miércoles, 31 de enero de 2007
Duda existencial sobre un curso de formación
A algunos de mis colegas les ha enganchado el hecho de que se hable de Linux, pero, como ya he comentado, estoy pasándome al lado oscuro desde que descubrí (hará ya cuatro o cinco años) que se cuelga tanto como el programa de Bill.
Mientras tanto, una duda existencial que aclarará por qué no quiero hacer un curso sobre Access: Para actualizar una tabla estoy escribiendo en un formulario cargado en un objeto InternetExplorer. Cada vez que accedo a la función encargada de ello, creo un nuevo objeto (Set X=new internetExplorer) y lo cierro con x.Quit:Set x=Nothing. Sin embargo, la memoria ocupada por InternetExplorer va creciendo, en lugar de reducirse, en las sucesivas llamadas. ¿Alguien sabe si existe un método más apropiado para cerrar InternetExplorer y liberar la memoria ocupada por él?
miércoles, 24 de enero de 2007
La camiseta del looser
sino con orgullo. Lucid vuestros colores.
¿Políticas de seguridad administrativas en XP?
miércoles, 17 de enero de 2007
Curso de seguridad orientado a las familias...
Publicar consejos que he leído aquí y allá, y otros (por ejemplo, el de esconder los cables del ordenador) procedentes de mi experiencia infantil.
El curso está CERRADO de momento; lo abriré en cuanto haya metido unos cuantos contenidos.
Edición: El URL estaba mal.
martes, 16 de enero de 2007
Ley de Murphy
jueves, 11 de enero de 2007
Galgos y Podencos
Sí, habéis leído bien. He dicho debilidad. A algunos puede pareceros extraño que hable de la debilidad de los terroristas cuando todavía está en nuestra mente el reciente atentado, en que perdieron la muerte dos personas. Sin embargo, todo nos hace pensar que, dicho atentado no fue sino el último estertor de una bestia que puede vencerse y aniquilarse: nos lo indican los atentados en sí, realizados, aparentemente, sin la adecuada preparación (la policía parece haber encontrado rápidamente a los terroristas gracias a un par de errores de novato); nos lo indica el absurdo mensaje de excusa de los terroristas (según el cual pretendían volar un edificio sin matar a nadie... ¡angelitos!) y nos lo indica finalmente la resignada disposición de Batasuna a participar en una manifestación de la que, sospechamos, se enfrentan al riesgo de acabar como Bono en aquella otra. Mejor dicho, se enfrentarían a dicho riesgo: no hay tantos que crean que se puede marchar con la serpiente sin envenenarse, y por eso diversos partidos han ido descolgándose de la manifestación. No voy a criticarles por ello, pero se pierde una interesante ocasión para humillar a los humilladores.
Pero más terrible es que también se pierde la de afianzar la victoria, ahora que todas las conciencias, incluso aquellas de cuya existencia dudábamos, parecen agitarse al unísono. Porque alguien tiene que levantar el estandarte del triunfo Y reclamar para sí el botín electoral. Los demócratas siguen, erre que erre, discutiendo si aquellos que se ven en la cima del monte son galgos, o quizá podencos, mientras pierden la ventaja que les separa de ellos.
martes, 9 de enero de 2007
Problemas críticos de seguridad en Acrobat 7
Concepto de scripting entrecruzado
Una de las principales limitaciones del lenguaje javascript es que no permite que una página de un dominio obtenga información sobre páginas de otros dominios. Por ejemplo, en mi página de terra.es no puedo incorporar un guión javascript que lea la corriente RSS de este blog y la utilice para hacer una lista con los últimos titulares; lo puedo hacer con php, con flash o con java, pero no con javascript. Lo mismo ocurre con los marcos: si yo coloco este blog en un cuadro enmarcado por mi página de terra.es, la página del marco no puede leer lo que pone en la página que está viendo el usuario.
Esa limitación se estableció por motivos de seguridad: alguien se dio cuenta de que muchas páginas mantenían sus marcos alrededor de las páginas a las que enlazaban. En tales circunstancias, resultaría muy peligroso crear un marco en cuyo centro se cargara, por ejemplo, una página bancaria donde el usuario tuviera que introducir su nombre y contraseña.
Sin embargo, existen programas que no aplican la limitación anterior y permiten lo que se denomina XSS o "scripting entrecruzado". Los hackers y ladrones de identidad buscan afanosamente explotar la debilidad de tales programas.
