Lo que Explorer puede hacer

Muy simple esto es algo que solo el buen de internet explorer sabe hacer.

Espero yahoria si escribir mas jaja.

Via | Why Internet Explorer is Better: Can Firefox do THIS?

El bug en cuestión,que no estoy tan seguro si es un bug real o solo es problema de mi “tema”, consistía en que cuando insertaba una imagen, esta aparecía con un formato definido(CSS), con bordes grises, y con un texto en la parte inferior de dicha imagen, pero esto solo se veía cuando yo editaba o escribía el post, mas cuando lo publicaba solo aparecia la imagen y el texto pero sin formato, ni alineación, busque un par de veces la solución hasta que di con ella.

Dicha solución esta posteado en los foros de WordPress, en ingles, así que pongo aquí los pasos que seguí para solucionar dicho problema.

Solo agregamos el siguiente código a nuestro css

.aligncenter,
div.aligncenter {
display: block;
margin-left: auto;
margin-right: auto;
}

.alignleft {
float: left;
}

.alignright {
float: right;
}

.wp-caption {
border: 1px solid #ddd;
text-align: center;
background-color: #f3f3f3;
padding-top: 4px;
margin: 10px;
/* optional rounded corners for browsers that support it */
-moz-border-radius: 3px;
-khtml-border-radius: 3px;
-webkit-border-radius: 3px;
border-radius: 3px;
}

.wp-caption img {
margin: 0;
padding: 0;
border: 0 none;
}

.wp-caption p.wp-caption-text {
font-size: 11px;
line-height: 17px;
padding: 0 4px 5px;
margin: 0;
}

Y listo, no hay nada mas que hacer, cabe recordar que aunque en el foro de wordpress, se vean diferentes opciones, esta fue la que mas me convenció y me gusto.

Con esto ya podemos ver nuestra imágenes con un formato mas fácil de usar y mas presentables

Nota: este mes y hasta mi boda, este blog va a estar un poco desatendido, por cuestiones obvias pero prometo escribir, lo mas seguido que pueda.

Fuente | WordPress 2.6 Image Aligntment Problems: What Doesn’t Work (7 posts)

Esto se los digo por que me acabo de encontrar con un vídeo conde podemos ver como se ejecuta un hacking a una cuenta de Gmail usando cookies, la verdad no se ve que este complicado, habría que probarlo y ver si es posible, por que de ser así Gmail, podría estar en un grave fallo de seguridad, dejándonos expuestos a todos.

Bueno este es el vídeo en cuestión(creo que esta en ingles , ya que como no escuche el audio no se en que idioma este, pero es bastante ilustrativo).

Pinche aquí para ver el vídeo

Vía | Video de robo de cookies en Gmail

Hace varios días,se había comentado de un grave fallo en la distribución GNU/Linux Debian, y sus derivados(Ubuntu, Kubuntu, Edubuntu,*buntu, Knoppix, Gnoppix entre otros), el cual había estado oculto durante dos años hasta que fue descubierto dicho fallo.

Al parecer “Hace dos años, al querer solucionar un problema y debido a un malentendido, uno de ellos borró una línea de código del paquete de herramientas OpenSSL del sistema.”

Lo que puede ocurrir por este fallo es lo siguiente:

“La línea borrada afectaba a la aleatoriedad de las claves, necesaria para que sean fuertes. Esta quedó tan reducida que hacía muy fácil romperlas y atacar cualquier operación realizada con ellas. Por ejemplo, se podría impersonar el certificado de un banco o una tienda en línea, crear una web falsa y hacer creer a los visitantes que están en la legítima.

O descifrar las comunicaciones entre una web segura y sus clientes y cazar todos los datos que se cruzasen entre ellos. O tener en pocos minutos el control total del servidor de una empresa. O acceder a la Red Privada Virtual de la misma y espiar sus movimientos. O cambiar la configuración de un servidor de nombres de dominio y llevar a la gente donde el atacante quiera.”

