tag:blogger.com,1999:blog-48136492070142148692024-03-13T12:16:00.730+01:00El Blog de Uxío: Seguridad Informática, tutoriales, internet, tecnología...Un sitio donde puedes encontrar todo lo relacionado con la informática y su seguridad, con guías y tutoriales, así como alguna noticia o reseña curiosa, intentado contar con un toque de humor.Uxíohttp://www.blogger.com/profile/12995350528866287128noreply@blogger.comBlogger103125tag:blogger.com,1999:blog-4813649207014214869.post-69005959404892417842017-03-08T17:42:00.000+01:002017-03-08T17:42:10.284+01:00María Pita DefCon: Conferencia de Seguridad (6-12 Marzo, A Coruña)<div class="separator" style="clear: both; text-align: center;">
<a href="https://www.mariapitadefcon.es/#schedule"><img alt="https://www.mariapitadefcon.es/#schedule" border="0" height="314" src="https://2.bp.blogspot.com/-jq3kdWN_UXk/WMA0FLEvF-I/AAAAAAAAAi4/plDtEj7TQqMWailn38Ds1AD1YuWuI1DNACLcB/s320/4-artazul-minilanza_mp.png" width="320" /></a></div>
<br />
Soy consciente de que tengo el blog bastante abandonado, pero si me lo permitís con un buen motivo. Y es que los últimos meses hemos estado muy ocupados organizando un nuevo evento de seguridad en A Coruña, <a href="https://www.mariapitadefcon.es/">María Pita DefCon</a>, en el que intentaremos empapar a todo el mundo en temas de seguridad y concienciar de su importancia.<br />
<br />
<a href="https://www.mariapitadefcon.es/#schedule">Como podéis ver en el cartel</a>, las charlas prometen, yo ya he tenido el placer de leer los papers y os digo que valdrá la pena acercarse a la <a href="http://www.fic.udc.es/">Facultade de Informática de A Coruña</a>.<br />
<br />
La entrada a las charlas es gratuita, aún así pedimos a todo el mundo que se <a href="https://mariapitadefcon.eventbrite.es/">registre a través de Eventbrite</a> para llevar de mejor forma la logística del evento.<br />
<br />
Ya tenemos también en marcha el <a href="https://mariapitadefcon.trileuco.com/">María Pita Defcon Trileuco Contest</a> (organizado por los cracks de <a href="http://trileucosolutions.com/">Trileuco Solutions</a>), donde podrás poner a prueba tus conocimientos sobre seguridad. No hace falta ser un "hacker" para participar, hay pruebas de todos los niveles y pistas para ir aprendiendo!<br />
<br />
Si tienes un rato este jueves 9 o viernes 10, te esperamos allí!<br />
<br />
Saludos! Uxíohttp://www.blogger.com/profile/12995350528866287128noreply@blogger.com2tag:blogger.com,1999:blog-4813649207014214869.post-79288746702227757652015-08-13T23:03:00.003+02:002015-08-13T23:09:54.253+02:00Python: Tutorial básico de la API de MarvelTras mucho tiempo parado he decidido volver a escribir en este blog, más que nada porque he estado trasteando con la API que da marvel y he encontrado la documentación un poco confusa, así que me he animado a escribir.<br />
<br />
Para empezar, comentar que Marvel ha puesto hace tiempo una API con mucha información de sus cómics, personajes, etc. lo que la hace muy interesante para probar bases de datos y sacar estadísticas y demás.<br />
<br />
En primer lugar nos registramos en <a href="https://developer.marvel.com/">https://developer.marvel.com</a> y obtenemos una clave pública más otra privada para realizar las consultas a la API.<br />
<br />
La petición debe llevar obligatoriamente 3 parámetros: <b>apikey, ts, y hash:</b><br />
<ul>
<li><b>apikey </b>es la clave pública.</li>
<li><b>ts </b>es un valor de timestamp, pero si queremos podemos usar un <i>long </i>(en Python todo entero corriente es un long).</li>
<li><b>hash</b>, que se calcula <b>MD5(ts + clave_pública + clave_privada)</b>.</li>
</ul>
Y ahora, esto es un rollo así que vamos a pasar al código que es mucho más bonito:<br />
<br />
Para hacer las peticiones he empleado la librería <a href="http://www.python-requests.org/en/latest/">requests</a> (pip install requests), muy recomendable, aunque podríamos usar la librería <b>urllib</b> que viene por defecto en Python. Importamos también la librería <b>hashlib</b> para hacer el cálculo MD5. Primero, las claves públicas y demás:<br />
<pre class="prettyprint">import hashlib
import requests
public = 'claveprivada'
private = 'clavepublica'
ts = '1'
hash = hashlib.md5((ts + pr + pu).encode()).hexdigest()
</pre>
Ahora ya podemos hacer las peticiones:<br />
<pre class="prettyprint" style="word-wrap: break-word;">base = 'http://gateway.marvel.com/v1/public/'
comics = requests.get(base + 'comics',
params={'apikey': public,
'ts': ts,
'hash': h}).json()
characters = requests.get(base + 'characters',
params={'apikey': public,
'ts': ts,
'hash': h}).json()
wolverine = requests.get(base + 'characters',
params={'apikey': public,
'ts': ts,
'hash': h,
'name': 'wolverine'}).json()
</pre>
Con esto os queda una pequeña chuleta para trabajar con la API de Marvel, aunque si no queréis hacerlo directamente hay varias librerías por ahí, como <a href="https://github.com/gpennington/PyMarvel">PyMarvel</a>.<br />
<br />
Un saludo a todos!Uxíohttp://www.blogger.com/profile/12995350528866287128noreply@blogger.com0tag:blogger.com,1999:blog-4813649207014214869.post-20662484124753673542014-11-16T15:10:00.001+01:002014-11-16T15:23:31.325+01:00Actualizando Nexus 4 a Android 5 Lollipop, Opiniones<br />
<div style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;">
<img alt="" class="version-img version-img--pickup version-img--left" src="http://www.android.com/new/images/versions/android-l/pick-up.jpg" height="205" width="320" /></div>
<br />
Ayer por fin han liberado la imagen de <b>Android 5</b> para el <b>Nexus 4</b>. No he podido evitar la tentación de instalarlo sin esperar por la OTA, así que <a href="https://developers.google.com/android/nexus/images">bajé la imagen directamente </a>y la flasheé.<br />
<br />
Ojo al dato, no uséis programas como <b>Nexus Root Toolkit</b> y demás, a mí me dieron problemas y me provocó el arranque en bucle del dispositivo (el llamado <i>bootloop</i>). Descargad la imagen, la descomprimís, y ejecutáis el script (.bat en windows, .sh en Linux). Y recordad que borra el teléfono entero, así que hay que hacer copia de los datos, yo recomiendo la herramienta <b>Titanium Backup</b>.<br />
<br />
El primer inicio le llevará entre 5-10 minutos, así que paciencia. La verdad me esperaba algo como Kitkat, varios iconos nuevos, alguna chorradita, pero me he quedado gratamente sorprendido en lo poco que lo he usado con las nuevas cosillas que trae. También me parece mentira que para llegar a ellas hiciera falta que estemos casi en el año 2015.<br />
<ul>
<li>Aplicaciones como Chrome o Gmail escritas en código nativo. Caía de cajón hacerlo así, sobre todo en el caso del explorador web, y es que se nota.</li>
<li>La máquina virtual ART, que sustituye a DALVIK y promete una mejora de hasta un 4x de velocidad de respuesta.</li>
<li>Notificaciones en la pantalla de bloqueo, pudiendo definir qué notificaciones aparecen y cuáles no (para evitar mostrar datos de carácter sensible). Es muy muy cómodo.<img alt="" class="version-img version-img--left" src="http://www.android.com/new/images/versions/android-l/your-device.jpg" height="308" width="400" /></li>
<li>Mejora de la cámara, más opciones como control de lente, flash, imágenes en RAW...</li>
<li>Modo ahorro de batería (y yo diría que más batería, porque ayer me aguantó toda la noche con un 15%, y antes ni de coña).</li>
<li>Muchas más cosillas: <a href="http://www.android.com/versions/lollipop-5-0/">http://www.android.com/versions/lollipop-5-0/</a></li>
</ul>
Yo sinceramente estoy encantado con la nueva versión, y es que el teléfono ya iba bien, pero ahora vuela.<br />
<br />
Un saludo a todos! Uxíohttp://www.blogger.com/profile/12995350528866287128noreply@blogger.com1tag:blogger.com,1999:blog-4813649207014214869.post-90228569400091334552014-04-17T20:02:00.000+02:002014-04-17T20:02:26.089+02:00Recuperar USB dañadoEn ocasiones, un USB acaba dando problemas llegado al punto de que no podemos añadir archivos o incluso no podemos ni formatearlo, antes de recurrir a la garantía podemos probar lo siguiente (atención, con este proceso <b>perderemos</b> <b>todos los datos almacenados)</b>:<br />
<ol>
<li>Entramos al cmd con permisos de administrador</li>
<li>Escribimos <b>diskpart</b></li>
<li>Hacemos <b>LIST DISK</b> y elegimos el disco referente al pendrive con <b>SELECT DISK 3</b> (siendo 3 el número del pendrive)</li>
<li><b>CLEAN</b></li>
<li><b>CREATE PARTITION PRIMARY</b></li>
<li><b>ACTIVE</b></li>
<li><b>FORMAT fs=fat32 quick</b></li>
<li><b>ASSIGN</b></li>
<li><b>EXIT</b> </li>
</ol>
<br />Uxíohttp://www.blogger.com/profile/12995350528866287128noreply@blogger.com1tag:blogger.com,1999:blog-4813649207014214869.post-30371576060274617132013-11-09T01:41:00.000+01:002013-11-09T01:41:01.297+01:00Reviviendo Szenio PC Tablet 2000Hoy llegó a mis manos esta tablet con un problema bastante desesperante. O se quedaba bloqueada al intentar arrancar el sistema operativo o simplemente se producía un bucle de apagado encendido donde al final daba error de poca batería. Nunca en todos los intentos dio llegado a arrancar en Android.<br />
<br />
Después de navegar por foros vi que era un problema muy común y le había pasado a más gente, y la compañía distribuidora puso al parecer instrucciones y archivos para solucionar el tema. Digo "al parecer", ya que ahora todos esos enlaces están caídos y no hay forma de encontrar nada de la tablet en la web oficial.<br />
<br />
En ciertas instrucciones hablaba de un modo recovery al que se accede aguantando Vol+ + Power, pero vamos, en la mía ni de casualidad di entrado al recovery. Al final la solución que a mi me sirvió y por eso la quiero compartir, la encontré en HTCManía (dónde si no!), y resulta que consiste en que la Woxter 101 CXi y la Szenio son iguales, con lo que por suerte se puede usar el software de recuperación de la primera e incluso la misma versión de android.<br />
