lunes, 28 de junio de 2010

¿Java o .Net? La Película

Buenas a todos, hoy os quiero dejar en el blog un vídeo muy cachondo que han hecho los seguidores de Java :), y que como seguidor de .Net no me queda otra que reírme porque la verdad que está muy bien. A ver si los .Net-eros nos curramos un corto así :)

Disfrutarlo!:

P.D. Gracias a @Matzino por el mail con el vídeo.

domingo, 27 de junio de 2010

Windows 7 ya ha superado las 150 millones de licencias vendidas en el mercado

 windows_7_logo_blue_21[1]

En enero se superaron los 60 millones de licencias vendidas, en Marzo los 90 millones, y ahora los 150 millones, no cabe duda de que Windows 7 se ha convertido en el sistema operativo que mas rápido se ha vendido en toda la historia de la informática.

Una gran noticia para Microsoft y que acredita el gran trabajo que han hecho sus ingenieros con su último sistema operativo.

Nuestra enhorabuena para Microsoft.

saludos!

miércoles, 23 de junio de 2010

Zerodayscan, utilidad gratuita para revisar la seguridad de tu sitio web

logo[1]

Buenas a todos, en el post de hoy me gustaría hablaros del servicio que ofrece gratuitamente ZeroDayScan. 

ZeroDayScan es un servicio web que permite analizar algunas de las vulnerabilidades que pueden poner en peligro la seguridad de nuestras aplicaciones web. Las vulnerabilidades que detecta son las siguientes:

  • Analiza posibles XSS
  • Analiza posibles SQL Injections
  • Búsqueda de elementos mediante Fingerprinting
  • Vulnerabilidades de 0 day
  • Busca zonas ocultas en el sitio web

Como algunos pensaréis faltan muchas vulnerabilidades web muy importantes como las ldap injection, xpath injection. connection string parameter pollution, local file inclusión, remote file inclusion, path disclosure, path traversal…, pero por el precio que nos cobran menos es nada ¿verdad?

El procedimiento para analizar nuestro sitio web es muy sencillo, bastará con rellenar el formulario siguiente con los datos de la web y pulsar el botón START FREE SCAN:

image

Si el sistema detecta alguna vulnerabilidad nos enviará un email con un informe de los problemas encontrados, fácil y sencillo :)

Esta herramienta es muy útil para directivos y gente que no cuente con conocimientos en seguridad y esté preocupado por el estado de su web, aunque como consejo diré que este servicio detecta una parte (mínima) de los problemas posibles en una aplicación web y siempre es recomendable realizar auditorías completas. Para esta labor en concreto estoy desarrollando una herramienta partiendo como base de Anubis 1.0 (que podéis descargar también gratuitamente desde aquí) y de la que dentro de pocas semanas tendréis noticias en elblogdecalles.

Finalmente me gustaría realizar una reflexión, ¿que harán con todas las vulnerabilidades que encuentran en las web de sus usuarios? ¿las eliminarán? ¿harán una base de datos con todas ellas? si fuese así y alguien se hiciese con esta base de datos… alcanzaría mucho dinero en el mercado negro… ¿no creéis? =)

 

saludos!!

lunes, 21 de junio de 2010

MANUAL DE CIFRADO DE UNIDADES EXTRAIBLES CON LA HERRAMIENTA TRUECRYPT

Buenas a todos, en el post de hoy os voy a enseñar a crear unidades virtuales cifradas en vuestros pendrives o discos duros externos para proteger la información que lleváis en ellos.

Para el cifrado de unidades tenéis dos herramientas principalmente. La primera de ellas es Bitlocker para Windows Vista y Windows 7, para éste último con mejoras muy importantes; este sistema es muy recomendable, es nativo de Windows y por tanto no requiere instalar ningún software de terceros. En Windows Técnico escribió mi compañero Joshua un post al respecto:

http://www.windowstecnico.com/archive/2009/02/23/bitlocker-to-go-en-windows-7.aspx

La segunda de las herramientas mas recomendables para cifrar unidades es TrueCrypt, de la cual hoy os explicaré su instalación y uso completo. Es una herramienta gratuita y que podéis descargaros para todas las plataformas (Windows, Linux y Mac). La web oficial es la siguiente:

http://www.truecrypt.org/

CREACIÓN DEL VOLUMEN CIFRADO

En primer lugar, deberéis descargar la última versión disponible de TrueCrypt. Es un ejecutable.

clip_image002

Ejecutadlo. Aceptáis el acuerdo de licencia:

clip_image004

Seleccionáis la opción Install y pulsáis Next:

clip_image006

En este paso deberéis seleccionar la unidad donde se encuentra el PENDRIVE o el DISCO DURO EXTERNO que deseáis cifrar (también vale una unidad de vuestro PC, pero si lo instalamos en un dispositivo extraíble, podremos ver el contenido cifrado de nuestro volumen en cualquier ordenador sin necesidad de instalar TrueCrypt en él):

clip_image008

Pulsáis en Install. En pocos segundos el programa estará instalado en el PENDRIVE o en el DISCO DURO EXTERNO.

clip_image010

Pulsad OK. En este momento os preguntará si deseáis abrir la versión en línea del tutorial en el navegador web. Contestad que no y pulsad Exit.

