGE.

jueves, 12 de marzo de 2009

Hacer funcionar Kismet en el Eee PC 901 20g

Bueno, hace ya tiempo que lo tengo pendiente y ayer por fin me puse.
Poner en funcionamiento el Kismet en nuestro pequeñín, partiendo de la configuración del post anterior es muy sencillo.
  1. Poner la targeta en modo monitor: iwconfig ra0 mode monitor
  2. Lanzar el Kismet con la configuración correspondiente: kismet -c rt2500,ra0,Ralink
Comentar que esta configuración podemos grabarla en el archivo kismet.conf de manera que no la tengamos que especificarlo en la línea de comandos. La entrada del archivo de configuración quedaría así: source = rt2500,ra0,Ralink

Sencillo no?

Para quien quiera mayores especificaciones o un manual de funcionamiento del Kismet le recomiendo este manual de Canido.

Lo próximo será crackear una clave WEP.

lunes, 9 de marzo de 2009

Profes, alumnos y LOPD

Parece mentira pero el alcance de la LOPD es enorme y muchas veces nos sorprendemos como cosas que hasta hoy eran triviales y totalmente costumbristas pueden a día de hoy constituir delito.

Un ejemplo de esto puede ser colgar las notas del alumnado en el tablón de anuncios de la clase o instituto. En él se hacen públicos datos personales (nombre, apellidos, notas, etc) normalmente sin el consentimiento expresos del alumno.

Aunque también se dan casos donde los datos vulnerados son los del profesor. Personalmente estoy cansado de avisar que hacer fotos en clase esta terminantemente prohibido, quizás si vieran esta o esta sentencia se lo tomarían en serio.

De echo estos casos también son denunciables a la APD ya que las fotografías han sido colgadas en internet sin consentimiento del profe.

Lo dicho, los profesores deben extremar precauciones y revisar todas esas "costumbres" y los alumnos tomarse las cosas con un poco mas de seriedad. Esto de la LOPD va a traer mucha cola!!

viernes, 6 de marzo de 2009

SEAT: Search Engine Assessment Tool

SEAT nos permite realizar de forma automática búsquedas de posibles vulnerabilidades en sitios web utilizando para ello los buscadores mas populares como Google, Yahoo, etc.

Se trata como no de una herramienta de software libre solo disponible para Linux. Su instalación en Debian o Ubuntu es realmente simple y su utilización muy intuitiva. A mas lleva consigo un manual muy util.


Despues de un par de pruevas con esta herramienta decir que los resultados obtenidos son bastante buenos, aunque realizar un escaneo completo a un dominio con todos los juegos de búsquedas possibles resulta ser un proceso bastante largo.


Con todo una buena herramienta para auditorías o pentest de webs.

jueves, 5 de marzo de 2009

Doctor balear condenado a tres años de prision por acceder a datos personales infringiendo la LOPD

Me llega esta noticia donde un doctor balear es sentenciado a tres años y tres meses de prisión mas nueve años de inhabilitación total por acceder a los datos médicos de un compañero. Aunque la LOPD tan solo prevé penas administrativas, parece ser que este caso también ha pasado al código penal. Una sentencia realmente desproporcionada.

Sin embargo hace falta recalcar lo que ya llevamos tiempo viendo, en la sociedad existe una nula asimilación de la LOPD y muy pocas personas o empresas la tiene en consideración. Los datos personales son "meneados" por cualquiera sin el menor escrúpulo por la simple razón de que siempre se ha hecho así y ahora que esta regulado aparecen denuncias y sentencias como la anterior. Así pues tenemos aseguradas noticias como la anterior por unos cuantos años mas.

Tenemos que ser mas cuidadosos con los datos personales!

miércoles, 4 de marzo de 2009

Pociones de maná y vida

Cada día me sorprendo mas al ver el nivel de frikismo en que estamos llegando. Ayer un amigote me pasó un enlace a un nuevo producto friki, se tratan de pociones de maná y vida!

Para mas colmos, a parte de la estetica y "lo friki" del artículo resulta que son concentrados "destinados a sessiones friki". El primero a tomar sería la poción de maná que resulta ser un concentrado parecido al Red Bull pero mucho mas potente, con esto ya podemos aguantar toda una noche de roleo intenso.

Al dia siguiente estas como un trapo así que nada mejor que una rejuvenecedora poción de vida, que resulta ser un concentrado tipo Aquarius pero mucho mas potente también.

La combinación perfecta! Cada pack de 2 vale alrededor de 7$ y se venden en packs mas grandes. Aquí la página oficial.