<br />
Me fui a la <a href="http://www.woxter.es/es-es/products/view/957/Woxter_Tablet_PC_101_CXi_10_1/support">web oficial de la Woxter 101</a>, y seguí las instrucciones de instalación de la versión 4.1.1 de Android. Lo más complicado a mi punto de vista es entrar en el "modo upgrade", ya que a diferencia de otros dispositivos, la pantalla seguirá en negro mientras se encuentra en ese modo.<br />
<br />
A partir de aquí, pues a probar custom roms a ver cuál va ligerita y bien, aunque la del Woxter va bastante fina.<br />
<br />
Espero que os sea útil, a mí esto hace varias horas me hubiera venido muy bien.<br />
<br />
Un saludo ;)Uxíohttp://www.blogger.com/profile/12995350528866287128noreply@blogger.com46tag:blogger.com,1999:blog-4813649207014214869.post-74129017863955524232013-10-15T14:31:00.001+02:002013-10-15T14:31:49.590+02:00¿Por qué lenguaje de programación empiezo?Estoy seguro que si os dedicáis al mundo de la informática desde hace tiempo sabéis que cuando alguien quiere aprender a programar es lo primero que pregunta, como no podía ser de otro modo. Y cada uno aquí da sus opiniones lo mejor que puede y basado en su propia experiencia. Yo voy a dar la mía, que para eso es mi blog.<br />
<br />
Para empezar yo diferencio dos clases de usuarios, los que quieren realmente meterse al mundillo y dedicarse a la informática, o los "casual", gente que no se va a dedicar a la informática pero tienen la curiosidad de querer aprender para programarse algo sencillito y no complicarse mucho la vida. También hay los que se quieren meter "porque la informática tiene futuro", aunque sin más pasión y/o interés que ése no les auguro mucho futuro en estos lares.<br />
<br />
Para los usuarios puntuales que sólo quieren algo rápido para sacar algún proyecto pequeño adelante, recomiendo <b>Python</b>. Fácil de aprender, de usar, bonito, te obliga a indentar, módulos para todo (soy de los que creen y esperan que iPython + Numpy se coma a matlab) no tienes que saber ni papa de punteros o de lo que hay por debajo. Te miras algún manual facilito como el de <a href="http://edge.launchpad.net/improve-python-spanish-doc/0.4/0.4.0/+download/Python%20para%20todos.pdf">Python para Todos</a> y muy pronto puedes empezar a hacer tus cosillas.<br />
<br />
Para los que quieran entrar en el mundillo de la informática de cabeza, aprender a manejar algoritmos, tipos abstractos de datos y demás mariconadas y palabras chungas que usamos los informáticos para parecer más listos mi opinión es:<br />
<br />
Para empezar, un lenguaje fuertemente tipado. <b>Pascal</b> puede ser el elegido. Sintaxis sencilla, no tan complicado como <b>C</b> o <b>C++</b>, y te hace coger buenos hábitos de programación. Para usarlo para proyectos grandes no me gusta en absoluto, pero en mi ciudad al menos he visto varias ofertas de trabajo para programadores en <b>Delphi </b>(una evolución de Pascal)<b>, </b>así que quizás pueda ser una opción...<br />
<br />
Una vez aprendido <b>Pascal</b>, nos vamos a <b>C</b>. Aprendemos lo divertido que puede ser concatenar dos cadenas, lo graciosos que pueden ser los punteros, y por supuesto el poder que tienes sobre la máquina. No voy a negar que me encanta <b>C</b> y lo optimizado que está.<br />
<br />
Por supuesto, todo buen programador tiene que saber de <i>Programación Orientada a Objetos</i>. Hay algunos puristas que hablan de empezar por <b>SmallTalk </b>o cosas así, yo recomiendo <b>Java</b>. Tipado, multiplataforma, herencia simple, probablemente el lenguaje más extendido del mundo y el que más se pide para conseguir un trabajo. Esencial. <b>C++</b> es otra muy buena opción.<br />
<br />
Por último un lenguaje funcional es importante, no tanto bajo mi punto de vista para usar de forma cotidiana pero sí para aprender a pensar de otra manera (tail recursión, todo es una función, etc.) En mi caso aprendí <b>Ocaml </b>en la facultad y me gustaría tener algo de tiempo para mirar <b>Haskell</b>, que le tengo ganas.<br />
<br />
En este punto puedes aprender los lenguajes que te apetezcan, sin demasiada complicación una vez ya "hablas" los anteriores. <b>C++, PHP, Javascrip, Python, Ruby, C#...</b><br />
<br />
Si alguien quiere saber mi "trayectoria" personal (probablemente no), yo empecé por <b>BASIC</b> hace muchos años, salté a <b>QBASIC</b> y la evolución lógica me llevó a <b>Visual BASIC. </b>Aprendí también algo de <b>C</b>, y al entrar en la facultad desaprendí todo lo aprendido de <b>Basic </b>y aprendí <b>Pascal -> C -> Java -> Ocaml -> Matlab </b><b>-> Python -> Javascript</b><b> </b>y el último lenguaje que he aprendido allí ha sido <b>C#.</b><br />
Luego decidí especializarme en <b>Python</b>, es el lenguaje que más me gusta, con un buen equilibro entre optimización y velocidad de desarrollo (a veces mientras programo en Python pienso en tener que hacer lo mismo en <b>C</b> y me entra un escalofrío de imaginar todas las líneas de código...) y de hecho es el lenguaje que me ha dado trabajo ahora mismo, junto con el querido <i>Framework </i><b>Django</b>, conjunto de librerías que permiten a <b>Python </b>desarrollar fácilmente aplicaciones web.<br />
<br />
Cada uno tiene que probar de todo y ver lo que le va gustando. Cualquier duda ya sabéis dónde estoy! Uxíohttp://www.blogger.com/profile/12995350528866287128noreply@blogger.com6tag:blogger.com,1999:blog-4813649207014214869.post-1518070024038597252013-08-19T10:31:00.000+02:002013-08-19T10:31:10.162+02:00Nostalgia: Manual del Amstrad CPC 6128A pesar de que soy joven y no coincidí temporalmente con los amstrad CPC, por casualidades de la vida he acabado teniendo por casa un CPC 6128 a mis 11 - 12 años, y si bien había cosas que me molestaban mucho como por ejemplo que la disquetera del mío estaba estropeada (me lo habían regalado de segunda mano), guardo un grandísimo recuerdo de él y de su pantalla de fósforo verde. Lástima que mis padres lo hayan tirado un día que yo no estaba "porque ya no servía para nada". Sin embargo, cuando me lo dieron recuerdo que me dijeron "Oye, ¿el manual lo quieres?". Y yo estuve a punto de cagarla y decir que no, sin embargo dije "Pues vale", y me lo empecé a leer.<br />
<br />
Me encantó, aprendí muchísimo y bajo mi punto de vista el manual estaba escrito de perlas, para la época quizás mucho mejor que algunos libros técnicos actualmente.<br />
<br />
De hecho, tengo que reconocer que por curioso que sea aprendí a programar más o menos en el año 2000 con libros de ordenadores antiguos. Antes el manual del PC no era sólo 3 chorradas, si no que te enseñaban a programar en el lenguaje BASIC, que era el intérprete por defecto del sistema.<br />
<br />
Además, cada ordenador de la época tenía distintas instrucciones. El más placentero para programar de los que he probado físicamente ha sido el MSX, ya que además era el que más instrucciones y funciones tenía. Recuerdo por ejemplo la declaración de Sprites y la detección de colisiones para programar videojuegos.<br />
<br />
Salvo el libro del CPC que era mío (y aún conservo, cuando vuelva a España tengo que encontrarlo), el resto de los libros los fui cogiendo en préstamo de la biblioteca municipal.<br />
<br />
Me dió mucha pena que hace poco después de varios años sin ir volví y habían reformado la biblioteca entera, y de esos libros no quedaba nada. En el estante sólo había cosas como <i>Excel 2010, Access 2007, Dreamweaver, </i>algo de Visual Basic 6 y alguna otra cosilla. Ninguno de los libros que me habían enseñado tanto y que serían tan válidos hoy en día como lo fueron para mí hace 10 años sobrevivieron.<br />
<br />
Por eso hoy me sentí tremendamente nostálgico y alegre cuando encontré un <a href="http://www.cpcmania.com/">sitio web de fanáticos del Amstrad CPC</a>, y entre ellos estaba <a href="http://www.cpcmania.com/Docs/Manuals/Manual%20de%20Usuario%20Amstrad%20CPC%206128.pdf">el manual de mi querido Amstrad CPC 6128</a>. Recomiendo al menos echar un ojo al último capítulo de la historia de la informática y de cómo el tío predice que cuando baje el precio de la memoria se podrán ver películas en un PC...<br />
<br />
Por último, si me lee alguno de los hachas que se ha matado a escanear el manual entero, muchas gracias!Uxíohttp://www.blogger.com/profile/12995350528866287128noreply@blogger.com0tag:blogger.com,1999:blog-4813649207014214869.post-14425122720861858512013-08-12T06:08:00.000+02:002013-08-12T06:08:47.823+02:00Ataque BREACH, un toque de atención a SSL/TLS/Cualquier tipo de cifrado realmenteEstando desconectado temporalmente del tema de la seguridad, un Security Advisory de Django me volvió a traer al mundo de los vivos. El tema viene siendo éste:<br />
<a href="http://www.blogger.com/goog_1173200483"><br /></a>
<a href="https://www.djangoproject.com/weblog/2013/aug/06/breach-and-django/">https://www.djangoproject.com/weblog/2013/aug/06/breach-and-django/</a><br />
<br />
Donde avisan del ataque BREACH. Por supuesto, me puse a indagar sobre el tema y echar un ojo <a href="http://breachattack.com/resources/BREACH%20-%20SSL,%20gone%20in%2030%20seconds.pdf">al PAPER que presentan</a>, ya que me sorprendió ver que TLS/SSL (y realmente cualquier tipo de cifrado!) eran vulnerables al ataque.<br />
<br />
El ataque se basa en uno anterior, CRIME, basado en la comprensión TLS, que no es demasiado común. Ésto va más allá usando la comprensión básica que va sobre HTTP, es decir, antes de realizar ningún tipo de cifrado del tráfico. Es muy común en cualquier tipo de web, tanto usando HTTP como HTTPS, usar algún tipo de compresión para ahorrar ancho de banda, eligiendo muchas veces la compresión gzip. <br />
<br />
El ataque tiene varios requisitos:<br />
<ul>
<li>Un servidor que use compresión a nivel HTTP (cae de cajón)</li>
<li>Que aparezca algún parámetro introducido por el usuario en el body de la respuesta HTTP</li>