El problema XSS en Acrobat.
Adobe Acrobat 7.x tiene un interesante mecanismo que permite agregar a un formulario PDF parámetros almacenados en una página web, en la forma: formulario.pdf#parámetro=página-de-internet. Este mecanismo permite la ejecución de comandos javascript. Dichos comandos javascript se ejecutan en el contexto de la página web en que se almacena el PDF (lo cual parece lógico), sin comprobar si proceden del mismo domino.
¿Y qué problema plantea esto?
Supongamos que yo soy un resentido alumno (no, aún no hay ninguno, ni resentidos ni no) de la página http://apuntes.byethost.com que quiere averiguar la respuesta correcta para las preguntas ortográficas del sitio. Le mando al administrador del sitio un mensaje con un link a uno de los PDF de dicha página, y añado un pequeño comando detrás que me permita obtener las cookies del administrador:
Querido administrador:
No comprendo muy bien cómo hay que rellenar la siguiente ficha de lectura:
http://apuntes.byethost3.com/moodle/file.php/8//fichalibr.pdf#script_malicioso
¿Podría explicarme qué quiere decir el punto 2.3?
Si tengo suerte, el administrador, por pura vagancia, averiguará qué dice el punto 2.3 pulsando el enlace que le he mandado, y a través del script malicioso podré obtener la cookie con su ID de sesión para conectarme al sitio como administrador.
Bueno, yo no tengo una página web; ¿cómo me afecta esto?
Que no tengas una página web no quiere decir que no puedas tener un perfil de hotmail o de orkut, o un identificador en alguna otro portal que requiera un par usuario:contraseña. Con que haya un pdf en alguna otra página de dicho portal y pulses en un vínculo a él, pueden robar tu identidad.
Además, también pueden robar datos de tu disco duro. Los hackers se han dado cuenta de que casi todas las instalaciones de Adobe Acrobat llevan ciertos archivos pdf instalados por defecto. Así que el hacker puede usar un enlace como:
file:///Archivos%20de%20programa/Acrobat/Archivo%20de%20Demostración.pdf#variable=programa_malicioso
Si el archivo pdf enlazado está en el disco duro, el script se ejecutará en el contexto del disco duro, es decir, podrá robar a placer archivos almacenados en él.
¿Basta con el URL de los archivos PDF para que no lleven almohadillas ("#")?
La cosa no es tan fácil. En primer lugar, cambiar el texto visible de una URL es bastante fácil, como lo demuestran los correos fraudulentos (phising).
Y en segundo lugar, existen servicios como tinyurl que permiten crear direcciones abreviadas, sustituyendo la dirección del PDF (incluída la almohadilla y todo lo que lleva detrás) por ocho letras.
¿Cuál es la solución recomendada?
Una buena opción podría ser pasarse a Acrobat 8. Otra opción, buscar actualizaciones para Acrobat 7. Una última, instalar visores PDF alternativos.
Fuentes:
- Universal XSS after party, Web Pages From Hell y Web pages from hell 2 en Gnucitizen.
- Security Focus.
lunes, 8 de enero de 2007
¡Estos antivirus!
Antivirus + Antispyware + Firewall + Antispam/phish + Optimizador del sistema.
69,95€ IVA incl. (en El Corte Inglés)
La temporada navideña ha coincidido con la expiración de la demo de norton antivirus que estábamos usando en el ordenador nuevo. Después de ver precios de antivirus, y tras conocer la opinión de mi hermana (que se negaba a que comprase un CA antivirus con 3 licencias y cortafuegos por el precio de un Norton sin cortafuegos, siendo así que Computer Associates me inspira la misma confianza que Norton), acabamos comprando el antivirus de McAffee (la clave fue que comprobamos que cuando Norton expira, no sólo no se actualiza, sino que deja de analizar el sistema y comienza a emitir pop-ups de advertencia cada vez que Windows intenta que analice algo).