La unica pega... que no las venden en España!!! snif snif snif!!!

martes, 3 de marzo de 2009

Fiasco Awards 2009 para el Windows Vista

El dia 27 de mes pasado apareció en el Avui el ganador del premio Fiasco Awards 2009. Estos premios son otorgados a los fiascos tecnológicos por médio de votación popular.

Este año el "honor" ha sido para Windows Vista, el cual ya todos conocemos. Destacar el segundo premio, que también me afecta, en esta ocasión es para SAGA. Este aplicativo es el que se utiliza en el Departamento de Educación de la Generalitat de Catalunya para gestionar los centros (notas de alumnos, etc)... como os podéis imaginar, si tan solo votando el colectivo de maestros ha quedado en segundo lugar significa que es un software perfecto para ejemplificar en Ingeniería del Software como NO se debe crear un programa.

Bueno, para los que tengáis mas curiosidad y entendáis el catalán aquí os dejo el artículo de los Fiasco Awards 2009

lunes, 2 de marzo de 2009

Maqueta Revell del submarino GATO 1:72

El otro día haciendo unas gestiones por Manresa vi en el escaparate de LA tienda de modelismo esta magnífica maqueta.
Al parecer este formato debe tenir salida ya que es la segunda de este tamaño que veo! Cuando acabe con la del Tipo VII-C fijo que la compro (si consigo quitarme el miedo a su precio). Es perfecta para hacer un submarino de radio control! Mirad mirad...


Magnífica verdad? Mas de un metro de largo y con un despiece de 266 piezas... hay que tener mucho espacio y una mujer comprensiva para poder exponerlo en casa XD.Por cierto, en esta última imagen se pueden apreciar las diferencias de tamaño con el Tipo VII-C de Revell también a escala 1:72 (este ya lo tengo, jejej)




domingo, 1 de marzo de 2009

Montones de libros para descargar

Mediante FaceBook me llega este enlace donde hay montones de libros por descargar. Los temas? Seguridad informática, programación de videojuegos, inteligencia artificial, SQL, Java, certificaciones y un largo etcétera. Como es costumbre en la red, todo este material está en ingles.

Por si estáis aburridos!

sábado, 28 de febrero de 2009

Publicidad en blogs + LSSI


Todo aquel que gane dinero mediante su web o blog, ya sea vendiendo productos, servicios, publicidad, etc se convierte automàticamente en un prestador de servicios segun la Ley de Servicios de la Sociedad de la Información, al menos aquí en España. A partir de este momento se esta sujeto a ciertos requisitos legales y obligaciones. Aquí como bien dice el título también recaen los blogs que contengan publicidad y se cobre por ella.

Se me paso por la cabeza poner publicidad de Google AdSense en el blog para ver como funcionan estos tipos de servicios, sin ningúna aspiración pero con curiosidad. De ahí que me diera cuenta de la implicación de la LSSI y de las possibles sanciones (de miles de euros).

Por suerte, para entrar en la legalidad ofreciendo un servício tan simple como la publicidad no es necesario mucho esfuerzo. Tan solo hace falta una declaración legal de la web así como datos de su propietario. Un ejemplo lo podeis encontrar en esta misma web en el botón "datos LSSI". Este texto ha sido creado de forma automática usando el asistente que ofrece cuwhois, que va de perlas.

viernes, 27 de febrero de 2009

Shadowrun Awakened: Un MMORPG OpenSource de Shadowrun!


No es ningún secreto que soy un rolero empedernido, ni tampoco que el universo de Shadowrun me encanta! Tiene una mezcla casi perfecta de tecnología, magia, fantasía, ciencia-ficción impresionantes.

El juego de rol lo tengo acumulando polvo en la estantería, los juegos "oficiales" son de acción y tan solo aprovechan algo el trasfondo de Shadowrun y las nuevas versiones tan solo estan disponibles fuera de España. Vamos que estoy seco de Shadowrun...

Pero he encontrado un proyecto OpenSource para crear un MMORPG de Shadowrun aprobechando todo su potencial: mágia y plano astral, incursiones en la Matriz, ciberimplantes, dragones.... se me hace la boca agua! Este proyecto se llama Shadowrun: Awakened. Por desgrácia esta falto de colaboradores y en un estado muy muy verde. Desde aquí ánimos, a ver si podemos colaborar!

jueves, 26 de febrero de 2009

Los viejos MUDs, juegos de rol massivos perfectos para el Eee Pc!