<li>Que haya algo "interesante" en el body de la respuesta (un token CSRF, por ejemplo). Algo secreto que queremos robar.</li>
</ul>
Y ahora empieza la gracia. Si tenemos una petición tal que:<br />
<br />
<i>GET /owa/?ae=Item&t=IPM.Note&a=New&id=canary=<guess> </i><br />
<i><br /></i>
Y nos devuelve algo como<i> </i>(esto lo hace Outlook Web Access):<br />
<br />
<i><span id=requestUrl>https://malbot.net:443/owa/forms/<br />basic/BasicEditMessage.aspx?ae=Item&amp;t=IPM.Note&<br />amp;a=New&amp;id=canary=<guess></span><br />...<br /><td nowrap id="tdErrLgf"><a href="logoff.owa?<br />canary=d634cda866f14c73ac135ae858c0d894">Log<br />Off</a></td></i><br />
<br />
<i>Guess</i> sería lo que nosotros inyectamos. Gzip intenta buscar coincidencias de palabras para comprimir la respuesta. Por lo tanto comprimirá <i>canary=</i> al tenerlo en dos partes (en el ejemplo) de la respuesta.<i> </i>Pero qué pasa si intentamos inyectar cosas? El tamaño de la compresión será el mismo si no acertamos pero si acertamos y metemos <i>canary=d... </i>al encontrar canary=d634... en otra parte del texto la compresión será mejor, y la respuesta por parte del servidor más pequeña. Esto permite que repitiendo el ataque podamos ir sacando, byte a byte, el token.<br />
<br />
Y ya el tema de cómo explotarlo, pues a partir de ahí a echarle imaginación. Lo difícil es llegar hasta estas conclusiones. Me he saltado varios detalles que son relevantes, para más información echad un ojo al PDF.<br />
<br />
Por último comentar que me gustó ver que uno de los investigadores involucrados es el lugués Ángel Prado, habitual speaker en las Jornadas de Seguridad de A Coruña, y al que espero poder ver este año a finales de octubre en GSICKMINDS (nuevo nombre de dichas jornadas).<br />
<br />
Un saludo a todos!Uxíohttp://www.blogger.com/profile/12995350528866287128noreply@blogger.com1tag:blogger.com,1999:blog-4813649207014214869.post-47426909293561785802013-08-01T09:31:00.000+02:002013-08-01T09:31:38.026+02:00BlockPrism, cifrando el chat de FacebookBuenos días a todos, se que llevaba mucho tiempo sin escribir, pero mi vida se me ha puesto de arriba a abajo en apenas un mes (para bien), ya contaré algo de eso.<br />
<br />
En este caso os quiero presentar una herramienta que me ha parecido muy útil, sobre todo con todo el jolgorio que se está montando con el tema <i>Snowden</i>.<br />
<br />
La idea consiste en algo tan sencillo como una extensión de explorador (por ahora disponible para chrome) que activada en el sitio web de facebook activará un cifrado basado en criptografía asimétrica.<br />
<br />
Como entidad de confianza dependemos del servidor del creador de la aplicación, que afirma guardar únicamente el id del usuario de facebook y su clave pública, es decir, lo mínimo indispensable para mantener un sistema de cifrado asimétrico en el que no se tenga que hacer un prenegociado de claves (estilo SSL), ya que de esa manera se perdería la funcionalidad de los mensajes online. Para más confianza al parecer el proyecto va a ser OpenSource, con lo cual cualquiera podrá revisar el código y ver lo que realmente está haciendo el usuario.<br />
<br />
Sin más dilación os dejo el enlace del proyecto: <a href="http://blockprism.org/">http://blockprism.org/</a> y la dirección de su <a href="http://www.indiegogo.com/projects/blockprism-org/">campaña en IndieGogo</a> .<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="http://www.blockprism.org/images/system.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="164" src="http://www.blockprism.org/images/system.png" width="320" /></a></div>
<br />Uxíohttp://www.blogger.com/profile/12995350528866287128noreply@blogger.com2tag:blogger.com,1999:blog-4813649207014214869.post-64560683475153169302013-05-12T20:02:00.000+02:002013-05-12T20:29:55.674+02:00Reparando la tabla DSDT (Asus K53SV)<br />
DSDT (Differentiated System Description Table) es parte de la especificación ACPI, y más o menos explicándolo de forma sencilla es una tabla donde se indican los diversos eventos relacionados con la gestión de energía que soporta un equipo. Las tablas DSDT suelen venir preparadas para windows, con lo cual en otros sistemas como linux pueden fallar los ventiladores, o la pantalla no apagarse al cerrar la tapa, etc. Esto es al menos lo que dice en la wiki de arch linux, habrá que fiarse.<br />
<br />
En mi caso me gusta optimizar mi SO al límite, así que decidí reparar la tabla DSDT a ver si mejoraba algo, aunque para ser sinceros no noté nada a parte de que el portátil no encendía con el brillo al máximo, de agradecer, y me entretuve un ratillo aprendiendo algo nuevo. A otra gente le supone una mejora mayor y si quieres instalar un Hackintosh en tu PC necesitas tener la tabla reparada antes de nada.<br />
<br />
Para rehacer una tabla funcional, en Linux tenéis que hacer como root:<br />
<br />
<code>cat /sys/firmware/acpi/tables/DSDT > dsdt.dat</code><br />
<br />
Esto os dará la tabla en uso actualmente. La descompilamos con:<br />
<br />
<code>iasl -d dsdt.dat</code><br />
<br />
Y la compilamos otra vez con:<br />
<br />
<code>iasl -tc dsdt.dsl</code><br />
<br />
Y aquí es donde saltarán todos los errores. A partir de este punto es donde tenemos que matarnos un poquillo a solucionar los fallos que están dando. Os comento los que me dieron a mí y cómo solucionarlos:<br />
<ul>
<li>Non-hex letters must be upper case. Pues eso, las letras que no sean hexadecimales ponedlas con mayúsculas. Con unos cuantos buscar y reemplazar se soluciona.</li>
<li>Use of compiler reserved name (_T_0). Fácil, cambiamos _T_0 a T_0.</li>
<li>Not all control paths return a value. Se coloca un Return (Zero) al final de esa función.</li>
<li>Reserved method should not return a value. Pues eso, que no debería devolver un valor así que borramos el return.</li>
<li>Found buffer, requires package. Empaquetamos el buffer. Cambiamos por ejemplo Buffer(0x10) por Package(0x10). Fácil y sencillo.</li>
</ul>
Y esos fueron los fallos con los que tuve que enfrentarme yo. Pongo unos enlaces de webs que me fueron de utilidad y al final de todo parte de la salida de compilar el dsdt sin arreglar.<br />
<br />
<a href="http://cannibalcandy.wordpress.com/2011/02/18/dsdt-editing-put-an-end-to-your-acpi-woes/">http://cannibalcandy.wordpress.com/2011/02/18/dsdt-editing-put-an-end-to-your-acpi-woes/</a><br />
<br />
<a href="http://sadevil.org/blog/2012/01/01/fixing-the-acpi-dsdt-of-an-acer-ferrari-one-200/">http://sadevil.org/blog/2012/01/01/fixing-the-acpi-dsdt-of-an-acer-ferrari-one-200/</a><br />
<br />
<code>
Intel ACPI Component Architecture<br />
ASL Optimizing Compiler version 20121018-64 [Oct 26 2012]<br />
Copyright (c) 2000 - 2012 Intel Corporation<br />
<br />
dsdt.dsl 5090: Name (_HID, "pnp0c14") <br />
Error 4133 - Non-hex letters must be upper case ^ (pnp0c14)</code><br />
<code><br />
<br />
dsdt.dsl 5168: Name (_T_0, Zero) <br />
Remark 5011 - Use of compiler reserved name ^ (_T_0)<br />
<br />
dsdt.dsl 5761: Method (SPBL, 1, NotSerialized)<br />
Warning 1114 - ^ Not all control paths return a value (SPBL)<br />
<br />
dsdt.dsl 12509: Return (ATKR (Arg0))<br />
Warning 1120 - ^ Called method may not always return a value<br />
<br />
dsdt.dsl 12515: Method (ATKR, 1, NotSerialized)<br />
Warning 1114 - ^ Not all control paths return a value (ATKR)<br />
<br />
dsdt.dsl 13014: Return (One)<br />
Warning 1104 - ^ Reserved method should not return a value (_Q0E)<br />
<br />
dsdt.dsl 13077: Name (_T_0, Zero) <br />
Remark 5011 - ^ Use of compiler reserved name (_T_0)<br />
<br />
dsdt.dsl 13626: Name (_PLD, Buffer (0x10) <br />
Error 4105 - Invalid object type for reserved name ^ (found BUFFER, requires Package)<br />
<br />
dsdt.dsl 14375: Method (MXDS, 1, NotSerialized)<br />
Warning 1114 - ^ Not all control paths return a value (MXDS)<br />
<br />
dsdt.dsl 14781: Name (_HID, "pnp0c14") <br />
Error 4133 - ^ Non-hex letters must be upper case (pnp0c14)
</code>Uxíohttp://www.blogger.com/profile/12995350528866287128noreply@blogger.com2tag:blogger.com,1999:blog-4813649207014214869.post-79599107172272784762013-02-17T21:49:00.001+01:002013-02-18T16:05:32.467+01:00Information Gathering Tools (1/?)Buenas a todos, tras mucho tiempo sin escribir por fin he vuelto a tener tiempo para trastear con cosas.<br />
<br />
Hoy hablaré de herramientas de recogida de información, no refiriéndome a herramientas como nmap, si no más bien herramientas orientadas a prepararnos para realizar después ingeniería social.<br />
<br />
<b>Jigsaw</b><br />
<br />
Jigsaw es una herramienta destinada a obtener información sobre los trabajadores de una compañía. La herramienta parece funcionar perfecta para empresas como google, donde simplemente elegimos uno de sus dominios (en mi caso probé con google.com) y hace un crafting de todos los emails que encuentra de los empleados en diversos departamentos<br />
<br />
El problema de esa gran herramienta es que llama a la base de datos de <a href="http://www.jigsaw.com/">jigsaw.com</a>, con lo cual dependemos de las empresas que allí figuren. Como os podéis imaginar, para empresas españolas nada de nada, ni siquiera alguna grande como <i>El Corte Inglés</i> o <i>Hacendado.</i> Está Zara, eso sí, y el grupo Inditex.<br />
<br />
<b>Creepy</b><br />
<br />
Pues eso, escalofriante es la mejor manera de describir esta herramienta. En un mundo donde servicios como Twitter o Flickr están a la orden del día, y todo el mundo tiene un smartphone con GPS, este programa aprovecha que muchos móviles adjuntan a las fotos que sacas metadatos con la información de tu posición en ese momento, qué majos, ¿no?<br />
<br />
Así que tú le das un usuario de twitter o de flickr, y si la persona tiene imágenes subidas con geolocalización, verás en un mapa dónde se ha sacado fotos dicho individuo.<br />
<br />
<b>Foca</b><br />
<br />