El fallo no es exclusivo de Debian. Afecta también a las distribuciones derivadas de esta, como Ubuntu, la más popular entre usuarios domésticos, y Linex, creada por el gobierno de Extremadura. Tampoco están a salvo otros sistemas, explica Sergio de los Santos, de la consultora Hispasec: “Las claves han podido ser generadas en Debian y después usadas en Windows, ya que los formatos de archivo son estándar. El espectro es virtualmente infinito”.

El gurú de seguridad Bruce Schneier lo ha llamado “el gran lío” y no es para menos ya que no se soluciona aplicando un parche si no que : “Hay que regenerar manualmente las claves, revocar las antiguas, certificarlas, comprobar dónde fueron a parar las inseguras, cambiar contraseñas. Y los usuarios no podemos saber si el administrador del sitio al que nos conectamos lo ha hecho o no”, explica Sergio de los Santos.

Pueden leer el texto completo en | Un grave fallo en Debian pone en peligro millones de maquinas en internet
Gracias a Nierox que esta dandole seguimiento al caso veo una entrevista a Jordi Mallach, desarrollador de Debian, sobre el bug de Debian que les comente anteriormente.

Copio y pego la entrevista a este gran personaje

“¿A quién afecta esto?

El impacto es enorme. La biblioteca libssl de Debian y sus distribuciones derivadas ha estado generando material criptográfico débil durante casi dos años. En Debian la mayoría de la gente ha estado afectada desde el lanzamiento de la última versión, etch, hace un año, pero los usuarios de Ubuntu han estado expuestos al error durante tres versiones.

Debian es bastante popular en ambientes universitarios y entre muchos administradores de sistemas, y Ubuntu es el líder en los usuarios domésticos, con lo que estamos hablando de millones de ordenadores
afectados. Ahora bien, es difícil de estimar cifras concretas porque nadie sabe, ni puede saber a ciencia cierta cuantas instalaciones de Debian o Ubuntu hay en el mundo; existe una opción en ambas
distribuciones, desactivada por defecto, que permite saber de la existencia de esa instalación y la versión de sus paquetes instalados, pero el porcentaje de usuarios que la han activado es ínfima.

Lo más grave es que no sólo los usuarios de Debian deben estar intranquilos. Todos los administradores de servidores con SSH o certificados SSL, sean o no basados en Debian, deberían hacer una comprobación exhaustiva de todos sus certificados SSL y claves SSH en busca de claves vulnerables, porque pueden tener autorizadas claves públicas débiles, que podrían permitir entradas a sus servidores.

Por ejemplo, por la manera que se usan las claves SSH de tipo DSA, no es exagerado decir que *todas* las claves DSA, tanto las generadas en máquinas vulnerables o en máquinas “seguras” deberían considerarse comprometidas y no usarse más. Algunos administradores están recomendando desactivar el soporte para claves DSA y usar sólo RSA a partir de ahora. Y eso no significa que las claves RSA sean seguras. No lo son, si se han generado en sistemas con una libbssl débil.

¿Qué significa para las empresas? ¿A qué peligros las expone?

Básicamente deberán estudiar el uso que hacen de la criptografía en sus sistemas, entender hasta dónde hay riesgos incluso si no usan Debian o Ubuntu e invertir el tiempo necesario en asegurarse de que no están autorizando ninguna entrada insegura en el sistema. De no hacerlo, es más que probable que si tienen servidores afectados accesibles desde Internet, estos acaben infectados por gusanos diseñados para aprovechar esta vulnerabilidad.

¿Y para el resto de usuarios?

Exactamente lo mismo, pero a nivel más local y reducido. Si no toman medidas, en unos meses su ordenador puede convertirse en un «zombie». O un usuario podría conectar a un servidor web supuestamente seguro que use un certificado generado por una versión afectada de OpenSSL. Sería
posible descifrar datos sensibles ya que la parte privada del certificado usado para el cifrado es conocida.

No, este problema va a persistir durante años, porque no basta con actualizar los servidores y aplicar los parches. También hay que, manualmente, comprobar los certificados del sistema y las claves de
SSH de los usuarios para asegurarse de que el sistema no está autorizando entradas con claves débiles. Lamentablemente habrá servidores con esta debilidad en la red durante años, que a buen seguro acabarán siendo controlados por alguna «botnet».

