Un ejemplo de cómo Apple quiere maquillar vulnerabilidades en su software (Safari 4.0.5)

Publicado el Por dabo en Imperdonable, Mi Opinión, Soft | Novedades

Hola amigos, acabo de terminar de grabar con Oscar y Gorka la sección «Manzanas Traigo», dedicada al mundo Apple en el Podcast (el Sábado grabo con Forat «Kernel Panic», sobre GNU/Linux) y justo después, me ha llegado un aviso de nueva versión de Safari desde la lista de correo «Apple Security».

Hasta ahí todo normal, me digo; «nada, lo publico en Daboweb ahora», pero…mi sorpresa ha llegado cuando leyendo mis fuentes RSS, en algún lugar dedicado a noticias sobre el mundo de la manzana, leo que Apple sobre este update dice;

Se recomienda instalar esta actualización a todos los usuarios de Safari, ya que incluye mejoras del funcionamiento, la estabilidad y la seguridad de la aplicación como las siguientes:

Se ha mejorado el funcionamiento de Top Sites.
Se ha mejorado la estabilidad de los módulos de otros fabricantes.
Se ha mejorado la estabilidad de los sitios web con formularios en línea y gráficos SVG (Scalable Vector Graphics).
Se ha corregido un problema que impedía a Safari modificar la configuración de algunos routers Linksys.
Se ha solucionado un problema que impedía a algunos usuarios de iWork.com añadir comentarios a documentos.
Para obtener información detallada acerca del contenido de seguridad de esta actualización, visite la siguiente página web: http://support.apple.com/kb/HT1222?viewlocale=es_ES.

Y claro, luego para colmo, en un blog muy visitado sobre Apple (contra el que no tengo nada vaya por delante), leo que corrige varios bugs pero «muy repetitivos» y es en ese momento cuando me voy al enlace de arriba, donde Apple dice;

Para obtener información detallada acerca del contenido de seguridad de esta actualización, visite la siguiente página web: http://support.apple.com/kb/HT1222?viewlocale=es_ES.

Y no hay nada !!! sobre lo que se ha corregido en esta versión hablando de seguridad. Claro, al final quizás lo acaban metiendo en esa «pseudo-sección» dedicada a las actualizaciones de seguridad de Apple, pero en lugar de desinformar, lo que deberían hacer es indicar claramente cuales son las vulnerabilidades corregidas.

No pido que tengan la transparencia que se lleva a cabo y que compruebo cada día en el mundo de GNU/Linux y el software libre en general, o que puedo leer a diario por ejemplo en las listas de correo de seguridad de Debian, no la pido porque es incompatible con su forma de actuar y de llevar el negocio como tengan a bien.

Pero una compañía que se jacta de ser todo lo contrario a Microsoft, desde luego que al final hablando de seguridad lo es, ya que por lo menos, un usuario de Windows puede saber exactamente sin estar suscrito a ninguna lista de correo de seguridad, que parches y «por qué» se actualiza el software que tiene instalado, sin ser Microsoft históricamente una compañía ejemplar informando sobre la seguridad de sus productos.

Esta forma de actuar frente a la seguridad (por oscuridad u omisión que igual ahí me excedo), me parece totalmente irresponsable ya que el usuario de Windows o Mac OS X que use Safari, debe saber que si no se realiza esa actualización, quedará expuesto a vulnerabilidades que van desde errores de corrupción de memoria, un cierre inesperado de la aplicación o, lo que es más importante, desbordamientos del búfer o la ejecución de código arbitrario en el sistema afectado, desde viendo imágenes manipuladas especialmente con un determinado perfil de color incrustado (también Tiffs o BMP manipulados, hablando de Windows), pasando por el salto de restricciones en la opción de aceptar cookies o no leyendo fuentes RSS, o múltiples bugs en su potente motor «Webkit» visitando sitios webs manipulados para lograr la ejecución de código arbitrario mientras se procesan ciertos ficheros HMTL o XML, etc, etc.

