Días agitados…
Estos últimos días, practicamente desaparecí de mi vida laboral y social... bueno, no tanto lo último, ya que tuve que hacer unos cuantos llamados y "moverme" para preparar algunas cosas y terminar otras.
Como algunos sabrán, llega el fin de semestre, y es donde hay que entregar trabajos prácticos 'finales' de cada materia... los cuales suelen tener detalles sin pulir que deben, obligatoriamente, limarse previo a la presentación.
Esto es simple cuando son una o dos materias, pero no es nada llevadero cuando las materias son cuatro... y encima, bien pesaditas en la parte práctica (bue, quizás no tanto... pero uno quiere quedar bien en cada materia jeje).
Por otro lado, comentar que en unos días voy a estar participando en dos charlas sobre seguridad, una enfocada en redes inalámbricas y otra en Web Spoofing.
Una descripción básica:
- Seguridad en redes inalámbricas: demostración de penetración a una red con WEP (en vivo, aunque espero que la Ley de Murphy no se cumpla como hoy pasó en casa mientras haciamos pruebas), porque sucede esto, porque aún se sigue haciendo hincapié en usar WPA/WPA2, otras formas de proteger nuestra red inalámbrica
- Web Spoofing dinámico: demostración en vivo (nuevamente, ojala que salga todo bien) de como una persona podría apropiarse de nuestra -navegación- diaria, tanto para espiarnos, guardar lo que hacemos, o simplemente alterar lo que vemos, en sitios "puntuales" que visitemos de forma corriente.
En fin, espero que haya asistencia mínima (con un solo oyente me conformo! jejeje) y creo que muchos se engancharían más que nada por saber como "estar" del otro lado (ya que estará enfocado en el ataque en sí y no la detección).
Mañana, bien tempranito... comienzo el día con una jornada de desarrollo de aplicaciones Web 2.0 cortesía de Dattatec y Microsoft, entre otros... a la cual asistiré con algunos chicos de la Univ para ver que onda (yo me quedé en la Web 1.0 xD, y ellos están interesados en conocer más sobre desarrollo web, asi que somos compatibles).
Ya comenzaré a trabajar de vuelta... ya se me acabaron los días agitados por suerte.
p.d: me quedo con todas las ganas de dar la charla de seguridad en SL vs propietario... ya la haré en otro momento 
Lo que me faltaba con el SPAM…
Últimamente vengo recibiendo muchos correos no deseados que intentan llamar mi atención de una manera muy peculiar... insultándome.
Si, tal cual... muchos dirán, que estrategia inútil (ya que estamos, aprovecho a insultar al autor de eso jeje), pero la verdad es que el primero que me llegó, logró tentarme mucho... lástima que fallaron en un pequeño detalle... usaron mi nombre de usuario en esa cuenta y no tiene mucho sentido (es más, descubrí quien vendió mi cuenta, pero eso es otro tema... ya les pasé a avisar y darme de baja, por mientras).
En todo caso, creo que si uno va por la calle y lo insultan, mínimamente se va a dar vuelta, un detalle que la gente que envía correos no deseados supo captar muy bien de la realidad.
Aún así, creo que para vender no servirá de mucho (ya que el enganche no es favorable), a menos que la persona que lo reciba tenga (muy) corta memoria... o se caliente muy poco (lo que hace improbable que lo abra, también).
Era la única que me faltaba con los correos no deseados... ¡je!
Actualización: NYTimes también habló algo del tema, gracias por el enlace ¿anónimo?
Mejorando la seguridad de los usuarios en la Web
Acabo de publicar un artículo en TechTear, titulado "Seguridad en las aplicaciones Web, enfocada en los usuarios", en donde trato de explicar varias formas de mejorar la seguridad de aplicaciones/sitios web, enfocándonos no tanto en el sistema en sí, sino en el recurso que nos hará crecer... los usuarios.