Hablando de metadatos, pues eso, no podía faltar la foca, lo primero que podemos lanzar contra una web a auditar para sacar usuarios, impresoras, mails, ips, yo qué sé, el mundo de los metadatos es demasiado grande. Siempre aportan pistas curiosas y palabras que usar en wordlists.<br />
<br />
<b>Uberharvest</b><br />
<br />
Teóricamente escanea un sitio web y busca direcciones de correo y más cosas, yo sin embargo sólo consigo que me haga una búsqueda en el DNS y me devuelva los servidores, incluídos los de correo. Me saltan excepciones de python con algunas opciones.<br />
<br />
No sé si lo estoy usando mal, pero no me convence.<br />
<br />
<b>TheHarvester</b><br />
<br />
Este programa me encanta. Le pones un dominio, y le puedes decir que busque en google, bing, linkedlin, etc. Te devolverá las direcciones de correo con dicho dominio, así como los host y virtual hosts que encuentre. Sólo le veo el fallo de que no te deja buscar en el propio dominio ya que todas las búsquedas las hace a través de buscadores, con lo cual estás obviando cosas que no estén cacheadas o que se encuentren en robots.txt.<br />
<br />
<b>WebShag</b><br />
<b><br /></b>
Tiene un modo scanner llamando a Nmap por debajo, un modo de buscar hosts y vhosts, un spider que recorre la web y busca mails, directorios y enlaces externos, un modo USCAN que busca vulnerabilidades recurriendo a Nikto2 o a una base de datos de vulnerabilidades que especifiquemos y por último un modo fuzzer que busca archivos y directorios "ocultos" en el servidor ya sea por fuerza bruta o por diccionario.<br />
<br />
Me ha parecido muy útil sobre todo para el caso que nos ocupa el modo Spider.<br />
<br />
Por hoy me despido y espero que os sea de utilidad este breve resumen.<br />
<br />
¡Un saludo!<br />
<br />
<br />Uxíohttp://www.blogger.com/profile/12995350528866287128noreply@blogger.com4tag:blogger.com,1999:blog-4813649207014214869.post-86120588679982368902012-10-30T22:32:00.002+01:002016-12-08T00:07:08.024+01:00[Libro] La Estancia AzulTras tiempo sin escribir, hoy me gustaría hablar de un libro que me gustó (y muy posiblemente marcó) a mis aproximadamente 13 años.<br />
<br />
El libro se titula <a href="http://www.amazon.es/LA-ESTANCIA-AZUL-Narrativa-Extranjera/dp/8466368558">La estancia Azul</a>, una novela sobre hackers que resulta interesante. A diferencia de las películas y libros basados en el género que siempre acaban con fantasmadas infumables, el libro a pesar de tener alguna por ahí como toda novela que se precie, muestra ciertos detalles curiosos.<br />
<br />
Recuerdo por ejemplo que a pesar de ya existir conexiones de banda ancha el antagonista, Phate, prefería usar siempre módems y marcaba desde distintos lugares ya que decía que era más difícil de tracear (cabinas públicas, moteles, etc.)<br />
<br />
El libro trata sobre las andanzas de éste "hacker" asesino. Al hombre se le da genial la tecnología, pero en algún momento de su vida se perturba y decide empezar a matar gente, para lo cual usa la informática de todas las formas que se le ocurren, es decir, informática como herramienta para hacer daño. Además se impone retos a sí mismo, en plan más puntos por matar a gente mejor protegida. Por otro lado tendremos al hacker bueno que se encargará de pillar a éste criminal y que trabaja con la policía.<br />
<br />
Y la verdad no voy a seguiros contando mucho más, que voy a acabar desvelando algún detalle importante sin querer.<br />
<br />
Una novela recomendable para quién le guste todo este mundillo. Ya me contaréis si la habéis leído o la vais a leer. Os dejo la sinopsis:<br />
<i><br /></i>
<i>El asesino del relato responde al apodo de Phate, pero su verdadero
nombre es John Patrick Holloway. Aparentemente no es mas que un hacker,
un inodensivo pirata informático.Pero su mente perversa ha ideado un
programa llamado Trapdoor, el cual le permite asaltar los ordenadores de
sus víctimas potenciales iniciando un juego macabro cuyo objetivo final
es la eliminación del usuario elegido.<br />Para atrapar a este peligroso
psicópara, la policía recurre a la ayuda de Wyatt Gillete, un hecker
experto que cumple un año de condena en la cárcel por un delito menor.Es
preciso actuar deprisa, pues los asesinatos se suceden uno tras otro en
este siniestro teritorio del suspense de la red.</i><br />
<br />
Un saludo!Uxíohttp://www.blogger.com/profile/12995350528866287128noreply@blogger.com1tag:blogger.com,1999:blog-4813649207014214869.post-37319828358168532052012-04-30T01:06:00.001+02:002012-04-30T01:06:24.406+02:00Los vengadores, peliculaza<div class="separator" style="clear: both; text-align: center;">
<a href="http://www.cinerama.ec/wp-content/uploads/2011/04/the_avengers___poster_2_by_themadbutcher-d36eop9.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="320" src="http://www.cinerama.ec/wp-content/uploads/2011/04/the_avengers___poster_2_by_themadbutcher-d36eop9.jpg" width="221" /></a></div>
<br />
Después de todo el <i>hype</i> generado desde años por la dichosa película (sobre todo con el final de <b>Iron Man 2</b>), como buen fan de Marvel me dirigí raudo hacia el cine en cuanto pude. Pensé que quizás, y como muchas de las películas o juegos que he esperado últimamente, cuántas más ganas tengo de que salgan, más porquería me parecen al tenerlos por fin disponibles, y pedía para mí mismo que por favor no estrenaran un bodrio donde simplemente hicieran un <i>copy-paste</i> de varios personajes en una misma película.<br />
<br />
No podía estar más equivocado. Una película impresionante. Cuando acabó tenía la impresión de que llevaba como mucho media hora en el cine, se pasó volando.<br />
<br />
Las escenas de acción impresionantes, unos efectos muy conseguidos y unas batallas épicas.<br />
<br />
Sin embargo, y lo que más me gustó de la película, fue el sentido del humor. <b>Tony Stark</b> hace de "bufón" durante toda la película con el sarcasmo que lo caracteriza sobre todo en su adaptación al cine de la mano de Robert Downey Jr., ya las películas de<b> Iron Man</b> fueron impresionantes, pero en este caso es colosal. Gags de humor contantes sin perder la noción de seriedad que requiere que la tierra esté a punto de ser invadida por extraterrestres. Pero ver a <b>Tony</b> decirle a <b>Thor</b> "¿Sabe vuestra madre que os vestís con sus ropajes?", "Sube, Légolas" a <b>Ojo de Halcón</b> y "Anda, el papá de bambi" a <b>Loki</b> cuando sale con el casco con cuernos, es indescriptible. Gente en la sala aplaudiendo incluso. No recuerdo cuando fue la última vez que me lo pasé tan bien en el cine.<br />
<br />
No voy a reventar más de la película, lo mío no es hacer reportajes, y sólo os puedo recomendar que vayáis a verla cuanto antes.<br />
<br />
Un saludo!Uxíohttp://www.blogger.com/profile/12995350528866287128noreply@blogger.com1tag:blogger.com,1999:blog-4813649207014214869.post-65720062636909648482012-04-08T19:13:00.001+02:002012-04-08T19:13:11.391+02:00Usa tu RAM para acelerar programas y videojuegosActualmente los ordenadores traen cada vez más RAM. Es habitual verlos normalmente entre 4 y 8 Gb.<br />
<br />
Sinceramente 4Gb deberían ser suficientes, mirando el consumo de memoria de mi PC veo que con Windows 7 instalado más varios programas corriendo suele estar en 1Gb, sólo llego cerca de los límites o tirando mucho de <a href="https://www.virtualbox.org/">VirtualBox</a>, programa que yo uso continuamente, con algún juego exigente, o por último con programas de edición de vídeo.<br />
<br />
Los 8Gb son más bien para gente que quiere usar Windows Vista de forma fluída, ahora en serio, yo los tengo, y veo pocas veces el PC por encima del 50 o 60% de uso de RAM en Windows 7.<br />
<br />
Lo que os quería comentar es que es una pena que no se aproveche este espacio, ya que teóricamente cuando se carga un programa se cachea parte en memoria RAM para poder usarlo de forma eficiente, y lo que no se cargó se va leyendo desde el disco duro bajo demanda.<br />
<br />
La idea está bien, ya que tú cargas lo que usas y lo que no pues no lo lees, pero tienes un problema. Por ejemplo, jugando a un juego, tú cada vez que quieres cargar una pantalla (véase por ejemplo <b>Call Of Duty</b>), se carga el mapa, tarda un ratito, y luego tú puedes jugar el nivel sin cargas ni retrasos por el medio, hasta el siguiente nivel que también tendrás que esperar para cargar. Entonces tú la primera vez que cargas el nivel se mete a RAM, juegas la pantalla, pasas al siguiente nivel, lo cargas, lo metes a RAM, y bueno, lo que realmente puedes aprovechar es que si tu RAM es lo suficientemente grande y no se vació, si tienes que volver a repetir un mapa no tendrás que cargarlo.<br />
<br />
Lo que yo quería hacer es ahorrarme los tiempos de espera, es decir, algo como decirle al juego "oye, cada nivel tuyo ocupa 200Mb en RAM, yo tengo 4Gb libres, cárgame todo el juego que me lo quiero pasar de un tirón y sin esperas".<br />
<br />
Lo que hice fue usar la aplicación <a href="http://memory.dataram.com/products-and-services/software/ramdisk">RamDisk de DataRAM</a>. Esta aplicación nos permite crear un disco duro virtual en nuestra memoria RAM, de tal forma que en el sistema lo vemos como un disco duro normal pero los tiempos de carga son realmente asombrosos. La configuración no podría ser más sencilla: tamaño de la partición, tipo de partición:<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="http://3.bp.blogspot.com/-9y6WAHCMNMs/T4HEfT30pUI/AAAAAAAAAEA/lVKMjQIj1Nk/s1600/Dataram+RAMDisk+Configuration+Utility_2012-04-08_19-01-27.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="316" src="http://3.bp.blogspot.com/-9y6WAHCMNMs/T4HEfT30pUI/AAAAAAAAAEA/lVKMjQIj1Nk/s400/Dataram+RAMDisk+Configuration+Utility_2012-04-08_19-01-27.png" width="400" /> </a></div>
<div class="separator" style="clear: both; text-align: center;">
<br /></div>
El único problema es que la versión gratuita no permite particiones de más de 4Gb, pero al menos para mí es suficiente.<br />