¿Demuestra eso que no hay que fiarse del software desarrollado por voluntarios?

Yo no lo creo. Sí debe servir para que la gente se tome el argumento de «codigo abierto = código auditado» con un poco más de perspectiva: la realidad es que aunque el código está disponible para ser revisado, hay muy poca gente dedicada a auditarlo para encontrar posibles vulnerabilidades. En este caso, Luciano Bello lo encontró por casualidad dos años después de pasar inadvertido por todos los controles.

Con el software privativo, no podemos saber si hay errores de este tipo esperando a ser explotado porque no podemos comprobarlo como ha pasado en este caso, ni ahora ni dentro de dos años. Por otro lado, también se puede analizar la respuesta de Debian, Ubuntu y la comunidad del
software libre frente a este problema. Pese a ser un error mayúsculo, que seguramente dañará la credibilidad y reputación de Debian, creo que la respuesta y el trato que se le ha dado a la situación ha sido totalmente profesional. Desde el primer momento, se ha informado transparentemente de la magnitud del problema y se ha ofrecido toda la información y herramientas para ayudar a los usuarios y administradores a identificar y reemplazar el material criptográfico vulnerable.

Si eso hubiese sucedido en Microsoft, habría cabezas cortadas.

Debian es un proyecto voluntario y evidentemente no va a haber “despidos” ni “expulsiones”. En muchos medios “on-line”, se está haciendo ver que todo el problema viene porque un “novato” tocó un par de líneas de código que no entendía realmente, generando así una especie de apocalipsis criptógráfica. No es tan sencillo; el autor del cambio trató de informarse de la idoneidad y consecuencias del cambio preguntando a los autores de OpenSSL, recibiendo, debido a un cúmulo de
malentendidos, una respuesta positiva. Aunque la responsabilidad final es claramente de Debian, los autores de OpenSSL también han aprendido algunas lecciones y seguramente serán más cuidadosos a la hora de informar correctamente de cómo se puede contactar con ellos para este tipo de consultas, y comentarán los trozos de código tan crítico como este para que quien lo revise sea consciente de lo que supone cambiar una línea.

Dentro del proyecto se es muy consciente de la gravedad del asunto, y a la vez que se tomaban las medidas necesarias para publicar información útil sobre la vulnerabilidad, y se parcheaban y reemplazaban las claves de los servidores internos, la comunidad de desarrolladores ya discutía en los blogs y las listas de correo qué hacer para intentar evitar situaciones como esta en el futuro. Además, esta no es el tipo de piedra en el que se tropieza dos veces. Está claro que las personas que mantienen código de seguridad, criptográfico, etc. irán con pies de plomo y serán mucho más explícitos a la hora de pedir opinión a los autores originales, para que no haya malentendidos como en esta ocasión.

El artículo no podrá ser muy largo, así que tendré que resumir bastante lo que me cuentas. Si te parece bien, cuando haya salido publicado, publicaré yo por mi cuenta la entrevista entera.

He sido “verbose” porque quería explicar muchas cosas, y porque no me han gustado nada algunos calificativos de este incidente por parte de algunos medios (chapuza, ñapa, etc), y por eso quería darte un escrito suficientemente claro sobre este tema. Lo que defiendo es que la cagada por parte de Debian es mayúscula, pero no es fruto de que alguien ha tocado algo que no sabe, ni que Debian va por libre y la caga y tal. Que hay también muchas cosas a corregir en OpenSSL, y que esto puede pasar otras veces en otras distribuciones.”

Ya para terminar les recalco que seguiré usando Debian ya que este fue un hecho aislado, y sobre todo por que una de las mejores Distribuciones  de GNU/Linux.