Mi idea era escribir este tipo de entradas para mi sitio personal, pero dado que este mes venía medio flojo en TechTear, lo mandé ahí... y le agregué un par de detalles que seguramente hubiese omitido ante mi -escaso- público aquí 
Se aceptan comentarios... mejor en T_T, pero si quieren también acá 
Sobre la seguridad en el Software Libre…
Ni bien publiqué ayer una entrada sobre el "problemita" con los certificados en las distribuciones basadas en Debian, un querido Troll publicó un comentario (no en la entrada, sino en "Acerca de" por lo que asumo que trataría de ocultar su ignorancia, o directamente demostrarla de una), preguntándome -cómo me podía sentir seguro- usando un software que no lo es... (¿eh?), y que pasaba con eso de "el software libre es más seguro",... en fin.
El tema es que el muchacho (dudo que sea una mujer, no tengo muchas visitas femeninas... je), nuevamente... no dejó su correo válido (sino le estaría desburrando de forma privada) y, por otro lado, me dio un buen centro como para anotar una entrada (ya que estamos).
El software no es seguro, digamos, por naturaleza. El mismo programador puede tener la mente tan macabra, de meter un código bien oculto, de tal forma que nunca se detecte (o al menos, se tarde el suficiente tiempo como para que se torne interesante el agujero...).
Ahora bien, la diferencia entre el software libre y el propietario es que si bien en ambos pueden haber programadores malos (por maldad) o inexpertos, en el primer caso la misma comunidad termina por -enseñarles- los errores que han cometido... incrementando así su conocimiento (o mostrando que son unos cabrones).
Dado que la comunidad es lo suficientemente grande y heterogénea, en el software libre es muy común que estos errores no duren mucho tiempo, salvo casos excepcionales... como el sucedido hace unos días.
En cuanto al software propietario, la comunidad de desarrollo se reduce muchísimo (ya no podemos suponer millones, sino miles... en el mejor caso), por lo que la posibilidad de que justamente alguno de esas personas de con el error, es menor. A su vez, el software propietario normalmente está asociado con la tenencia por parte de una empresa, por lo que estas personas tendrán suficientes obligaciones como para no dedicarle el tiempo necesario a encontrar errores en los productos a los cuales no han sido asignados, haciendo menos probable el hallazgo de problemas potenciales (o vulnerabilidades).
Por último, en el caso del software libre... si bien hay mucha gente que se dedica a programar, también hay otros que se dedican a coordinar los equipos, buscar errores, promocionar los productos, y demás... (a veces algunos haciendo dos o más de estas actividades), por lo que se incrementa la posibilidad no solo de encontrar el error, sino también de arreglarlo (y en tiempo récord).
Así que, quienes quieran seguir con la mirada de que "unos pocos pagos" pueden más que "muchos por hobby" (está bien, en algunos proyectos esto ya es tan así, como el Kernel de Linux, por ejemplo), sigan confiando en ello... y tengan certeza de que si algún día alguien con mucha mala leche descubre algo muy sabroso... es muy probable que sean víctimas, sin siquiera saberlo.
Debianeros, Ubunteros… atenti :)
Seguramente habrán visto que tienen actualizaciones pendientes, tales como:
- ssl-cert
- openssh-client
- openssh-server
- libssl0.9.8
- openssl
- ssh
- (y otras, según el entorno y aplicaciones que usen relacionadas con estas claves)
Esto se debe a que hace unos días se ha descubierto un error/vulnerabilidad con respecto a las claves generadas para SSH, explicada de mejor forma por la gente de Kriptopolis, para lo cual no solo deberán actualizar con los paquetes nuevos... sino también, regenerar las claves SSH.
Para esto deberán, en una consola, ejecutar:
sudo ssh-keygen -t dsa -f /etc/ssh/ssh_host_dsa_key -N ''
sudo ssh-keygen -t rsa -f /etc/ssh/ssh_host_rsa_key -N ''
En mi caso, ya actualicé ambas máquinas (ambas con SSH), ya que la posibilidad de que alguien se aproveche de este -problemita- es bastante alta... (más cuando hay un exploit publicado).
Actualización: Ni bien terminé de escribir, me intenté conectar y apareció el error esperado... dado que las claves no concordaban (mi configuración es un tanto paranoica), para esto seguimos los consejos en este enlace.
Emiliano Keiner