Actualizado: DrNo hace una importante observación en los comentarios.Así que toca rectificar algunas cosas.

Dan Kaminsky es un conocido researcher que va y descubre uno de las fallos más graves en la historia de Interneeer. Tampoco voy a hablar del impacto del fallo porque creo que está todo dicho. De los de apagar el ordenador y meterte debajo de la mesa. Bien, el tio va y hace lo que hay que hacer, contactar con el CERT para coordinar con todos las empresas afectadas un parche etc,etc… Y que más hace, pues prepara una charla en la conferencia más importante de seguridad informática actualmente, el BlackHat, donde revelará todos los detalles sobre la vulnerabilidad. Entre esta charla y la liberación de los parches por parte de las empresas afectadas existe un intervalo de tiempo suficiente para que se parchee todo los DNSs vulnerables.

Pero aquí empieza la juerga. Con las vagas descripciones sobre los parches liberados la gente empieza a especular sobre el verdadero impacto del fallo, la gente se engorila y empiezan a atacar directamente a Kaminsky acusándole de sobredimensionar la movida y demás.
Uno de los tantos que elige ese camino es Thomas Ptacek, el cherif de matasano que viene dedícándose a esto desde hace mil o más. No tiene que demostrar nada porque cualquiera que siga su trabajo sabe que es uno de los mejores. Kaminsky contacta con él para explicarle los detalles del fallo y Ptacek rectifica, dándole el impacto que realmente tenía.

Halvar Flake, que no es de los que fué contactados por Kaminsky para recibir en privado los detalles de la vulnerabilidad, pues especula en una entrada de su blog sobre por donde pueden andar los tiros. Nada que objetar, puede ser o no puede ser, pero son especulaciones fruto de la curiosidad de otro de los mejores investigadores actuales.
(más…)

Visto que con las vacaciones, las prequals y demás todo el mundo ha pasado de este reto pues ya va siendo hora de sacar la solución. La falla en cuestión se encontraba en la base de datos Ora.., digo, IBM DB2 v9.5 para Windows y era una escalada de privilegios local.Esta falla era realmente fácil de encontrar: Descargamos el enorme paquete de instalación desde el sitio de IBM, lo instalamos y lo primero que haría cualquiera es ver con Process Explorer que es lo que hacen más o menos los servicios que instala. Como podéis ver en la siguiente imagen, el resto es tontería:

(más…)

Siguiendo con las entrevistas a personas que creemos representativas dentro del mundo de la seguridad informática, en esta ocasion hemos pillado «in fraganti» a MrJade, del extinto grupo WKT!. Whiskey Kon Tequila! fue uno de los grupos dedicados a la ingeniería inversa y desprotección de software (cracking) que contaron con mayor reconocimiento en la scene internacional.

Han pasado unos 7 años desde que se extinguiera el grupo, pero seguro que muchos de quienes hoy día se dediquen al analisis y auditoría de software, recordarán todavía sus tutoriales.

(más…)

Nos escriben desde Panda para que demos a conocer una promoción que están llevando a cabo con motivo del lanzamiento de la Beta de Panda Internet Security 2009. Después de poder ganar un bocadillo de Nocilla, puedes ganarte una Nintendo DS para el veranito, y así entrenar el cerebro con el Brain Training, los ojos con el Sight Training y tu capacidad alcoholica y hortera con «Chiringuito Training – Benidorm Edition», aprenderás a zamparte el último calamar de la ración sin quedar mal.

————
[…] hemos puesto en marcha una promoción según la cual los 150 primeros betatesters que prueben la solución y envíen a Panda Security incidencias desconocidas hasta ese momento, conseguirán una consola Nintendo DS, directamente y sin sorteos. Además, todos aquellos usuarios que hayan reportado alguna incidencia, gozarán de un 50% de descuento al adquirir el producto final.
De esta manera, queremos crear una comunidad de betatesters que participen activamente ayudándonos a mejorar el producto antes de su lanzamiento definitivo.
————

La letra pequeña es la siguiente:

—
(1) Podemos definir Incidencia como el resultado de un fallo o deficiencia durante el proceso de instalación, funcionamiento o desinstalación del antivirus. Se catalogarán igualmente como incidencias aquellas deficiencias relacionadas con la interacción de nuestro antivirus con otras aplicaciones, errores de detección y errores de actualización del producto de Panda.

El BetaCenter de Panda Security ponderará la calidad de la incidencia reportada, dando prioridad a aquéllas que no se encuentren incluidas en el documento «Errores Conocidos» que se entrega a todos los usuarios cuando se descargan la versión beta.
—

No está claro si los fallos de seguridad se consideran incidencias así que los comentarios quedan abiertos para las aclaraciones pertinentes.

Hasta el momento se han repartido 11 Nintendos, asi que todavía quedan unas cuantas.
http://www.pandasecurity.com/spain/promotions/betatest/

La laaaa,

Hoy el leido la noticia esa de que en España se ha establecido un canon de 0,17 euros para CD y de 1,10 para móviles . Y no voy a decir que esto es un error y un completo engaño sino que me gustaría hacer unas preguntas simples (acaso para poder realizar las anteriores afirmaciones con conocimiento de causa). Creo que todos deberiamos ser capaces de responderlas (al menos aproximadamente), pero reconozco que no es mi caso. Así que me aprovecho del blog, oiga usted, a ver si algun culto lector (ja!) me saca del desconocimiento 🙂

Mis preguntas son:

A) ¿El dinero recaudado a traves de ese canon, quien lo administra(gobierno-SGAE)?

B) ¿El dinero recaudado a traves de ese canon en manos de quien termina (Julio Iglesias-SGAE)?

C) ¿Como se hace un calculo sobre a quien afecta más la piratería para hacer un reparto equitativo equivalente del dinero recaudado a traves de ese canon (si es que se hace cosa semejante)?

Sé que el tema es un poco offtopic con respecto a otros temas técnicos, pero me parece lo suficientemente interesante conocer las respuestas como para plantearlas de todos modos. Hace tiempo, despues de oir un rato hablar sobre el Euribor, pregunté a un grupo de gente entre los que había varias personas pagando hipoteca si alguien podía decirme como se calculaba el Euribor (porque yo no lo sabía entonces) y nadie supo contestarme. Creo que esta bien conocer por qué pagamos lo que pagamos por determinadas cosas.

El que no conozca la respuesta podría admitirlo también y  decir simplemente «hey Joe, I simply don’t care», pero pido no ser criticos con el canon en si, sino simplemente responder a las preguntas para no convertir esto en el tipico post de guerra.

Slds!