La lista completa de bugs corregidos para que podáis ver a  lo que me refiero (que ahí si que se dice con claridad) está en la entrada que he publicado en Daboweb sobre el lanzamiento de Safari 4.0.5.

¿Es inseguro o un mal producto Safari? si no se actualiza si, un mal producto desde luego que no si nos referimos a esta actualización. Yo navego con Iceweasel, (Firefox según la política de licencias y filosofía de Debian) y estos bugs son habituales en cualquier navegador o software, se parchean y fn del problema, (que a veces también en Firefox se han heredado bugs y «torpedos» de meses atrás, ojo) lo que no es tan habitual, es que prevalezcan a la hora de informar al usuario las mejoras en «Top Sites» o que no puedas hacer comentarios a documentos en iWork.com…

Este tipo de actuaciones y detalles tan «sutiles» para vender una imagen que no se ajusta a la realidad, hacen que para mi, Apple hablando de software, (sobre su hard, uso Debian en un MacBook y después de 3 años el resultado es de 10) tenga muy poca credibilidad y más bien parezca que quieren seguir vendiéndole al usuario tipo de Mac OS X (que de tonto no tiene un pelo), esa moto de «Hala, sé feliz produciendo que nosotros nos preocupamos de todo».

Y luego vienen los disgustos porque claro, cuando no dices claramente «Actualiza que puede ser que dejes de producir tan felizmente», el usuario medio puede pensar «No tengo un router linksys que configurar, tampoco uso iWork.com así que ¿para qué actualizar?».

Es sólo mi opinión, no soy quien para dar ejemplos de ética o actuaciones impecables, Mac OS X es un buen sistema operativo, pero es difícil abstraerse del tufillo a realidad maquillada que Steve Jobs imprime a muchas aspectos del funcionamiento de la compañía.

En 4 líneas (GNU/Linux)

Publicado el Por dabo en En 4 líneas, GNU/Linux, Hacking | Redes, Software | CMS, Webmaster

En 4 líneas…

gnu_linux

1-Nueva versión de un imprescindible, OpenSSH (la 5.4). Novedad;  «netcat mode», corrige bugs leves (ENG).

2-Importante release, Servidor web Apache versión 2.2.15 (ENG). Corrige bug en SSL y otros de importancia.

3-Forat sigue con su proyecto de servidor web, en la última entrega (usando el servicio de DNS «no-ip).

4-Las 10 apps Open Source más descargadas de la historia (lo de alguna de ellas ni me lo imaginaba). (ENG).

Usando Bing (de Microsoft) como traductor en lugar de Google Translate

Publicado el Por dabo en Mi Opinión, Webmaster

Bueno, al final sigo siendo usuario de Microsoft xD, no es que vaya a aumentar mucho su cuenta de explotación pero algo es algo ¿no?.

Ahora más en serio, desde hace mucho tiempo usaba Google Translate para darle una forma inicial a algún texto que casi siempre acaba aquí o en Daboweb, pues bien, no recuerdo como un día empecé a usar Bing Translator y con el paso de varias semanas, ahora tiene un lugar en la barra de marcadores de mi Iceweasel.

Y es que, partiendo de la base de que la mayoría de las traducciones en línea son un fiasco, Bing con textos algo técnicos ,(hablando de informática, no sé en otras cuestiones que tal irá) no se desenvuelve nada mal y como a mi me va bien con él, sólo entro de puntillas para haceros esta recomendación. A pesar de las mejoras que veo, está claro que te servirá para usarlo a modo de grandes rasgos e ir desarrollando después, no «de primeras».

Ya me contaréis en los comentarios si usáis otros métodos (aplicaciones, Widgets, etc) para estos fines -;)

Análisis forense Open Source de dispositivos Android ¿Ocultas algo?

