lunes, 22 de enero de 2007

Parseo de Archivos Binarios y Bugs

Me parece interesante este post sobre la herramienta zzuf, ya que según esta pequeña muestra es muy común que el parseo de archivos binarios falle (cuelgue de la aplicación o error fatal) ante el menor cambio de algún byte. Me hace acordar cuando se hacían tests de la robustez de los navegadores web al hacer leer HTMLs "malos" a los navegadores.

Exposing File Parsing Vulnerabilites

Como reflexión, estaría bueno que haya algún equipo de Q&A dentro del mundo Open Source que tome aplicaciones y haga más "reportes" de este tipo.

Saludos
Marcelo

jueves, 18 de enero de 2007

Sobre el Manejo de Contraseñas - S/KEY y OPIE

Esta es una buena práctica del uso de contraseñas.

Opie es un programa para generar contraseñas de uso "por única vez". Buenísimo, juro que no lo conocía (y me pasa lo mismo que al tipo del blog, cuando tengo que tipear mi pass en máquinas que no conozco).

Links:
Søren Hansen Blog
One-time password en la Wikipedia
S-Key en la Wikipedia

No prometo ponerlo en práctica. Como es sabido, taanta seguridad va en contra de la (y mí) usabilidad. :-D

Salutes
Marcelo
Foto extraída del álbum Flickr de gurneyh

lunes, 8 de enero de 2007

No compren Notebooks Acer!

Tanta necesidad tienen de poner Rootkits las empresas fabricantes de dispositivos??? (Acuerdense del rootkit que Sony instalaba en sus CDs con "protección anticopia").

Vean este post y asómbrense.

En resumen: Acer en sus instalaciones de Windows que vienen con sus Notebooks (en este caso, una TravelMate 4150) te instala un control OCX que permite ejecutar cualquier comando desde una página web, sólo sabiendo el OID (ya que IE6 permite ejecutar controles ActiveX sin avisar). En IE7 al menos aparece un mensaje de alerta... igualmente es preocupante.

Lo peor es que uno no puede pedir una notebook sin Sistema Operativo; si uno le instala Linux, es probable que pierda la garantía!

Conclusión: Fijense bien al comprar cualquier cosa. :-(

Saludos
Marcelo

sábado, 6 de enero de 2007

Vi como editor de texto para notebooks

Este blog lo dice todo. Estoy muy de acuerdo con él, y aunque no tengo notebook, soy mucho más productivo escribiendo código Python con Vi que con cualquier otro editor convencional.



Eso sí, cuesta aprenderlo, eh! (Yo era uno de ésos que lo defenestraba.... pero debo hacer un mea culpa y reivindicar al pobre Vi.) :-D

Saludos
Marcelo

jueves, 4 de enero de 2007

El formato OOXML "estándar" (?) de Microsoft

Leyendo este post de Rob Weir me indigno muchísimo (otra vez), con esta empresa que lo único que hace es mentir. Me pueden decir en qué supuesto estándar de documentación (XML en este caso) pueden figurar estos tags? :

  • autoSpaceLikeWord95 (Emulate Word 95 Full-Width Character Spacing)
  • footnoteLayoutLikeWW8 (Emulate Word 6.x/95/97 Footnote Placement)
  • mwSmallCaps (Emulate Word 5.x for the Macintosh Small Caps Formatting)
  • suppressTopSpacingWP (Emulate WordPerfect 5.x Line Spacing)
  • lineWrapLikeWord6 (Emulate Word 6.0 Line Wrapping for East Asian Text)
  • mwSmallCaps (Emulate Word 5.x for Macintosh Small Caps Formatting)
  • shapeLayoutLikeWW8 (Emulate Word 97 Text Wrapping Around Floating Objects)
  • truncateFontHeightsLikeWP6 (Emulate WordPerfect 6.x Font Height Calculation)
  • useWord2002TableStyleRules (Emulate Word 2002 Table Style Rules)
  • useWord97LineBreakRules (Emulate Word 97 East Asian Line Breaking)
  • wpJustification (Emulate WordPerfect 6.x Paragraph Justification)
  • shapeLayoutLikeWW8 (Emulate Word 97 Text Wrapping Around Floating Objects)
Como dice Rob Weir al final del post:
"So not only must an interoperable OOXML implementation first acquire and reverse-engineer a 14-year old version of Microsoft Word, you must also do the same thing with a 16-year old version of WordPerfect. Good luck."

Traducción:
"Entonces, una implementación interoperable con OOXML no sólo debe adquirir y hacer ingeniería reversa de una versión de Word de hace 14 años, también debe hacerse lo mismo con una versión de WordPerfect de hace 16 años. Buena suerte".

Esto no es un estándar, se trata de otro chamuyo más para hacerse ver ante los gobiernos (de que "su" formato de documentación es estándar. Por lo que veo, igual la ECMA lo aprobó (yo me pregunto, no sabrán nada como los que conceden patentes a cosas como un algoritmo de lista enlazada?). Sí, lo sigo afirmando aunque en el comité técnico del ECMA hayan participado representativos de Apple, la Biblioteca Británica, Canon, Intel, Microsoft, Novell, Pioneer, Toshiba, y la Biblioteca del Congreso de los Estados Unidos. (Qué hace Novell ahí?? ummm....)

En definitiva, más mentiras y verdades a medias de la que ya me tiene acostumbrado.

Saludos
Marcelo

Actualización: Sí, es indignante. Alguien leyó esto????
"The O/S will use much more of a PC's CPU resource because 'Vista's content protection requires that devices (hardware and software drivers) set so-called "tilt bits" if they detect anything unusual ... Vista polls video devices on each video frame displayed in order to check that all of the grenade pins (tilt bits) are still as they should be.'

Also 'In order to prevent tampering with in-system communications, all communication flows have to be encrypted and/or authenticated. For example content sent to video devices has to be encrypted with AES-128.' Encryption/decryption is known to be CPU-intensive.

Device drivers in Vista are required to poll their underlying hardware every 30ms - thirty times a second - to ensure that everything appears correct.
"

Si esto es cierto (todavía me cuesta creerlo), es el colmo.

miércoles, 3 de enero de 2007

SysRQ remoto


Si alguien conocía las "teclas mágicas" de GNU/Linux, sabía que sólo funcionaban localmente, es decir, estando uno delante del Server. Sin embargo, si uno está lejos físicamente, se complica... (sí, un amigo llamaba a la casa para que la madre le reiniciara el Servidorcito... :-P ).

Para eliminar este inconveniente que han desarrollado sysrqd, un software que funciona como demonio sólo para atender a "system requirements", o sea, poder enviar remotamente esas "teclas mágicas". Está pensado para consumir lo menos posible de CPU (calculo que es por eso que no encripta el tráfico), no inicializa ningún shell y sólo tiene autenticación del tipo usuario/contraseña.

Después de identificarse, se presiona la combinación de teclas que se desea y listo. :-D

Algunos links más:
Debian Package of the Day
Raising Skinny Elephants Is Utterly Boring

Saludos!
Marcelo
PD: Gracias Wikipedia por la imagen.