<br />
Hice la prueba copiando un juego a la unidad que me creó (tardó como menos de 2 min en copiar 3Gb), luego me puse a jugarlo y es impresionante las velocidades de carga, además que no estás usando el disco duro para nada.<br />
<br />
Ah, y recordad que es RAM, al reiniciar el PC, se vacía. <br />
<br />
Espero que os sea útil.Uxíohttp://www.blogger.com/profile/12995350528866287128noreply@blogger.com7tag:blogger.com,1999:blog-4813649207014214869.post-7616935978581706402012-04-06T18:19:00.000+02:002012-04-06T18:19:47.325+02:00Google Maps RPG 8 bitsCoincidiendo con el April Fools day Google Maps ha sacado una versión en RPG de sus mapas.<br />
<br />
Me hace gracia que todo el norte de España sean piedras, hasta que amplías y empiezas a ver árboles. Estos de google siempre andan haciendo cosas curiosas...<br />
<a href="http://www.blogger.com/goog_1386294998"><br /></a><br />
<a href="http://maps.google.com/?t=8&utm_campaign=8bit">http://maps.google.com/?t=8&utm_campaign=8bit</a><br />
<br />
Aquí dejo el vídeo de promoción, donde hablan de un supuesto cartucho para una vieja Nintendo, que incorporaría un módem para conectarse a Internet y usar la potencia computacional de la "nube" para renderizar los mapas a tiempo real:<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<iframe allowfullscreen='allowfullscreen' webkitallowfullscreen='webkitallowfullscreen' mozallowfullscreen='mozallowfullscreen' width='320' height='266' src='https://www.youtube.com/embed/rznYifPHxDg?feature=player_embedded' frameborder='0'></iframe></div>Uxíohttp://www.blogger.com/profile/12995350528866287128noreply@blogger.com0tag:blogger.com,1999:blog-4813649207014214869.post-52096079047367665712012-03-20T23:42:00.000+01:002012-03-21T00:25:49.320+01:00Hashes Joomla con John The Ripper<div class="separator" style="clear: both; text-align: center;">
<a href="http://www.bytebob.com/images/joomla-logo.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="200" src="http://www.bytebob.com/images/joomla-logo.png" width="200" /></a></div>
Me he encontrando trasteando con joomla en la base de datos MySQL que los password de usuarios registrados los guarda como:<br />
<pre>36302dcd47193e2c6dbc3cfc6f70e11d:KPAvp1xf0bQJppoU. </pre>
No tenía mucha idea de cómo hacer con el John, y lo que debería ser una chorrada se convirtió en un buen rato de búsqueda infructuosa y prueba-error. El problema fue tanto que estaba escribiendo mal las opciones del John como que hay que modificar el hash:
<br />
<pre>36302dcd47193e2c6dbc3cfc6f70e11d<b>$</b>KPAvp1xf0bQJppoU. </pre>
Cambiamos los dos puntos por el símbolo del dolar, lo guardamos en prueba.txt, y hacemos:
<code>./john --format=MD5-gen --subformat="md5_gen(1)" prueba.txt</code>Uxíohttp://www.blogger.com/profile/12995350528866287128noreply@blogger.com0tag:blogger.com,1999:blog-4813649207014214869.post-58533396949408106892012-02-25T23:58:00.000+01:002012-02-25T23:58:38.426+01:00IV Jornadas de Seguridad Informática en A Coruña (Tercer Día)<h3>
<span style="font-size: large;"><a href="http://www.gsicoruna.com/talks.html#selvi">FaceCat: Covert Channels over Social Networks</a></span></h3>
Aunque hoy me dormí y llegué a medias, me pareció muy interesante la charla de <b>Jose Selvi</b>. Se basaba en el intercambio de información de forma oculta, como por ejemplo la forma de la que se comunican algunos troyanos con sus dueños, usando recursos como Twitter o Facebook. Vimos una demo grabada (ya que Jose nos comentó que de vez en cuando cambian las webs así que no quería arriesgarse en directo) donde usaba el FaceCat para intercambio de información usando un muro de Facebook.<br />
<br />
<u><span style="font-size: large;">Repaso del HackContest </span></u><br />
<br />
<b>Miguel Gesteiro</b> comentó un poco los retos del hackcontest, dió pistas e interactuó con los que participamos para ver opiniones y cómo iba todo. Muy interesante la verdad. Espero poder dedicar el año que viene más tiempo al HackContest, éste me ha sido imposible.<br />
<br />
<h3>
<span style="font-size: large;"><a href="http://www.gsicoruna.com/talks.html#jj">Voip (In)security</a> </span>
</h3>
<b>Jesús Rubio</b> y mi amigo <a href="http://blog.pepelux.org/">Pepelux</a> dieron una charla muy buena acerca de la Voz sobre IP, un tema que yo desconocía casi completamente. Debido a mi poca base no pude quedarme con todo lo que expuso, sin embargo me quedé con muchas ganas de aprender más sobre ese tema y montar un servidor o algo para probar.<br />
<br />
Me gustaron mucho también las demos que hicieron, interceptando tráfico, añadiendo a Belén Esteban, usando el sipvicious, el ettercap + script en perl de Pepelux, genial.<br />
<br />
<u><span style="font-size: large;">Mesa Redonda</span></u><br />
<br />
Charla/coloquio en principio sobre<i> Sotfware Libre</i> vs <i>Privativo</i> vs <i>Yo me lo guiso yo me lo como</i> a la hora por ejemplo de montar una web, después derivó sobre la omnipresencia de Google, sus nuevas políticas, etc.<br />
<br />
Yo llevaba tiempo pensando sobre estos temas, y me gustó saber la opinión de profesionales como los ponentes.<br />
<br />
<br />
Así acaban las IV Jornadas de Seguridad Informática del GSIC. Espero veros a todos en la Rooted Con.<br />
<br />
Un saludo!Uxíohttp://www.blogger.com/profile/12995350528866287128noreply@blogger.com0tag:blogger.com,1999:blog-4813649207014214869.post-445914525598666342012-02-24T23:51:00.000+01:002012-03-16T23:56:16.318+01:00IV Jornadas de Seguridad Informática en A Coruña (Segundo Día)<h3>
<span style="font-size: large;"><a href="http://www.gsicoruna.com/talks.html#alberto">El dilema del erizo, una visión alternativa</a> </span></h3>
<b>
Alberto Partida</b>, dió una charla teórica sobre las relaciones de las empresas con los equipos de seguridad usando el símil del erizo que pincha si le tocan o se acercan mucho pero sin embargo necesita del calor de otros erizos para vivir.
<br />
<br />
<h3>
<span style="font-size: large;"><a href="http://www.gsicoruna.com/talks.html#diego">Spaniards: Yes we can!</a></span></h3>
<b>Diego Ferreiro</b>, ahora trabajador de Yahoo!, pero antes de eso estudiante de la Facultad de Informática con el que coincidí alguna vez, dió una charla tremenda que a mí me motivó muchísimo.<br />
<br />
Hablaba de cómo empezó todo desde que llegó la universidad, cómo le fueron las cosas, las decisiones que fue tomando, el profesor de física que se nos atragantó a todos... Después contaba cómo pasó de ser un estudiante más a aspirar a trabajar en empresas como Microsoft, Google, Amazon, etc. y que realmente no están tan lejos como nosotros pensamos.<br />
<br />
Con un poco de esfuerzo todo se puede conseguir. Al fin y al cabo, no todos los trabajadores de Google, Yahoo!, Amazon... son grandes ingenieros, ¿no?<br />
<br />
Frase de la charla: ¿Y por qué yo no? <br />
<br />
<h3>
<a href="http://www.gsicoruna.com/talks.html#caridy1"><span style="font-size: large;">Web mashups, widgets y addons. El futuro de Internet es inseguro por naturaleza</span></a></h3>
<b>Caridy Patiño</b> daba una charla sobre desarrollo web, JSON, consejos para incrustar widgets en los sitios web de forma segura, tracear... No sabría hacer un resumen, me gustaría ver las trasparencias y estudiarlas más a fondo ya que no ando muy puesto en el tema.<br />
<br />
<h3>
<span style="font-size: large;"><a href="http://www.gsicoruna.com/talks.html#angel">Hackeando el mundo 4.0</a></span></h3>
Como ya nos tiene acostumbrados todos los años, <b>Ángel Prado</b> dió, más que una charla, una magistral clase de cómo romper cosas. Impresionante.<br />
<br />
Sencillamente me encantan sus exposiciones. Va rapidísimo, pero explicando todo correctamente (sólo me perdí al final con la desofuscación que hacía de un lado para otro), lo que es de agradecer, ya que en lo que dura su presentación aprendes muchísimo debido al alto aprovechamiento del tiempo.<br />
<br />
El "modo película" es impresionante, se pone a hackear algo, enciende su musiquita y se pone a ello, la verdad me encantaría tenerlo grabado para verlo actuar cuantas veces quisiera. Hasta los chavales de los colegios de delante de todo, que supongo que muchos no tendrían mucha idea de qué estaba haciendo, estaban impresionados. Se pasó de la hora y nadie se dió cuenta, todos queríamos que siguiese ahí. Los aplausos se oían constantemente como <a href="https://twitter.com/#%21/mgesteiro">twiteó Miguel Gesteiro.</a><br />
<br />
Que por cierto, como ya le dije cuando hablé con él (una persona muy muy agradable) que se monte un blog o algo, que seguro que tiene muchísimas cosas que contar (más que yo seguro).<br />
<br />
<br />
La verdad hoy he disfrutado muchísimo, y mañana aún queda un día.<br />
<br />
Un saludo a todos!Uxíohttp://www.blogger.com/profile/12995350528866287128noreply@blogger.com0tag:blogger.com,1999:blog-4813649207014214869.post-28988417129174029202012-02-23T23:51:00.001+01:002018-10-17T18:17:21.148+02:00IV Jornadas de Seguridad Informática en A Coruña (Primer Día)<h3>
<span style="font-size: large;"><a href="http://www.gsicoruna.com/talks.html#mignovoa">Tecnologías de seguridad en switches</a> </span></h3>
<b>
Fran Novoa</b>, profesor de la Facultad de Informática de A Coruña explicó cómo realizar un ataque man in the middle sin los programas habituales. La experiencia se basó en copar las direcciones DHCP que puede asignar un switch (cambiando la MAC de la tarjeta de red y reconectando una y otra vez), y una vez acabadas las IPs ofrecer otro servidor DHCP que esta vez envía los parámetros de conexión "envenenados". Todo explicado de forma teórica, práctica y hasta con emulación en el <a href="http://www.cisco.com/web/learning/netacad/course_catalog/PacketTracer.html">Cisco Packet Tracer</a>. Muy buena charla, esperamos las trasparencias que prometió colgar "en algún sitio".