Cuando estaba estudiando en la universidad, falto de rol, descubrí los MUDs (Multi Users Dungeons), juegos de rol masivos totalmente textuales. Para jugar tan solo necesitabas un programa de conexión como TelNet o NetCat, conexión a Internet y ganas de pasarlo bien, ya que todos eran gratuitos. Horas se perdieron paseando por Menzoberranzan con una sacerdotisa o por mundos de fantasía con un hombre lobo o personajes mas . Sin duda este género fue el percusor de los actuales MMORPG.

Hoy he vuelto a buscar estos míticos juegos, en parte por nostalgia y en parte por ver si aun siguen vivos, y los he encontrado! En la Wikipédia hay un buen surtido de enlaces a MUDs en castellano, así como su historia, etc.

De echo son excelentes para jugar com el Eee Pc ya que no requieren gran espacio en disco (yo utilizo el NetCat) y proporcionan horas de juego y todos los elementos de los MMORPG, eso si sin gráficos ni sonidos... todo a merced de las ganas de jugar, los otros jugadores que encontréis y la imaginación de uno mismo!




miércoles, 25 de febrero de 2009

Empezamos con AdSense

Pues si, empezamos a hacer pruebas con este tema de la publicidad en blocs. Ya se sabe, si no se prueba por uno mismo no se puede opinar!

En cuanto funcione y tengamos un par de meses de "vidilla" ya comentaré que tal me parece este "mundillo".

Por el momento la primera entrada con publi!!
¿Quien hace clic?

Conferencia FIST - Barcelona, edición Fiberparty

El día 6 de Marzo a partir de las 18:00hs se celebra una nueva edición de las Conferencias FIST en Barcelona. Las conferencias son:

Hora Título Ponente
18:00:00 You’re an IT Security person; What are your ethical business obligations? Jay Libove, CISSP, CIPP, Transcom Worldwide
19:00:00 A fresh new look into Information Gathering - Metagoofil v2 Christian Martorella, S21sec
20:00:00 El negocio del Malware Vicente Diaz, S21sec


Las conferencias se celebran en la Sala d´Actes del Campus Nord de la UPC (edificio A3).

Inscripciuón y mas información aquí.




martes, 24 de febrero de 2009

KeyLemon, reconocimiento facial

Los mètodos de autentificación se basan tradicionalmente en la comprovación de "algo" que el usuario tiene o conoce. El más típico és conocer el password... aquí tenemos un ejemplo de "poseer algo" en este caso tu propio rostro!

KeyLemon es un sistema de reconocimeinto facial para la autentificación de usuarios (método biométrico) para Windows XP + WebCam y gratuito. La verdad es que tengo que probarlo a ver que tal funciona... pero que pasaría si en vez de mi cara le enseño una foto de mi cara? Estaría comprometido el sistema?

Tednré que probarlo sin dudo para analizar sus posibilidades mas a fondo!

martes, 17 de febrero de 2009

Samba desde Linux

Hoy he estado trasteando con los ordenadores de casa para probar como funciona el Samba con un servidor Windows y un cliente Linux. En concreto he estado intentando reproducir el típico proceso de hackeo a recursos compartidos (listar puertos, ver recursos, usuarios, probar contraseñas y entrar en el recurso compartido) que hace unos años había funcionado tan bien.
Me he alegrado de encontrar esta útil lista de comandos donde se especifica la función y principales parámetros de los comandos relacionados con Samba en Linux.
Que decir tiene que me va a ser muy útil para conectar a los recursos del centro donde trabajo con el Eee Pc...
Material también para hacer un video-tutorial para los alumnos?

lunes, 16 de febrero de 2009

Dradis

Se ha liberado la versión 2.0 de Dradis.
Esta es una herramienta de código abierto especializada en compartir información durante las valoraciones de seguridad. Ofrece un repositorio central donde almacenar la información recogida i realiza un seguimiento de la diferentes tareas realizadas.
Los objetivos que se marca en su web son:
  • share information effectively
  • easy to use and adopt: each team is different, so is each tester. dradis will not require you to change the way you test.
  • flexibility: learn more about extensions
  • small and portable: is platform independent and with a web interface

sábado, 14 de febrero de 2009

Por fin en casa!

Por fin! el viernes al medio día nos dieron el alta para perplejidad nuestra! Tan solo un control para verificar el estado de la Heura el lunes y listo.
Ahora toca adaptarnos todos y recuperar día a día la nueva normalidad.

viernes, 13 de febrero de 2009

Aquí la Heura !!

