Sunday, 31 August 2008

Se acabaron las vacaciones...

Hola,

Bueno hoy ya es el último día de agosto, y el blog ha estado algo parado... estabamos de vacaciones!

Estos días han pasado muchas cosas, entre las más destacadas y curiosas del mundillo se encuentran:

* Como anunció Rasmus Lerdorf en la charla de Valencia hace unas semanas, el 7/8/2008 se lanzó la última versión de PHP 4 (la 4.4.9). A partir de ahora la rama estable es la 5.2.

* Se celebró el Black Hat USA 2-7 Agosto (en Las Vegas), entre la gran cantidad de charlas destacó Kaminsky hablando sobre vulnerabilidades del protocolo DNS.
* También se celebró la Defcon 16 en las Vegas, y como siempre con su concurso "Capture the Flag", en el que este año el grupo español no ha tenido mucha suerte...
Entre ambas convenciones se han creado una serie de artículos y herramientas muy interesantes, a por ellos!

* Debian cumple 15 años!: El 16 de agosto de 1993 Ian Murdock mandaba un mensaje a la lista de distibución comp.os.linux.development donde anunciaba la disponibilidad de una nueva distribución llamada Debian. Distribución en la que se han basado otras muy conocidas como Knoppix o Ubuntu. Una de sus grandes virtudes, que otros han copiado es su sistema de gestión de paquetes: APT. También se celebró la Debconf 8 en Mar de la Plata, Argentina. El año que viene para la Defcon9 (2009) el lugar elegido es Extremadura: "DebConf9 will take place in Cáceres, Extremadura, Spain." Stay tuned for more details!. Espero que nos veamos por allí.

* El US-CERT avisa sobre un aumento de ataques contra servidores Linux mediante el uso de claves SSH comprometidas. Al parecer todo indica que debido al fallo de debian.

* Comprometidas 8 millones de tarjetas de crédito de Best Western, aunque los datos estaban certificados bajo PCI-DSS (Payment Card Industry Data Security Standard).

* Avances en Cisco IOS Shellcode: Andy Davis publica su "Version-independent IOS shellcode". Uno de los mayores problemas que tenía la explotación en sistemas IOS era la gran cantidad de versiones IOS que existen, cada uno con direcciones diferentes para ejecutar shellcodes útiles... cuidado cisco, Andy lo ha conseguido.
Quiero hacer notar, y este es un claro ejemplo, como cuando una plataforma cobra gran popularidad la gente empieza a interesarse por ella... otro claro ejemplo, y que de ahora en adelante tendremos que tener muy en cuenta, es la plataforma Mac de Apple.

* Al hilo de la frase anterior, macro-actualización de Apple, Security Update 2008-005, fija 17 vulnerabilidades, todos los que usen esta plataforma deberían instalarla. También Apple ha sido criticada por el lanzamiento del parche para DNS: tarde y mal.

* Los servidores de RedHat y Fedora han sido comprometidos. Fedora ha cambiado su clave de firmado de paquetes. En el enlace, hay información del aviso publico por RedHat y un script para saber si estás afectado. El caso ha sido sonado hasta el punto que en OnLamp se preguntan si Fedora está preparado para entornos de producción.

* Publican un listado del "top 10" de software más descargado en Sourceforge y Codeplex.

* Publicado Samba 3.2.1 con mejoras en el soporte de Windows Server 2003/2008

* Kaminsky habla sobre el DNS en Las Vegas, a la par que un físico ruso burla el parche de Kaminsky en 10 horas.

* En medio de todo este lio con los DNS, sale a luz según Wired "El mayor agujero de seguridad de Internet!" (ojo... que eso mismo dijeron con lo del DNS), esta vez dos expertos en seguridad publican un ataque man in the middle en el protocolo BGP (Border Gateway Protocol), Kim Zetter lo explica muy bien en estas dos entradas.

* Desde kriptopolis publican un grave bug en Microsoft Windows Vista, y ya no es que quieran aprovechar cualquier pequeño despiste para poner a parir a los de m$..., o que sea un falló más de vista, sino que han encontrado un fallo de arquitectura mediante el cual cualquier dll cargada mediante .NET se considera segura. Lo que quiere decir que si podemos cargar una dll (desde una página web, sesión o de la manera que se os ocurra) se puede llegar a tener control total sobre la máquina. Según dicen "es una técnica muy sencilla de utilizar y muy flexible" y con dificil solución, ya que es un fallo de arquitectura y no de programación lo que conlleva que el parche tardará en salir... o quizá no salga nunca.