<br />
<br />
Frase de la charla: Aquí con 3 teclados parezco Nacho Cano.<br />
<br />
<h3>
<span style="font-size: large;"><a href="http://www.gsicoruna.com/talks.html#chema">Playing the piano</a></span></h3>
<b>Chema Alonso</b> nos hizo reír una vez más a todos con una charla, a mi parecer magistral, en la que explicaba cómo hackear de forma sencillísima <b>Terminal Services de Microsoft</b>. Se basaba en ejecutar programas que no estaban permitidos, y llegaba a ellos a través de cosas como sticky keys -> ayuda -> imprimir etc... y mediante menús, clicks, shortcuts y muchas risas llegaba a un control casi absoluto de la máquina. También hacía lo mismo con macros, para desesperación de los administradores, porque ya se sabe <a href="http://www.elladodelmal.com/2011/08/bosses-love-excel-hackers-too.html">Bosses Love Excel, Hackers Too</a><br />
<br />
Frase de la charla: Es que en las aduanas te pueden copiar la información del portátil, joder, si quieren el porno que se lo descarguen ellos.<br />
<br />
<h3>
<span style="font-size: large;"><a href="http://www.gsicoruna.com/talks.html#barroso">Infecciones web: [ SQL | FTP | Cache ] Injection</a></span></h3>
Por último <b>David Barroso</b> dió esta impresionante charla sobre las chachés de los sitios web. La idea es que los sitios web usan unos servidores caché, como por ejemplo la caché en nuestros procesadores, que mantienen la información más usada o más recientemente accedida. Sin embargo, para conservar la velocidad de acceso todo esto va sin ningún tipo de encriptación y tampoco lo hay para acceder simplemente vía telnet al servidor y modificar lo que queramos. Sin hacer falta explicar mucho más, ya veis todas las maldades que se pueden hacer. No he tomado nota del puerto que usaba ni del programa que extraía los datos automáticamente de la caché, que alguien me lo comente por favor.<br />
<br />
<h3>
<span style="font-size: large;">H4ckContest</span></h3>
Interesantísimo(como siempre) el H4ckContest de este año de la mano de Miguel Gesteiro, incluyendo pruebas físicas como la de lockpicking. Ya me voy a comprar en breves a DealExtreme mi juego de ganzúas, me siento orgulloso de haber abierto el candado la primera vez que lo intenté (suerte, luego no fui capaz de abrir ningún otro).<br />
<br />
Así acaba el primer día de las jornadas de seguridadUxíohttp://www.blogger.com/profile/12995350528866287128noreply@blogger.com3A Coruña, España43.3708731 -8.39583543.3247031 -8.4747989999999991 43.417043099999994 -8.316871tag:blogger.com,1999:blog-4813649207014214869.post-23157927391803962212012-02-17T01:12:00.000+01:002012-02-17T01:13:02.568+01:00Descifrando cualquier WPA2/WPA/WEP en horas mediante WPS<div class="separator" style="clear: both; text-align: center;">
<a href="http://www.techpin.com/wp-content/uploads/2009/01/asus-rt-g32-wireless-router-asus-rt-g32-with-wps-easy-wireless-router-installation.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="226" src="http://www.techpin.com/wp-content/uploads/2009/01/asus-rt-g32-wireless-router-asus-rt-g32-with-wps-easy-wireless-router-installation.jpg" width="320" /></a></div>
<br />
<br />
Hace unos meses cuando probé mi nuevo router, y vi que traía WPS (QSS en el caso de mi TP-LINK), me dió un poco de yuyu. Con un PIN de 8 dígitos te podías conectar sin problema, sin necesidad de clave WPA o WEP, de hecho cuando metes el PIN correctamente el router te devuelve la clave para que te asocies a la "vieja usanza".<br />
<br />
Hay 3 formas de conectar por WPS:<br />
<ul>
<li>Mediante el botón de pulsar para conectar (necesitamos acceso físico al dispositivo)</li>
<li>Configurando en el router (interfaz web normalmente) el PIN de la tarjeta WIFI que queremos conectar.</li>
<li>Mediante el PIN del router (esto es realmente el problema y lo que permite realizar ataques de fuerza bruta)</li>
</ul>
Realmente ya es una cagada muy grande. Si hasta incluso yo hace unos meses me quedé pensando en esto (si no experimenté más fue porque no tengo tiempo), cualquiera podría haberse dado cuenta.<br />
<br />
Ah, pero que aún es peor de lo que parece. Según lo que tengo entendido hay dos clases de routers:<br />
<ul>
<li>Los "listos", como el mío, necesitan los 8 dígitos para saber si la clave es correcta.</li>
<li>Los "tontos", que sólo con los 4 primeros dígitos ya te dicen si el PIN va bien o no, lo que reduce considerablemente el crackeo.</li>
</ul>
<u><span style="font-size: large;">Crackeo propiamente dicho</span></u><br />
<br />
La herramienta usada para esto se llama <a href="http://code.google.com/p/reaver-wps/">Reaver-WPS</a>. La última versión en este momento es la 1.4. Nos la descargamos, extraemos y compilamos.<code></code><br />
<br />
<code>wget http://code.google.com/p/reaver-wps/downloads/detail?name=reaver-1.4.tar.gz</code><br />
<code>tar -xvf reaver-1.4.tar.gz</code><br />
<code>cd reaver-1.4/src</code><br />
<code>./configure</code><br />
<code>make</code><br />
<code>sudo make install</code><br />
<br />
Ejecutarlo y que funcione es tal que así, suponiendo que nuestra tarjeta wifi es wlan0 y que tenemos el paquete aircrack-ng instalado (para airmon-ng). Recordamos que el BSSID es el MAC inhalámbrico del router.
<code> </code><br />
<br />
<code>airmon-ng start wlan0 </code><br />
<code>sudo ./reaver -i mon0 -b BSSID </code><br />
<br />
<code></code> Y ya está. Nos ponemos a esperar que le llevará unas horitas. Necesita una buena señal para que no se pierdan los paquetes, si no tendrá que estar reenviándolos todo el rato y perderemos mucho tiempo, en vuestras casas con vuestros routers no tendréis problema.<br />
<br />
Recordad, ¡desactivad el WPS! Aún no se sabe de ninguna solución ni parche.<br />
<br />
Un saludo!Uxíohttp://www.blogger.com/profile/12995350528866287128noreply@blogger.com22tag:blogger.com,1999:blog-4813649207014214869.post-42441903810463981122012-02-10T17:47:00.001+01:002012-02-10T20:00:48.074+01:00Asus K53SV-SX967V y K53SV-SX967V8G PcComponentes [565€ y 599€]<div class="separator" style="clear: both; text-align: center;">
<a href="http://imagenes.pccomponentes.com/asus_k53sv_sx967v_i5_2430m_4gb_640gb_gf_gt540m_15_6__2.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="320" src="http://imagenes.pccomponentes.com/asus_k53sv_sx967v_i5_2430m_4gb_640gb_gf_gt540m_15_6__2.jpg" width="320" /></a></div>
Me acaba de llegar un mail de PcComponentes con una oferta de dos portátiles Asus, con una configuración <a href="http://www.google.es/url?sa=t&rct=j&q=asus%20uxio&source=web&cd=1&ved=0CDAQFjAA&url=http%3A%2F%2Fuxio0.blogspot.com%2F2011%2F11%2Fpor-fin-un-portatil-asus-a53sv-sx537v.html&ei=eEc1T8vtDs-D-wb5hMiBAg&usg=AFQjCNGWj07VsJtOH_oACCb7JCRh7G1EFw&cad=rja">muy parecida al mío</a>, y con un límite de <b>150 unidades</b>.<br />
<br />
De hecho son incluso mejores que el mío ya que me sorprendió ver que el disco duro es de <b>640Gb, </b>no es algo muy importante, pero oye.<br />
<br />
La gráfica sigue siendo la <a href="http://www.notebookcheck.net/NVIDIA-GeForce-GT-540M.41715.0.html">Nvida 540M</a>, una gráfica de gama media/alta, y el procesador un <a href="http://www.notebookcheck.net/Intel-Core-i5-2430M-Notebook-Processor.53435.0.html">i5 2430M</a>, también de gama media/alta. Tienen también un puerto <b>USB 3.0</b><br />
<br />
Los dos portátiles son iguales y sólo difieren en que uno lleva <b>4Gb</b> de RAM y el otro <b>8Gb</b>.<br />
<br />
El precio está genial, estando el <a href="http://www.pccomponentes.com/asus_k53sv_sx967v_i5_2430m_4gb_640gb_gf_gt540m_15_6_.html">K53SV-SX967V</a> a <b>565€</b> y el <a href="http://www.pccomponentes.com/asus_k53sv_sx967v8g_i5_2430m_8gb_640gb_gf_gt540m_15_6_.html">K53SV-SX967V8G</a> a <b>599€.</b><br />
<br />
Si estáis buscando un portátil polivalente, os digo sinceramente que no vais a encontrar nada mejor, de verdad que a mí <a href="http://www.pccomponentes.com/">PcComponentes</a> no me paga nada y lo hago porque estoy muy contento con el portátil y creo que a mis lectores les puede interesar.<br />
<br />
Cualquier duda os la puedo contestar porque mi portátil es casi igual.<br />
<br />
Un saludo!Uxíohttp://www.blogger.com/profile/12995350528866287128noreply@blogger.com8tag:blogger.com,1999:blog-4813649207014214869.post-70840663425664763252012-02-08T21:22:00.000+01:002012-02-10T02:35:36.051+01:00Alternativas a MegauploadAhora que estamos sin el querido <b>Megaupload</b>, voy a proponer las alternativas que yo conozco. Si alguien conoce más me lo comenta y las añadimos.<br />
<br />
<span style="font-size: large;"><u>BitTorrent</u> </span><br />
<div class="separator" style="clear: both; text-align: center;">
<a href="http://utorrent.es/template/img/logo.jpg" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img border="0" src="http://utorrent.es/template/img/logo.jpg" /></a></div>
<br />
Todo el mundo conoce el protocolo <b>BitTorrent</b>. <i>P2P</i>, descargas lo que puedes, con la ventaja de que no te penaliza si no compartes lo suficiente.<br />
<br />
Tienes que buscar los archivos en webs como <b>The Pirate Bay</b>.<br />
<br />
Hay también algunos trackers privados como HDCity o PuntoTorrent, que tienen unas normas determinadas como por ejemplo el ratio (mirando lo que descargas en función de lo que compartes, tiene que estar equilibrado o sobre un valor que ellos te indican). <br />
<br />
Hay diversos clientes. En Windows mi favorito es <a href="http://www.utorrent.com/">Utorrent</a>, del que ya expliqué hace tiempo <a href="http://uxio0.blogspot.com/2010/12/configuracion-optima-utorrent-con-10.html">cómo configurarlo para una conexión de 10 Mbs</a>. Para Linux hay también una versión del <a href="http://www.utorrent.com/intl/es/downloads/linux">Utorrent</a>, y si no podéis usar <a href="http://www.transmissionbt.com/">Transmission</a>, una muy buena alternativa.<br />
<br />