Publicado el Por dabo en Hardware, Seguridad Informatica, Soft | Novedades, Tecnología

A nadie se le escapa que los dispositivos móviles en los tiempos que corren, son cada vez más avanzados. También los usos van mucho más allá de lo que podíamos pensar hace dos o tres años, usos perfectamente lícitos o no tanto (no me corresponde a mi desde luego juzgarlos).

AndroidEl análisis forense de dispositivos móviles ya se viene haciendo desde hace tiempo con aplicaciones comerciales, pero al igual que sucede con el hardware o redes con las que interactuamos habitualmente, la comunidad de desarrolladores orientada hacia el software de código abierto, desde los inicios de la informática moderna, nos ofrece herramientas superan con creces en la mayoría de los casos a las de código cerrado o de pago (ejemplos como Nmap, Nessus, Snort, John the Ripper, Hping, Netcat y un largo etc pueden ser válidos).

Y aquí es donde entra en acción esta versión aún en estado Beta de «Android Forensics», una herramienta que se acaba de liberar bajo licencia GPL, (se está desarrollando en «code.google.com«) destinada al análisis forense de dispositivos Android. Rapidez, ligereza y eficacia es lo que se puede leer acerca de esta aplicación.

En el momento de su lanzamiento, el software, (un fichero APK) que se carga en el dispositivo a través del SDK de Android, puede ahora mismo devolver información muy valiosa sobre historial del navegador, registros de llamadas realizadas, datos sobre los contactos almacenados o mensajes cortos (SMS) que se descarga para su análisis posterior a través de un archivo CSV en una tarjeta SD por ejemplo.

De todos modos, puede que noticias como estas hagan que si tienes un móvil con Android, te entre como una sensación de quedarte «con el culo al aire» (que se entiende bien-;) en caso de que pierdas o te roben tu teléfono. Sobre este aspecto te diría que seguramente, en al anterior ya era perfectamente posible acceder a esa información, sólo te recomendaría en el caso de que tengas información sensible en el móvil, que pongas en práctica las medidas necesarias para protegerla de miradas ajenas y que, gracias a aplicaciones como estas, podrás tu mismo saber cuál es el grado de acceso a esa información caso de que caiga en manos de terceros.

¿Ocultas algo? estás en todo tu derecho, pero hay un nuevo «poli» en la ciudad, así que Forat bro xDD, ten cuidado ahí fuera -;).

Fuente | > Más información en VIAFORENSICS. (ENG).

GNU/Linux + Mac OS X + rEFIt en un MacBook y nueva partición (consejo)

Publicado el Por dabo en Debian, GNU/Linux, GNU/Linux & MB

Vaya título ¿eh?, lo sé, no sabía como exponerlo mejor, me gusta que el título de un post sea lo suficientemente descriptivo como para que quien lo lea vía su lector de RSS, decida si le apetece leerlo o informarse más a fondo.

Es una entrada rápida, a modo de recordatorio para comentaros que si hacéis algún cambio en una de vuestras particiones de GNU/Linux (en mi caso ando pegándome con la Swap y la suspensión-hibernación en Debian Sid), no olvidéis desde el menú de rEFIt, acceder a la opción «partition inspector» que se ve en el arranque (la segunda por la izquierda) y una vez dentro, cuando os pregunte si queréis «remapear» las particiones, contestéis «si» (y).

De todos modos, nada más acceder a esa opción, caso de que sea necesario rEFIt os dirá que hace falta hacer ese cambio para que reconozca la nueva tabla de particiones. Caso de que tengáis problemas, os recomiendo también acceder dos veces a Mac OS X y luego ir a la partición de GNU/Linux y arrancar normalmente.

Sé que parece una chorrada, pero tanto Diego como yo podemos dar fe de que no lo es o al menos, puede ser una «chorrada» ilógica del todo pero que funciona (también es aconsejable borrar completamente rEFIt tal y como explican sus creadores y volver a instalar si seguís con problemas).