* Fabricante de máquinas de voto admite ahora "error" crítico después de 10 años. Y ahora una viñeta divertida sobre el tema

* La BBC News publicó que varios portátiles llevados a la ISS (International Space Station) por astronautas de la NASA están afectados por Gammima.AG.worm. Al parecer no tienen conexión a la red, por lo que suponen que el gusano subió a bordo por un disco flash usb.

A partir de mañana, vuelta al trabajo, empieza septiembre, todo tipo de promesas y coleccionables por doquier... pero volvemos con ganas!

Saludos!

Thursday, 7 August 2008

Resumen Campus Party 2008

campus partyHola,

Aunque ya acabó el domingo, hasta ahora no he encontrado el momento de postear un pequeño resumen y dar mi particular punto de vista sobre este evento tecnológico, para quien no lo conozca decir que es un evento al cual asisten más de 6000 personas y está repleto de actividades: conferencias, talleres, competiciones y mucho más y al que ya he asistido con anterioridad.
En primer lugar, gracias a Héctor por darme una invitación y a mi jefe por darme un par de días para poder pasar por Valencia y disfrutar unos días de la Campus Party.
Llegué ya tarde, puesto que empezaba el lunes día 28, y yo tenía libre jueves y viernes. En principio sólo iba por los talleres de Software Libre, pero nada más llegar había un gran número de conferencias interesantes.
Me perdí algunas cosas interesantes como ver a Tim Berners Lee, considerado el padre de la Web, ya que el y su grupo desarrollaron lenguajes y protocolos que hoy día no podemos dejar de usar: HTML, HTTP, URL, etc
En el área de desarrolladores destacaron conferencia sobre ruby on rails, videojuegos, y de algoritmos para inteligencia artificial.
En el área de Google, asistió gente de Google España (un saludo desde aquí!), y varios ingenieros que trabajan en otros paises para dar conferencias técnicas. Se trataron muchos temas: Android, posibilidades de mapas con Google Earth, API de YouTube, Google Web Toolkit y FriendConnect, iGoogle, Summer of Code, etc, como siempre ... excelente y gente muy maja.
En CampusBlog vino gente de mename, panoramio, tuenti, weblogsl, microsiervos, hipertextual.. y más, para hablar sobre web 2.0 y blogging.

Y por último el área que más me interesa, Software Libre, había varios personajes importantes invitados como Jon Hall, el director ejecutivo de Linux Internacional, o Tony Guntharp, uno de los fundadores de sourceforge, para hablar sobre la incitaiva de abrir este portal que alberga unos 100.000 proyectos alojados y más de un millón de usuarios registrados. Estuvo muy interesante la charla de Rasmus Lerdorf (creador de PHP), sobre optimizaciíon y seguridad en PHP. También se habló sobre seguridad y web 2.0. Así como desde el stand de Telefónica I+D una charla sobre redes seguida de un taller de Wireless que nos entretuvo varias horas...
Sobre las otras áreas no tuve tiempo para poder pasarme, podeis consultar un listado de las actividades, conferencias, talleres, competiciones, etc, en la página oficial para todas las áreas.
Aunque no tuve mucho tiempo y no soy muy dado a participar en competiciones...., le quité alguna hora al sueño para poder participar en una, y me volví para Alicante con 400 € "pa la saca" del 1º premio en el concurso de seguridad del área de Software Libre ¡genial!
Además de aprender, conocer gente muy interesate (junto con saludar a ya conocidos..) y lo divertido que fué no puedo más que etiquetar la experiencia de muy positiva y espero poder pasarme otro año por Valencia.

Un Saludo!