Por cierto, los enlaces torrent se van a dejar de usar en breves en favor de los <a href="http://www.ghacks.net/2010/06/05/what-is-a-magnet-link-and-how-does-it-differ-from-torrents/">enlaces Magnet</a>, así que está bien que empiece a sonar el nombre. Aunque hay explicaciones mucho más profundas, la principal diferencia es que los Torrents ocupan más que los magnets, ya que los magnet al fin y al cabo son un simple enlace. Esto es útil ya que por ejemplo podrías descargarte toda la base de datos de pirate bay en unos pocos megas.<br />
<br />
<span style="font-size: large;"><u>Emule</u></span><br />
<div class="separator" style="clear: both; text-align: center;">
<a href="http://www.elguruinformatico.com/wp-content/uploads/2011/02/emule.png" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img border="0" height="200" src="http://www.elguruinformatico.com/wp-content/uploads/2011/02/emule.png" width="141" /></a></div>
<br />
El veterano. Yo fue el primero del que oí hablar. Es también un sistema P2P, pero tiene varias diferencias básicas respecto al BitTorrent. La más importante en que se basa en un sistema de créditos, es decir, prioriza un cliente u otro dependiendo de lo que compartas. En teoría, cuanto más compartes más puedes descargar, aunque hay gente que "trampea" y descarga mucho sin compartir nada.<br />
<br />
Tiene la ventaja de que las búsquedas se hacen en el propio buscador, y la verdad tiene casi de todo. Hace años tenía mucha más oferta de archivos que el Torrent, ahora yo creo que por ahí andan.<br />
<br />
Hay muchos clientes pero yo recomiendo el <a href="http://www.emule-project.net/home/perl/general.cgi?l=17">Oficial</a>. En Linux podéis usar <a href="http://www.amule.org/">Amule</a>.<br />
<br />
<br />
<span style="font-size: large;"><u>Ares Galaxy</u></span><br />
<div class="separator" style="clear: both; text-align: center;">
<a href="http://www.consejosgratis.es/wp-content/uploads/2011/06/ares-galaxy.jpg" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img border="0" height="191" src="http://www.consejosgratis.es/wp-content/uploads/2011/06/ares-galaxy.jpg" width="200" /></a></div>
<br />
El programa de "descarga lo que puedas". No hay que configurarlo, ni abrir puertos, ni nada, tú lo instalas y buscas en el cuadro de música lo que quieras.<br />
<br />
Descarga bastante bien y rápido aunque a cambio se come toda tu conexión haciendo que utilizar internet para otras cosas a la vez sea extremadamente tedioso. Algunas veces tampoco se conecta, da error, y te quedas con cara de tonto sin saber qué pasa.<br />
<br />
No me gusta Ares, para empezar porque está lleno de porno, hay un momento en el que dejé de usarlo hace años porque cualquier cosa que bajaba era porno. Hasta la música no era la canción que ponía y estaba todo hecho un caos.<br />
<br />
Además aún en el caso que encuentres la música que buscas está todo en mala calidad (pocas cosas por encima de 128 Kbps). Al menos es mi experiencia con el Ares.<br />
<br />
Sólo hay un cliente, <a href="http://aresgalaxy.sourceforge.net/">el oficial</a>.<br />
<br />
<span style="font-size: large;"><u>Pando</u></span><br />
<div class="separator" style="clear: both; text-align: center;">
<a href="http://imagenes.es.sftcdn.net/blog/es/2007/12/3t_thumb.jpg" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img border="0" src="http://imagenes.es.sftcdn.net/blog/es/2007/12/3t_thumb.jpg" /></a></div>
<br />
Alguien se dió cuenta de que los correos como el de <b>Gmail</b> nos permiten un almacenamiento impresionante gratuitamente (8Gb), ¿por qué no usarlo para guardar ficheros?<br />
<br />
Este sistema no es <i>P2P</i> y se parece más a descarga directa. Descarga a buenas velocidades, pero el problemas es que hay muy muy poca oferta de archivos.<br />
<br />
A parte de esa desventaja, el programa tiene el problema de que el límite de tamaño de los archivos depende de si tienes comprada la versión <i>PRO </i>o no, mientras que todas las alternativas anteriores eran <i>Freeware</i>.<br />
<br />
Es una alternativa a tener en cuenta que yo he usado en algunos casos puntuales, pero me temo que no tiene mucho futuro porque lo que la salva es que pasa bastante desapercibida, si llega a ser más conocida Google o Hotmail se pondrían más serios en cuanto al contenido de los correos (¿Alegaríais violación de privacidad? Buen intento). <br />
<br />
Sólo hay un cliente, <a href="http://www.pando.com/">el oficial</a>.<br />
<br />
<br />
<span style="font-size: large;"><u>Conclusiones:</u></span><br />
<br />
Yo me quedo con el dúo uTorrent + eMule. Es dificilísimo que algo que busques no esté en alguna de esas dos plataformas.<br />
<br />
Como contrapeso hay que abrir puertos en el router y una configuración mínima del programa, lo que realmente no es tan difícil aunque afinar bien la configuración óptima para una conexión sí puede llegar a serlo ya que requiere mucho ensayo error.<br />
<br />
Quizás hago unas guías de configuración, aunque para el <a href="http://uxio0.blogspot.com/2010/12/configuracion-optima-utorrent-con-10.html">uTorrent ya hice una hace tiempo</a>.
Espero que os haya servido.<br />
<br />
Salu2Uxíohttp://www.blogger.com/profile/12995350528866287128noreply@blogger.com3tag:blogger.com,1999:blog-4813649207014214869.post-65670842312651239822012-02-06T16:29:00.000+01:002012-02-10T02:32:05.981+01:00Megaupload y más fauna silvestre<div class="separator" style="clear: both; text-align: center;">
<a href="http://blogs.20minutos.es/entradagratuita/files/2012/01/megaupload.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="240" src="http://blogs.20minutos.es/entradagratuita/files/2012/01/megaupload.png" width="320" /></a></div>
Ya tenía yo ganas de tener algo de tiempo para escribir un post "incendiario" sobre <b>Megaupload</b> y demás tipo de servicios de la nube estilo<b> Rapidshare, FileServe, MediaFire</b>, etc. que están desapareciendo a pasos de gigante, pero sobre todo sobre la "piratería" en sí.<br />
<br />
En primer lugar veo varias opiniones Internet adelante:<br />
<ul>
<li>Se están cargando Internet. Internet es un sitio donde compartimos cultura y nos la están quitando.</li>
<li>Es injusto que se penalice a gente que usa los servicios en la nube de forma legítima por culpa de otros que no la usan tan bien.</li>
<li>Pues el gordo de megaupload estaba haciendo negocio a base de otra gente, está bien que alguien se ocupe de él.</li>
</ul>
Lo primero, es una absoluta chorrada lo de que hay que compartir la "cultura" (e incluír como parte de tal cultura <i>reggaeton</i> y películas como <i>Crepúsculo</i>). Será cultura o todo lo que tú quieras, pero las cosas no son gratis. Si alguien ha hecho una canción, videojuego o película tiene todo el derecho del mundo a cobrar por él, si es descabellado el precio o no es su problema, no el mío.<br />
<br />
Otra cosa es ya querer cobrar cada vez que se reproduce una canción o una película, e incluso cánones como el de la SGAE "por si acaso se piratea". Que yo sepa aquí todos <strike>somos</strike> éramos inocentes hasta que se demuestre lo contrario. Eso sí es una locura. Entonces un arquitecto debería empezar a plantearse cobrar cada vez que alguien entra en su edificio, por ejemplo.<br />
<br />
Si te bajas música o estrenos, guay, yo también tengo el uTorrent a fuego muchas veces, pero no tengas la cara de quejarte de que cuando te quitan eso te están robando la libertad o la cultura. Libertad se la están quitando a aquellos que usan eso de forma legítima, y pagan los platos rotos de varios incompetentes que no saben adaptar las leyes a los nuevos tiempos, por lo tanto estoy completamente de acuerdo con el segundo punto.<br />
<br />
Respecto a la última "opinión popular", Kim Dotcom podría ser consciente evidentemente de lo que estaba pasando con su servidor y de por qué era usado tanto. Sin embargo él no tenía culpa de nada. Ofrecía un servicio en la nube como <a href="http://www.dropbox.com/">DropBox</a>, y la gente empezó a llenarlo de archivos con Copyright. Pero hasta donde yo sé <b>Megaupload</b> sólo recibió una denuncia (de la web Perfect 10) y no tuvo mayor problema que llegar a un acuerdo secretamente con dicha compañía. <b>Megaupload </b>estaba más implicada en contra de la piratería de lo que muchos parecen querer recordar. Todos aquellos que éramos fans de la descarga directa, ¿podéis decirme cuánto duraban los enlaces que estaban sin proteger por contraseña, por ejemplo en <b>Taringa</b>? A veces caían en incluso horas.<br />
<br />
Incluso se le daba acceso a la industria a estas páginas de descarga directa, como pasó con la <a href="http://www.adslzone.net/article7286-la-industria-admite-que-borra-archivos-en-descarga-directa-de-forma-indiscriminada.html">Warner cuando se puso a borrar archivos indiscriminadamente que llevaran el nombre de sus películas.</a>Venga ya.<br />
<br />
Evidentemente con todo esto no quiero defender a la <i>industria</i>. Sólo doy la opinión de lo que me parece justo. Es evidente que están abusando de nosotros. Libros carísimos, versiones incluso para <b>Ebook</b> casi más caras que las versiones normales, videojuegos y películas más caros en España que en el resto de la Unión Europea, incluso a veces del orden del doble de caros, y precios del cine que en mi zona rondan ya los 7€ y algo.<br />
<br />
Sin embargo, cuando nosotros vemos algo que está a un precio injusto, no lo robamos. Si un coche nos parece carísimo, no vamos y lo robamos. La diferencia con la piratería es que que tú "robes" no quita nada a nadie realmente. Así lo veo yo al menos. Yo hay un montón de películas y grupos de música que no conocería si no fuera porque me los he bajado, nunca hubiera pagado un duro por ellos.<br />
<br />
No obstante no me siento mal y soy una persona que descarga música, películas y juegos.<br />
<br />
Gracias a descargarme música, conozco a grupos de los que nunca había oído hablar y cuando dan un concierto intento ir a verlo, llevando ellos ganancias mías que nunca habrían llevado de otra forma.<br />
<br />