El martes 10 de febrero nació la Heura. El parto, con protocolo natural, fue fenomenal sin siquiera dar puntos a la madre. La recuperación extra-rápida y la niña cogió el pecho desde el primer momento. Pero claro, en esta vida no puede ser tan bonito...

La niña tiene isoinmuno-nosequé... vamos que la madre genero anticuerpos contra la niña y ahora le están destruyendo los glóbulos rojos. Esto provoca anemia y una gran subida de la bilirumina.

Empezaron tratamiento el mismo martes por la tarde, pq había subido mucho y fueron aumentando hasta que el miércoles por la mañana decidieron trasladarla a Barcelona por si necesitaba hacer una transfusión de sangre...

Hoy viernes parece que la cosa esta mejor. No le han echo la transfusión aun y los niveles de bilirumina han bajado unos 3 puntos desde el martes. A más la madre ya le puede dar el pecho y cogerla un rato, cosa que ayuda mucho anímicamente. Tan solo queda esperar y rezar para que siga mejorando...

Os dejo una foto de ellas.

lunes, 9 de febrero de 2009

dotProject - Creación de perfiles: El cliente

Uno de las características que me han decidido a usar dotProject es la possibilidad de crear perfiles en base a roles y permisos. Gracias a esta característica podemos por ejemplo crear un usuario para un cliente concreto y que pueda ver y editar los datos de su empresa, y lo que es mas interesante, ver el estado de sus proyectos, las tareas, planificación, pressupuesto, etc. Otro perfil interesante es el de colaborador, el cual nos suele interesar que tenga ciertos privilegios en los proyectos donde esta trabajando pero no en todos, o incluso que no vea nada mas que los proyectos que tiene assignados. Cabe destacar que no he encontrado otro software libre de gestión de proyectos y colaboración que permita hacer esto, como mucho tienen roles pre-asignados para colaboradores o en la mayoría de casos todos los usuarios tienen permisos “de administración”.
Hoy voy a explicar como crear el perfil de Cliente, por ser el mas sencillo. El objetivo es que los clientes puedan entrar y ver/modificar los datos de su empresa y ver sus proyectos (datos, fechas, estado, tareas, avance, etc).
Lo primero que debemos hacer es crearr un rol llamado cliente, que será una declaración base de las acciones que podrán hacer los usuarios pertenencientes a ese rol dentro de dotProject. En este ejemplo nos interessará que los clientes puedan ver y editar los datos de sus empresas y puedan acceder a sus propios proyectos y ver las tareas que los componen. Por tanto hacemos:
  1. Menú de Sistema.
  2. Dentro de Administración escogemos Roles de Usuario.
  3. En la última fila llenamos los campos Role ID con la palabra “cliente” y el campo Descripción com “Rol para los clientes de la empresa.” y le damos al botón Agregar.
  4. Ahora hacemos clic sobre el candado asociado al rol de cliente, así editamos sus permisos agregando:
  • Modulo Tareas + Item All + Permisos Allow y View.
  • Módulo Proyectos + Item All + Permisos Allow y Access.
  • Módulo Empresas + Item All + Permisos Allow y Access.


Con esto ya hemos definido el rol del cliente dandole acceso a los apartados de proyectos y empresas de dotProject y permitiendo que vea tareas, ahora tan solo nos queda crear un usuario del tipo cliente y assignarle los permisos específicos de a qué empresa y proyectos puede acceder.
  1. Menú Usuarios.
  2. Agregar usuario.
  3. Entramos todos los datos pertinentes.
  4. En la pertaña de Permisos hacemos las siguientes asignaciones:
  • Módulo Proyectos + Item el proyecto que queremos que vea + Permisos Access y View
  • Módulo Empresas + Item su empresa + Permisos Access, Editar y View


Con esto hemos dado los permisos específicos para este cliente. En la imagen podei ver como este cliente puede ver su empresa Si.C y su proyecto de Formación.
Esto es todo! Espero que os sea útil!

Por fin!

Por fin online!!!

Errores telefónicos y privacidad

Aun sin Internet... y en realidad sin teléfono. Parece ser que hace unos cinco días dieron de alta una nueva línea de teléfono en el barrio y a partir de entonces no recibo llamadas, cuando las hago yo resulta que las hago con el numero de teléfono del vecino (de suponer es que paga él) y si suena el teléfono tan solo he de descolgar y ya puedo marujear en las conversaciones de este...
En tiempos donde la privacidad y la protección de datos personales se escuchan incluso en la sopa parece ser que la compañía de teléfono no tiene mucho miedo a una denuncia... si es que donde sobra dinero nunca hay prisas!