Pero mi solución McAffee se ha revelado como deficiente. En primer lugar, por esa actitud paranoide de los antivirus modernos (y de Windows) que llenan la pantalla de advertencias cada vez que ocurre un suceso legítimo. Por ejemplo, cada vez que Explorer grababa su configuración de aspecto, el antivirus creía que algún programa estaba tratando de "secuestrar" la página del navegador. ¡Coño!, ¿no sería más fácil comprobar qué valor de las claves de registro de Internet Explorer estaba cambiando? Se supone que en enero salía un parche para evitar ese problema, pero de momento ya he tenido que desactivar todos los avisos referentes al explorer, y mi padre ya ha aprendido a ignorar todas las advertencias del antivirus. Cojonudo.
En segundo lugar, las advertencias sobre ciertos programas pueden dar al traste con tareas programadas. Por ejemplo, para programar la grabación de una película en la capturadora de televisión tuve que decirle al antivirus que una de las utilidades de Pinnacle estaba modificando legítimamente las tareas programadas. Sin embargo, otro programa de Pinnacle vuelve a modificarlas justo antes de grabar, y eso ya no lo esperaba. Resultado: la película empezaba a las 15:00, autoricé al antivirus a las 17:00 y la grabación comenzó a las 19:00, justo cuando había terminado la película.
En tercer lugar, no se puede pedir al programa que pregunte qué deseamos hacer. Supongo que en algún momento la gente de McAffee se dio cuenta de que, con tanto falso positivo, los usuarios iban a terminar ignorando las advertencias. Así que ya no se advierte al usuario, sino que se elimina o pone en cuarentena automáticamente los distintos archivos. Lo curioso es que norton hace lo mismo (tanto Clam como la versión de demo de CA que uso en mi portátil, que tiene ya seis meses, siguen preguntando). Afortunadamente, puedo recuperar de la carpeta de cuarentena el sniffer que utilizo para comprobar si mi ordenador intercambia información con otros equipos cuando estoy desconectado de la red (el desgraciado de él lo hace, y sigo buscando el posible troyano sin éxito). Además, a diferencia de Norton, deja que el sniffer funcione (es decir, que tome posesión de una capa privilegiada de TCP/IP)
En cuarto lugar, el registro de eventos de red deja bastante que desear. Me conecto con mi portátil, hago un escaneo de puertos (netcat -z mi.ip.interna 0-9999 >log 2>&1 & tail -f log |grep "open") y encuentro que el antivirus no se queja. Me conecto desde la red y veo que no sólo no lanza ventanas de advertencia (lo que es de agradecer, porque mi hermana está en mitad de una partida de Kult:Heretic Kingdoms y podría matarme) sino que tampoco introduce el escaneo en sus registros. Después de eso, y de jugar un poco con cosas como 'echo %1%2%3%4| smbclient -I mi.ip.interna -M mi.ip.interna' (equivalente a 'net send computadora %1%2%3%4') y smbclient -I mi.ip.interna '\\MI_COMPUTADORA\C$', veo que ni Windows (cuya política de auditoría está configurada en "registrar aciertos y fallos de inicio de sesión") ni el antivirus han emitido ni una alerta (eso sí, parece que el antivirus ha bloqueado el acceso, porque en ningún lugar de mi política de seguridad aparece la denegación de acceso desde red a las carpetas compartidas ocultas o como administrador, pero algo lo ha parado, cosa que no sucede con otras carpetas/usuarios). Todo lo más, cuando pido al antivirus el mapa de la red, puedo ver que ha detectado mi portátil, y me pide que instale en él el McAffee Agent para comprobar si tiene un antivirus instalado (sospecho que McAffee Agent sólo considerará que tiene un antivirus si dicho antivirus es McAffee).
Otra desventaja de McAffee Internet Security 2007 es su filtro antispam, que, aunque aprende muy rápido, es muy lento (debe recorrer de nuevo todos los mensajes de todas las carpetas, con lo que consigue la misma lentitud que los filtros antispam que me desaniman a usar el cliente de correo predeterminado de Suse 9.3) y, aparentemente, no puede ser educado de forma local, sino que adquiere sus conocimientos a través de actualizaciones en red (hay un parche para "educarlo", pero parece que sólo funciona con Exchange y Outlook, es decir, con el Outlook de Office). Además, me ha detectado como "PHISH" un mensaje de El Corte Inglés en cuyo código fuente no veo indicios de PHISH, pero, bueno, puede que en esto último yo esté equivocado.