Lo mismo con los juegos, estoy harto de jugar demos donde parece que el juego es tremendo, luego comprármelo por 60€ y darme cuenta de que el juego es una basura y que la demo que jugué tenía lo mejor del juego y el resto es una basura. Sin embargo si me bajo un juego y me gusta es muy fácil que me lo compre para disfrutar de las ventajas añadidas que te ofrece un juego al ser legal (juego online, parches automáticos y no pelearte con cracks, saber que la gente que lo ha hecho está siendo recompensada, etc.)<br />
<br />
Para las películas otro tanto, me gusta mucho ir al cine y voy todo lo que mi bolsillo me permite. Pero además me bajo las películas que mi dinero no da para ir a ver, y si me gustan es muy posible que pase por el carrefour un día delante de las cajas de películas en oferta y diga "anda, ésta fue la peli que me gustó pero que vi en mala calidad, me la voy a comprar que trae los extras y mariconadas varias". O si no que le diga a un amigo cuando me pida recomendación para ir al cine "oye, vete a ver ésa peli que me la bajé el otro día y estaba muy bien".<br />
<br />
Eso sí, ésto es un "mientras cuela cuela". No se le puede echar tanto valor de quejarse cuando te quitan lo que no es tuyo, y que tú crees que te pertenece por derecho. No es así.<br />
<br />
La <i>industria</i> tiene que ponerse las pilas. Las televisiones ya están poniendo las series online, con publicidad, y con sus ganancias para ellos, como tiene que ser. Al mismo tiempo intentan abrirse paso alternativas como <a href="https://youzee.com/">Youzee</a>, aunque lo poco que he probado no me ha gustado nada. Los americanos ya tienen <a href="https://signup.netflix.com/">NetFlix</a> funcionando bien desde hace tiempo. Lo mismo con servicios de música como <a href="http://www.spotify.com/">Spotify</a>. Y en <a href="http://store.steampowered.com/">Steam</a> por ejemplo se encuentran a veces ofertas realmente buenas de videojuegos.<br />
<br />
Sólo es cuestión de evolucionar... <br />
<br />
Mientras tanto, a aprovechar el <b>Torrente</b> que están intentando tirar la <b>Bahía del Pirata</b> por todos lados... Y la gente que tenía cuenta Premium y/o archivos personales en<b> Megaupload</b>, espero que tengáis suerte.<br />
<br />
Lamento el tostón y me gustaría ver comentarios. Nos vemos!Uxíohttp://www.blogger.com/profile/12995350528866287128noreply@blogger.com0tag:blogger.com,1999:blog-4813649207014214869.post-39232472005853880332012-02-03T00:08:00.001+01:002012-03-16T23:59:42.961+01:00Cursos universidades OnlineLa verdad, hoy en día quien no aprende es porque no quiere. Y eso lo están demostrando varias facultades poniendo todo el material de las clases, incluyendo muchas veces las propias clases grabadas en vídeo, hasta incluso con subtítulos.<br />
<br />
Me parece un avance tremendo. No todo el mundo puede ir al MIT, pero gracias a ésto los mortales de a pie podemos ver las clases desde casa. Tiene la desventaja por supuesto de que no tienes alguien que te resuelva las dudas, pero oye, ¿qué más puedes pedir?<br />
<br />
Para mí la mejor opción es <a href="http://ocw.mit.edu/courses/">OpenCourseWare del MIT (OCW)</a>, más concretamente el curso de informática sería <a href="http://ocw.mit.edu/courses/#electrical-engineering-and-computer-science">éste</a>.
Tenemos otras opciones como la <a href="http://webcast.berkeley.edu/">Universidad de Berkeley</a> y la lista que aparece en <a href="http://www.jimmyr.com/blog/1_Top_10_Universities_With_Free_Courses_Online.php">esta web</a>, que miraré un día con calma.<br />
<br />
Por último, comentar que la universidad de Stanford ofrece unos cursos muy interesantes a partir de Febrero de 2012, como <a href="http://www.crypto-class.org/">Criptografía</a> y <a href="http://www.security-class.org/">Computer Security</a>. Hubo uno también de <a href="https://www.ai-class.com/">Inteligencia Artificial</a> que espero que se vuelva a repetir<br />
<br />
Es una lástima que el tiempo no de para todo...
Espero que os sea útil y si conoceis algunas opciones más, sobre todo orientadas a la informática, hacédmelo saber en los comentarios. Muchas gracias.<br />
<br />
¡Un saludo!<br />
<br />
EDITO: Un comentario me ha llevado a la página <a href="http://udacity.com/">udacity.com</a>, interesantísima.Os la recomiendo.Uxíohttp://www.blogger.com/profile/12995350528866287128noreply@blogger.com2tag:blogger.com,1999:blog-4813649207014214869.post-43787778109525592372012-01-19T23:23:00.005+01:002012-01-19T23:54:30.013+01:00Nota de prensa de The Pirate BayCon motivo del cierre de megaupload, me he animado a traducir la nota de prensa de ayer de The Pirate Bay al español para que más gente pueda acceder a ella.<br />
<br />
<b>INTERNET, 18 de Enero 2012.<br />
NOTA DE PRENSA, PARA PUBLICACIÓN INMEDIATA.</b><br />
<br />
Hace más de un siglo de Thomas Edison obtuvo la patente para un dispositivo que "haría para el ojo lo que el fonógrafo hace para el oído". Lo llamó el kinetoscopio. Edison no sólo está entre los primeros en grabar un video, si no que fue también el primero en tener el copyright sobre una película.<br />
<br />
Por las patentes de Edison para las películas parecía casi financieramente imposible crear películas en la Costa Este NorteAmericana. Los estudios de cine por ello se trasladaron a California, y se fundó lo que hoy llamamos Hollywood. La razón era sobre todo porque no había ninguna patente. Tampoco había ningún derecho de autor del que hablar, por lo que los estudios podrían copiar las viejas historias y hacer películas - como Fantasia, uno de los mayores éxitos de Disney.<br />
<br />
Por lo tanto, toda la base de esta industria, que hoy está sufriendo por la pérdida de control sobre los derechos inmateriales, es queellos eludieron los derechos inmateriales. Ellos copian (o puesto en su terminología: "roban") las obras y trabajos creativos de otra gente, sin pagar por ello. Lo hicieron con el fin de obtener un beneficio enorme. Hoy en día, son todos exitosos y la mayoría de los estudios están en la lista Fortune 500 de las empresas más ricas del mundo. Felicidades - ¡Todo está basado en ser capaz de volver a usar los trabajos creativos de otras personas. Y hoy tienen el derecho a lo que los demás crean. Si quieres conseguir que algo se publique, has de acatar sus reglas. Las reglas que crearon para evadir las reglas de otra gente.<br />
<br />
La razón por la que siempre se están quejando sobre los "piratas" es simple. Hemos hecho lo que hicieron. Hemos eludido las normas que crearon y creamos las nuestras. Aplastamos su monopolio por darle a la gente algo más eficiente. Permitimos a personas tener una comunicación directa entre ellos, eludiendo al provechoso intermediario, que en algunos casos se lleva más del 107% de los beneficios (sí, usted paga para trabajar para ellos). Todo se basa en el hecho de que somos la competencia. Hemos demostrado que su existencia en su forma actual ya no es necesaria. Sólo somos mejor que ellos.<br />
<br />
Y la parte divertida es que nuestras normas son muy similares a las ideas fundadoras de los EE.UU. Luchamos por la libertad de expresión. Vemos todas las personas como iguales. Creemos que el público, no la élite, debe gobernar la nación. Creemos que las leyes deben ser creadas para servir al público, no a las corporaciones ricas.<br />
<br />
The Pirate Bay es una verdadera comunidad internacional. El equipo se extiende por todo el mundo -, pero hemos mantenido al margen de EE.UU. Tenemos raíces suecas y un amigo sueco, dijo lo siguiente: La palabra SOPA significa "basura" en sueco. La palabra PIPA significa "un tubo" en sueco. Esto por supuesto no es una coincidencia. Quieren hacer de Internet un tubo de un solo sentido, con ellos en la parte superior, empujando la basura a través de la tubería hasta el resto de nosotros, los consumidores obedientes. La opinión pública sobre este asunto es clara. Pregunte a cualquier persona en la calle y te enterarás de que nadie quiere ser alimentado con basura. Por qué el gobierno de EE.UU. quiere que la gente americana sea alimentada con basura va más allá de nuestra imaginación pero tenemos esperanza en que los pararéis, antes de que todos nos ahoguemos.<br />
<br />
SOPA no puede hacer nada para detener la TPB. En el peor de los casos cambiaremos nuestro dominio superior desde el actual .org a uno de los cientos de nombres que también usamos. En los países donde TPB está bloqueado, China y Arabia Saudita me vienen a la mente, bloquearon cientos de nuestros nombres de dominio. ¿Y funcionó? En realidad no. <br />
<br />
Para solucionar el "problema de la piratería" hay que ir a la fuente del problema. La industria del entretenimiento dice que están creando "cultura", pero lo que realmente hacen es algo como la venta de muñecos de peluche sobrevaloradorados y haciendo que niñas de 11 años se vuelvan anoréxicas. Ya sea desde trabajar en las fábricas que crean las muñecas por básicamente ningún sueldo o viendo películas y programas de televisión que les hacen pensar que están gordas.<br />
<br />
En el gran juego "Civilization" de Sid Meiers se pueden construir maravillas del mundo. Una de las más poderosas es Hollywood. Con ella controlas toda la cultura y los medios de comunicación en el mundo. Rupert Murdoch estaba contento con MySpace y no tenía problemas con su propia piratería hasta que fracasó. Ahora se está quejando de que Google es la mayor fuente de piratería en el mundo - porque está celoso. Él quiere mantener su control mental sobre la gente y claramente se obtendría una visión más honesta de las cosas en Wikipedia y Google que en Fox News.<br />
<br />
Algunos hechos (años, fechas) probablemente están equivocados en este comunicado de prensa. La razón es que no podemos acceder a esta información porque la Wikipedia está blacked out (en negro, apagada). Debido a la presión de nuestros fracasados competidores. Lo sentimos por ello.<br />
<br />
The Pirate Bay, (K) 2012<br />
<br />
El original, aquí: http://static.thepiratebay.org/legal/sopa.txtUxíohttp://www.blogger.com/profile/12995350528866287128noreply@blogger.com0