Fuentes

Un grave fallo en Debian pone en peligro millones de maquinas en internet
Preguntas frecuentes sobre el problema critptográfico de Debian
http://www.hispasec.com/unaaldia/3492

Grave problema en Linux afecta la seguridad de Internet
http://www.vsantivirus.com/16-05-08.htm

Aviso de Debian
http://lists.debian.org/debian-security-announce/2008/msg00152.html

Debian and Ubuntu users: fix your keys/certificates NOW
http://isc.sans.org/diary.html?storyid=4420

Random Number Bug in Debian Linux
http://www.schneier.com/blog/archives/2008/05/random_number_b.html

Home of Mercè
Home of Mercè

Lo primero que paso por mi mente fue “me han hackeado, eso me pasa por no actualizar a la versión 2.5.1″, y fue lo que hice, pero mientras actualizaba,  vi mi blog en Internet Explorer y en Opera y se veia normal, entonces pensé que era por  que no cargar bien el Firefox, asi que reinicie, y ahora quise abrir Gmail, y nuevamente error, pero aquí era algo simple, no jalaba bien el Javascript.

Ya enojado por tantas cosas reinicie la PC y el problema seguia y seguía, desinstale todos mis plugins y reinicie y no funcionaba, ya casi al borde de usar safari (bueno no tanto) inicie Firefox aprueba de fallos y que creen,………. adivinaron Firefox, siguió sin Funcionar!!!!!.

Debo de comentarles que estaba usando la versión mas reciente del navegador 2.0.14, por ello no entendi que pasaba, lo unico que recuerdo es que anteriormente una vez se vio asi pero reinice y funciona bien; sin embargo ahora las cosas eran muy diferentes, Firefox simplemente no funcionaba, y no existe algo mas poderoso que el FireBug, en pocas palabras no puedo programar sin el Firebug, lo necesitoooooooooo!!!.

Bueno no me quedo otra mas que restaurar la PC (con Windows ) a un estado anterior (donde aun servia todo bien), pero la respuesta fue negativa, Firefox me estaba abandonando, y dije mejor reinstalo desde cero, asi que instale y resintale completamente el navegador, muchas veces, pero me di cuenta entonces de que mi Firefox habia muerto.

La solucion fue dejar de programar experimentar con Firefox 3 RC1, lo baje instale y funciono a la perfeccion, bueno a veces me da problemas con Firebug y no funcionan los plugins Measure IT (una Regla), ni ColorZilla(Selector de Color), entre otros.

La conclusion de este problema y lo que pude sacar de todo esto fue ¿que provoco que se colapsara Firefox y dejara de Funcionar casi para siempre? Tengo antivirus y no me ha marcado nada, asi que la opción de un virus, no me parece muy buena.

Ahora bien lo pero del caso es que el caso se repite, precisamente escribo esto desde Opera por que Firefox dejo de Funcionar, bueno a penas va en el primer síntoma, me pregunto ¿A alguno de ustedes les ha sucedido algo similar?¿saben alguna solución?.

Los sintomas en resumen son,

Firefox, se vuelve incapaz de leer algun fichero como es el CSS o el Javascript, ojala y alguine me piueda ayudar con esto ya que en la PC de mi maquina al menos hasta que salga la versión estable de Firefox 3, no usare Firefox 3.

Si a alguno de ustedes sabe como solucionarlo con gusto les agradecería que me hecharan la mano.

Esta versión RC(Release Candidate), significa que es una versión casi lista para salir al mercado, desafortunadamente, cuando sacaron esta nueva versión, se le encontraron 10 fallos, de los cuales 4 son considerados como críticos.

En theinquirer.es comentan que ocho de los bugs encontrados son problemas de plataforma-cruzada, mientras que dos son sólo específicos de instalaciones en Linux, cabe destacar que por una parte es muy buena referencia que se haya podido detectar antes de que fuera lanzado como estable, ya que entonces si nos generaría muchos problemas.

Mike Schoepfer, vicepresidente de ingeniería de Mozilla comenta “Hemos estado revisando bugs y tenemos diez de ellos que parecen de alta prioridad”.

Esperemos que se resuelvan pronto y todo funcione excelente en la nueva versión 3.0 , aunque también es necesario mencionar que es lógico que tenga fallos, ya que recordemos que se espera que este navegador le quite el titulo al mas famoso odiado navegador de Internet el Internet Explorer.