Wednesday, 6 August 2008

WordPress 2.6 & Wordpress-MU (Multi-User) 2.6 is out!: Llamamiento a la actualización para la rama MU

Wordpress 2.6 'Tyner' (como siempre haciendo referencia a un músico de jazz), fué lanzado el 15 de julio con notables mejoras que hacen de él un CMS aún más potente. Entre ellas destacan la posibilidad de acceder a cualquier versión de un post, realizar comparaciones entre versiones y restaurar alguna si fuera necesario. Muy útil para blogs editados por varios autores.

wordpress-26-control-de-versiones

Han incoportado una novedad "Press This!", y nos da la posibilidad de crear un bookmarklet en nuestro navegador y de esta manera hacer nuestro blogging más cómodo desde cualquier sitio de la web.
Por ejemplo, como dice Matt en el blog, si haces click en "Press This" desde un sitio de YouTube, automáticamente extraerá el código embed del video, o si lo haces desde una página de Flickr hará muy sencillo añadir la imagen en un post.

También existen otras mejoras, como el soporte de Google Gears, la gestión de imágenes, previsualización de temas, versiones más rápidas de TinyMCE, jQuery y jQuery UI.

Otro punto donde han puesto especial atención es la seguridad. Cada vez más Wordpress se está enfocando hacía ser un software más seguro, ejemplos de esto son, la eliminación de los errores de la base de datos en la versión 2.3.2, o la integración de contraseñas salteadas y seguridad en las cookies en la versión 2.5. Esta vez en la versión 2.6 la gran novedad, es la desactivación por defecto de la publicación remota via la variedad de protocolos XML-RPC y Atom Publishing Protocol (aunque se puede activar de manera sencilla), sin duda, minimizar las funciones XML-RPC es un paso para combatir gran cantidad de ataques y evitamos la exposición de un potencial riesgo para la seguridad.
Otro punto destacable es el soporte SSL completo en el núcleo, así como la capacidad de forzar SSL para aplicar seguridad al sitio.

Podeis leer la lista de cambios completa de Wordpress 2.6 en el blog oficial escrito por Matt, así como un video explicando las mejoras.


Ahora, hablaremos sobre Wordpress-MU 2.6 lanzada el 28 de julio. La versión Multi-Usuario basada en Wordpress 2.6, es el motor que usa la red wordpress.com así como muchas otras (incluida esta misma, iniciativa de la Universidad de Alicante).
En primer lugar, decir que no os habeis perdido muchas versiones desde la versión 1.5.1, y es que esta fué la inmediantamente anterior. Han cambiado la numeración de 1.x a 2.x, para evitar la confusión y ajustarla a la de su software base: Wordpress.
Con un gran número de mejoras entre las que destacan mejoras en la lucha contra spammers, nuevas funciones como get_id_from_blogname(), is_main_blog() y más sumadas a las nuevas características ya comentadas para Wordpress 2.6, os dejo la lista completa de cambios, además Donncha (el desarrollador principal de la rama MU), ha tenido el detallazo de citarme en los agradecimientos.
Esta cita se debe, al igual que el título del post al descubrimiento de un fallo grave de seguridad, el cual permite robar las cookies del administrador, y que desvelaré de aquí a un mes. De aquí hasta que se revelen los detalles técnicos todos los administradores que hospeden Wordpress MU (en todas sus versiones, < 2.6) deben actualizar para solucionar el problema a la nueva verisón 2.6.

Nada más descubrir la vulnerabilidad tanto los desarrolladores de Wordpress-MU como los administradores de esta red en la Universidad de Alicante fueron avisados, proporcionandoles un parche para corregirla.

Dentro de un més, publicaré los detalles técnicos, así que hasta entonces..

SourceForge.net Community Choice Awards 2008

sourceforgeAunque unos días después pero ya estoy aquí de nuevo para cubrir las noticias más relevantes en el mundo del Software Libre, en este caso, le toca a los Premios SourceForge 2008.

Como mejor proyecto salió OpenOffice.org, que además ganó un total de 3 de los 12 galardones, también cabe destacar a phpMyAdmin, Wine, VLC, eMule y más, sin faltar Linux, que se llevó el premio "al software con más opciones de cambiar el mundo".

Aquí os dejo el listado completo de los 12 premios


Como nota, decir que OpenOffice 3 está cerca, y yo ya he estado probando la beta 2 dejandome con un buen sabor de boca, destacando el soporte para Mac OS X Leopard (Intel-Aqua) donde han mejorado muchísimo, (interfaz aqua, soporte copy&paste, arrastrar y soltar, etc), tanto que ya me cuestiono si tiene sentido mantener el proyecto NeoOffice..., que opinais?

premios-sourceforge-openofficeorg