Pero sobre todo os quiero ahorrar quebraderos de cabeza pensando que el problema es GRUB cuando en muchos casos no lo es. Suerte con la «maldita» partición EFI necesaria para el arranque dual o triple en un MacBook -;).

DaboBlog Podcast, nº12. Kernel Panic y Manzanas Traigo

Publicado el Por dabo en DaboBlog Podcast, GNU/Linux, GNU/Linux & MB

tuxipod.jpgEste podcast tiene una duración de 82 min y otra vez ha sido «Manzanas Traigo» quien se ha llevado la palma en cuanto a duración, está claro que con la incorporación de lur en la sección de Apple, se nota que somos 3, pero Gorka ya se ha ganado sus adeptos -;)

En esta entrega, estoy acompañado enKernel Panic(mundo GNU/Linux) de Diego (N1mh) (El sueño del mono loco, El taller de las palabras y La Curuxa) y en Manzanas traigode Oscar Reixa. (Planeta Mac, Planeta iPod, Planeta iPhone, Planeta iPad, etc) además de nuestro flamante  «usuario» «becario» xD Gorka Lasa (lur).

Muchas gracias a todos por vuestro apoyo que se nota y es además continuado, agradecemos como siempre cualquier sugerencia en pro de mejora o la inclusión de nuevos contenidos.

Contenidos de este episodio; (82 min de duración).

Intro (00:00 hasta el 5:00) Un día después de la ciclogénesis explosiva… (Dabo).

Kernel Panic (Diego y Dabo) Novedades Debian (instalador), el terminal, filosofía, Virtualización,  (Minuto 5:00 hasta el 39:00).

Manzanas traigo (Oreixa, lur y Dabo) Nuestra nomenclatura !, más sobre el Flash y su situación actual, novedades iPhone, Car Kit Tom Tom, Sketchpad, Solidworks, ¿nuevos Mac Pro?, política de la Apple Store, etc. (Minuto 39:00 hasta el 82).

Enlaces relacionados;

Flash; Por qué no puede usarse en el iPad

Sketchpad; Un ejemplo brillante usando estándares

Música;

Toda de Actual Proof, (Sunset Leaves, Necessary Spring, Venus in Cancer, World Traveler), con Creative Commons, su sección en Sound Click, contando además con el permiso explícito de su autor, mi colega Marc (saludos desde España-;).

El podcast está alojado en ivoox.com en el canal «DaboBlog Podcast» donde además os podréis suscribir tal y como os indico debajo en los enlaces junto al audio para que os resulte más sencillo. Debajo el super banner de Forat ;D.

DaboBlog Podcast nº12, «Kernel Panic» y «Manzanas traigo».

Ficha completa en ivoox.com

[audio:http://www.ivoox.com/daboblog-podcast-n-12-kernel-panic-manzanas-traigo_md_221205_1.mp3|titles=DaboBlog Podcast nº12 – Kernel Panic – Manzanas traigo -|artists=Por Dabo Diego Oreixa y lur]

Baja > el audio. Escuchar o descargar. (Navegadores, lectores de feeds o móviles sin Flash)

Suscríbete al canal en iTunes ico.itunes | en iGoogle ico.igoogle | tu lector de RSS ico.rss

¿ No ves el reproductor integrado vía tu lector de RSS?, entra con tu navegador web por favor -;)

Nos volvemos a escuchar en la siguiente entrega del podcast (15 de Marzo de 2010)

Archivo del Podcast;

DaboBlog Podcast nº1

DaboBlog Podcast nº2

DaboBlog Podcast nº3

DaboBlog Podcast nº4

DaboBlog Podcast nº5

DaboBlog Podcast nº6

DaboBlog Podcast nº7

DaboBlog Podcast nº8

DaboBlog Podcast nº9

DaboBlog Podcast nº10

DaboBlog Podcast nº11

Cómo ayudar en el desarrollo de Iceweasel (Firefox según Debian).