Vía | Mozilla, dudando si publicar o no la RC2 de Firefox 3

Como es costumbre no fui a todo el evento, aquí va la crónica del evento.

En primer lugar no tenia ni idea de donde quedaba UPIICSA, fui con mi novia, asi que tome un taxi desde el metro Bulevard Puerto Aéreo y el taxista se equivoco y me estaba llevando para el auditorio pero bueno, llegamos casi a las 10:40 mas o menos luego, en serio que no se como estén en UPIICSA ya que le pregunte a todos donde estaba el BUGCON y nadie sabia nada , hasta pensé que me había equivocado, pero la verdad nadie tenia idea de nada.

Resulta pues que después de preguntarle a muchos por fin pudimos dar con dicho lugar.

Entramos y pues había muy poca gente, había “como ya sabíamos” dos auditorios uno de Black Hat y otro de White Hack,entre al de BlackHat.

La ponencia la estaba dando “Sandino Araico Sánchez“, dando la conferencia de “Tu peor enemigo”.

Aqui nos hablo un poco del Spam, las maquinas Zoombies, el phishing y las politicas de seguridad de los “Sysamdin’s”.

Durante su participacion hablo sobre algunos software’s que destacan por x o y detalles como son:

• Tomcat, Sandino nos recalco que el principal problema de Tomcat era que muestra demasiada información al generar errores, como paths, entre otras cosas.
• Apache, que por problemas de max_clients y pipe_live puede darnos dolores de cabeza con los usuarios y el ancho de banda, respectivamente
• Oracle, Por su posibilidad de escalar privilegios, y de tener por default una cuenta SYSTEM además de poder permitir ejecución de código(creo que son los PL/SQL’s)
• Hubo también algunos mas que no recuerdo bien, como debian jaja, pero mejora hasta ahí le dejamos…….

Después nos fuimos a Google Hacking impartido por “Jesus Antonio Alvárez Cedillo” que sinceramente estuvo muy aburrida, ya que yo esperaba mas cosas, y simplemente nos “enseño” como usar las variables “site” con “index Of”, algo que creo, para los de Black Hat esperaban algo mas interesante.

Pero como la platica anterior duro tan poco tiempo, nos cambiamos a WhiteHat, donde estaba muy chido, lastima que solo pude ver el final y si no me equivoco esa conferencia fue “One Shot phishing on local area networks” impartida por “Héctor Leal Morales”, donde vimos(bueno casi no vi mucho) como se accede a una pc con windows hackeandola desde un Linux, usando ARP, estuvo interesante, lastima que solo llegue alfinal, creo que aqui como que se equivocaron creo que esta conferencia debio de ser al reves, pero bueno.

Luego les paso mas información de ese hackeo, lo realizo usando ethercap, para manipular ARP, o algo asi, luego les paso mas informacion.

Posteriormente vimos “Linux en consolas de video juegos” por Rolando Cedillo, esta platica realmente me impresiono, nos mostró básicamente los requerimientos para poder montar linux, y nos comento rápidamente como lo hizo, inclusive nos platico como están estructurados los sistemas internos de algunas consolas como Xbox, Wii y Playstation 3, también nos platico sobre las cualidades de las VPU’s(CPUS de Vectores o algo asi!!!), lastima que no pude escribir todo pero sin duda fue una de las que mas me gusto.

Y por ultimo asistí a ver la demostración de “Tlalokes Framework. Desarrollando en PHP5 de forma rápida y segura” por Basilio Briceño donde nos mostró las ventajas de dicho FrameWork, pero lo que no me gusto fue que a pesar de ser un producto que lleva siendo desarrollado durante 4 años, aun no existe aplicaciones reales creadas con este Framework, como que falta un paso mas en este desarrollo.

Y bueno creo que no me falto nada, las fotos casi no se ven es que no había luz en ningún auditorio, lo siento, ademas no muestran nada interesante.

Un saludo a todo el equipo que organizo todo esto, y muchas gracias a todos los ponentes por compartir su tiempo y conocimientos, hasta el BUGCON 2009