Concluyendo: Lo bueno de McAffee es que es un poco menos paranoide que Norton: la red local funciona sin tener que rezar, aunque usar los números IP en lugar del nombre del servidor sigue siendo necesario en Linux. Al igual que Norton, produce demasiadas alertas para sucesos que deberían ser, simplemente, registrados y almacenados para que el usuario los deshiciera con posterioridad. A diferencia de Norton (y eso todavía no lo había dicho) incluye un programa que permite actualizar la base de datos de "programas legítimos". Sin embargo, se echa en falta una política adecuada de registro de sucesos de red (apertura de carpetas desde la red, uso de privilegios, etc.).
sábado, 6 de enero de 2007
Perlas en la EPG
Hora: 00:43 - 01:01
Título: Hazte un cine
Sinopsis: Antonio Muñoz de Mesa introduce con un monólogo en clave de humor la película que se proyecta a continuación. Tras él se cuentan anécdotas y curiosidades sobre el largometraje.
Observación: la EPG se actualiza diariamente, incluso a veces "sobre la marcha" (dependiendo del sintonizador. ¿Qué les costaba incluir la sinopsis, que sí está en el teletexto?
Pero no son el único canal con este problema. Observemos, por ejemplo, la graciosa EPG de un programa de Televisión Española:
Hora: 00:30 - 02:25
Título: La noche Tematica[sic]-(Arte-tve)
Sinopsis: Titulo y contenido generico Noche Tematica"REGRESO A TOLEDO" TVE, S.A. y ARTE G.E.I.E. abren con esta "noche tematica" una nueva etapa en la relacion de las dos cadenas de television en materia de coproducciones.
Observaciones: 1) La TV pública de los españoles no tiene acentos. 2) La sinopsis de un programa debería incluir información sobre su contenido, no sobre su importancia en materia económica. 3) No voy a informar de lo anterior al defensor del espectador de TVE, porque, según una respuesta aparentemente enlatada que he recibido hoy, sólo se le debe informar de aquello que sea de juzgado de guardia (y para eso ya están las autoridades).
viernes, 5 de enero de 2007
Pop-Ups en versiones no actualizadas del contador nedstat
Inmediatamente, he ido a la página de webstats4u y he comprobado que las cláusulas que obligan a aceptar para registrarse no dicen nada de pop-ups ni de publicidad. Así que, antes de enviarles una carta quejándome de que no cumplieran su propia política de privacidad, he probado a instalar el contador más reciente (en el que las referencias a nedstatbasic.net se han sustituido por webstats4u.com). La publicidad ha desaparecido como por arte de magia.
Lo curioso del caso es que, accediendo a nedstatbasic.net se siguen actualizando las estadísticas. Lo único que cambia es la aparición de pop-ups. Por eso puede que a quienes no actualicen demasiado sus páginas y sólo miren las estadísticas se les haya pasado por alto el detalle.
Así que ya sabéis: si vuestro contador de webstats4u todavía se llama nedstatbasic, actualizadlo. Os llevará un minuto y ahorrará muchos problemas a vuestros visitantes.
jueves, 4 de enero de 2007
Para quien buscó en mi blog información sobre Runesword...
El otro día, alguien me dejó un comentario en una entrada sobre Runesword, un juego de rol muy simple y que probablemente sólo gustará a los aficionados al rol de lápiz, papel y dados, pero que cuenta con una ventaja importante: se pueden diseñar fácilmente mapas, conjuros, criaturas e incluso el sistema de juego entero. El comentarista solicitaba información para descargar módulos, y le respondí en mi comentario. Sin embargo, es posible que alguien tan despistado como para preguntar eso (sin mirar primero en los página oficial enlazada en el artículo en cuestión) no se acuerde de mirar el comentario. Además, ¡qué leches! me apetecía volver a hablar de este juego.
El caso es que, si queréis tomos de runesword, lo mejor que podéis hacer es mirar en los foros, concretamente en el dedicado a tomos, y dedicaros a clicar en las páginas de los contertulios, como:
- http://pwp.netcabo.pt/0155698101/RSfiles.htm (página de Vampiric Dread)
- http://home.comcast.net/~jlbuchanan1/index.html (página de Phule)
- http://count01.tripod.com/downloads2.htm (Página de count0, con los tomos de Cthulhu)
Creo recordar que en tiempos los foros llevaban descargas adjuntas, pero ahora no las veo. Supongo que los tomos desarrollados por otros contertulios podrás pedirlos por e-mail a quienes los comentan en los foros.