Publicado el Por dabo en Debian, Firefox | Iceweasel, GNU/Linux, Soft | Novedades

Si alguno se anima en la medida que pueda a ayudar al desarrollo de Debian Iceweasel (Mozilla Firefox hecho según la política de desarrollo y licencias de Debian GNU/Linux).

Debajo os pongo el mensaje que nos dejan cuando actualizamos a la versión 3.5.8 (no es nuevo de hecho). En Daboweb hemos publicado algo sobre estas nuevas versiones hablando de Firefox (3.5.8 y 3.0.18).

¡Iceweasel necesita tu ayuda!

Hay muchas formas de ayudar a mejorar Iceweasel sin ser desarrollador:

También hay muchas maneras de ayudar siendo desarrollador ;).

En todos estos casos, te interesará contactar con la lista de pkg-mozilla-maintainers

Así que ya sabéis, yo colaboro en lo que puedo reportando algún bug caso de que vea un fallo o algo susceptible de mejora, pero quizás seguro a ti se te da mejor el diseño que a mi y te atrevas con el nuevo logo, si te animas a apoyar a Iceweasel en la medida de tus posibilidades todos te lo agradeceremos -;).

5º Congreso fotográfico Caborian, ya hemos abierto la inscripción -;)

Publicado el Por dabo en Dabo | Personal, Diseño | Imagen, Fotografía, Otras Webs | Blogs

Pues si amigos, la quinta entrega de nuestro Congreso Fotográfico Caborian que se celebrará en Gijón esta Semana Santa, ya está en marcha. Será como en el anterior en la Universidad Laboral de Gijón > (Enlace).

Acabamos de publicar el programa completo (si, repito charla pero esta vez renovada y con Karbonato) así como los talleres disponibles (Strobist, procesado fotográfico, retrato, Lightroom y macro). Hemos intentado ajustar al máximo los precios de inscripción así como los de los talleres, porque las cosas no están para muchas fiestas -;).

Así que ya sabéis, si alguno de los habituales de por aquí se anima, nos veremos en Gijón. (Igual Oreixa y yo nos marcamos un «Manzanas Traigo» para el podcast en directo-;). Por supuesto que mi charla la daré bajo Debian por lo que GNU/Linux (junto a mi camiseta, no sé si llevaré esta…xD) tendrá su hueco en el evento. Otro tema es que tenia la base de la anterior pero quizás cambio el formato…

Programa oficial;

Día 31 de marzo
Tarde (Universidad Laboral, Gijón):
Entrega de acreditaciones
Ceremonia de inauguración
Cocktail de bienvenida

Día 1 de abril
09:45 encuentro en el patio de la Laboral
10:00 Comienzo de los talleres y de las salidas fotográficas
15:00 Comida
16:30 Charla “Fotografía deportiva” por Carles Costa y Adrián Mateos
18:15 Descanso
18:30 Charla “Fotografía para conejos Reloaded y workflow digital” por David Hernández y Oriol Morte
20:00 Cierre

Día 2 de abril
09:45 Encuentro en el patio de la Laboral
10:00 Comienzo de los talleres y de las salidas fotográficas
15:00 Comida
16:30 Foto de grupo en el patio de la Laboral
17:00 Tarde libre

Día 3 de abril
09:45 Encuentro en el patio de la Laboral
10:00 Comienzo de los talleres y de las salidas fotográficas
15:00 Comida
16:30 Mesa redonda : “Amateurs, Profesionales y Semi-profesionales, cómo cobramos nuestras fotos y como afecta ello a la profesión de fotógrafo actualmente”
17:45 Descanso
18:00 Entrega de los premios del concurso Fotocentro y Ceremonia de Clausura
19:00 Cierre
22:00 Cena-espicha en el Llagar de Cabueñes

Información sobre los talleres (Strobist, procesado, macro, lightroom y retrato)

Podéis acceder a la información al completo desde esta entrada de Caborian.

Inscripciones, información adicional, dudas, precios.

Hemos habilitado un subforo dedicado al 5º Congreso con toda la información necesaria.