Ya tenéis la herramienta TrueCrypt instalada. Arrancad el programa TrueCrypt desde vuestro PENDRIVE o DISCO DURO EXTERNO:

clip_image012

clip_image014

Pulsad en Create Volume y seleccionad la primera opción. Pulsad siguiente:

clip_image016

Seleccionad de nuevo la primera opción y pulsad siguiente:

clip_image018

Pulsad Select File y buscad el PENDRIVE O DISCO DURO EXTERNO e indicad un nombre para el fichero que almacenará el contenido del volumen cifrado. Cuando acabe pulsad Next.

clip_image020

clip_image022

Ahora deberéis elegir el algoritmo de hash y de cifrado. Dejad el algoritmo de encriptación AES y seleccionad el algoritmo Hash SHA 512:

clip_image024

Pulsad Next. Seleccionad el tamaño de la unidad que queréis cifrar. En el ejemplo he cifrado todo el PENDRIVE (900MB):

clip_image026

Pulsad Next. Ahora deberéis elegir la contraseña. Se recomiendan cadenas largas de 20 caracteres o más, con caracteres alfanuméricos y símbolos de puntuación:

clip_image027

Seleccionad el sistema de ficheros NTFS y mover el ratón lo más posible durante al menos medio minuto, para aumentar la aleatoriedad de la clave. A continuación pulsad Format:

clip_image028

Pulsad OK.

clip_image029


USO DEL VOLUMEN

Una vez creado el volumen cifrado deberéis montarlo en un nuevo volumen. Para ello volveréis a la ventana de TrueCrypt y elegiréis una letra de unidad, por ejemplo la K: y luego pulsáis en Select File:

clip_image030

Seleccionáis el fichero "VolumenCifrado" que creasteis en el paso anterior y pulsáis en el botón Mount. Se os pedirá la contraseña:

clip_image032

Pulsáis OK:

clip_image034

Si ahora hacéis doble clic sobre la unidad K, veréis que se comporta como cualquier otra unidad de disco de vuestro ordenador:

clip_image036

En este momento contaréis con una unidad de disco más, que estará cifrando vuestros datos en memoria sin necesidad de que introduzcáis la contraseña de nuevo.

Cada vez que enchuféis el PENDRIVE o DISCO DURO EXTERNO a un ordenador deberéis montar el volumen cifrado tal y como se ha explicado en este manual.

En caso de que se produzca un apagón inesperado del equipo, no se podrá acceder al contenido de la unidad cifrada hasta que no se monte el volumen de nuevo. Finalmente, para desmontar la unidad deberéis pulsar el botón Dismount.

Esto es todo por hoy, espero que os haya sido de utilidad el manual, cualquier duda dejádmela en un comentario.

 

saludos!

jueves, 17 de junio de 2010

Creación y modificación de documentos PDF y análisis de metadatos desde código C# (Parte II)

itextsharp[1] Buenas a todos, en el post de hoy vamos a continuar analizando documentos PDF desde código C#, pero esta vez desde una librería diferente que la que utilizamos en el post anterior. Tras realizar una gran batería de pruebas con la librería PDFSharp me di cuenta que las funciones implementadas en estas librerías daban algunos fallos con algunos documentos PDF, eran una minoría, pero me ha parecido interesante ofreceros otra alternativa a esta librería.

Hoy utilizaremos la dll “iTextSharp” (cortesía de mi amigo y compañero Luis), la podéis descargar desde el siguiente link (sourceforge.net):

http://sourceforge.net/projects/itextsharp/

El funcionamiento de las funciones de “iTextSharp” es igual de sencillo que con “PDFSharp”, hoy como ejemplo, aprenderemos a visualizar los metadatos principales de un documento PDF como son el autor, el título, la fecha de creación, el programa utilizado para crear el documento, etc.

En primer lugar agregaremos la dll a un nuevo proyecto. Una vez agregado añadiremos la siguiente directiva using:

using iTextSharp.text.pdf;

Después, crearemos una variable tipo string, donde almacenaremos la ruta del documento PDF que queremos analizar, en este caso por ejemplo analizaremos el manual de la herramienta anubis. E instanciaremos la clase PdfReader:

string path=”http://elblogdecalles.es/descargas/manual_anubis.pdf”;
PdfReader pdfReader = new PdfReader(path);

Una vez creado podremos acceder sencillamente a las claves de los atributos (autor, titulo, fecha de creación, etc.) de la siguiente manera:

foreach (string atributo in pdfReader.Info.Keys)
            {
                mostrarPorPantalla(atributo);
            }

Y a los valores de los atributos con el siguiente fragmento de código:

foreach (string metadato in pdfReader.Info.Values)
            {
                mostrarPorPantalla(metadato);
            }

El resultado final si lo imprimiésemos por pantalla sería el siguiente :

Title

ANUBIS: Manual de Usuario

Author

Juan Antonio Calles García

Subject

Herramienta para la automatización de los Procesos de Footprinting y Fingerprinting durante las Auditorías de Seguridad Informática

Creator

Microsoft® Word 2010

CreationDate

D:20100404172440+02'00'

ModDate

D:20100404172440+02'00'

Producer

Microsoft® Word 2010

¿Sencillo verdad?. En próximos post seguiremos destripando nuestros documentos PDF desde código C# y haciendo cosas mucho mas chulas :)

saludos!

martes, 15 de junio de 2010

Creación y modificación de documentos PDF y análisis de metadatos desde código C# (Parte I)

pdf-embedded[1] Buenas a todos, en la cadena de post que inicio hoy os voy a enseñar a tratar los documentos PDF desde código C# en .Net.

A lo largo de los próximos post os mostraré como se pueden crear documentos PDF de forma rápida y sencilla con pocas líneas de código C#, aprenderemos como modificar estos documentos y jugaremos con los metadatos de los mismos, pudiendo modificarlos a nuestro antojo o simplemente consultar información de los metadatos, como quien a generado el fichero, que programa, cual ha sido la fecha de creación, etc.

Para realizar todas estas labores vamos a utilizar las librerías PDFSharp que podréis encontrar aquí. El código es totalmente libre y lo podéis descargar desde la página de sourceforge.net, aquí.

Una vez que os hayáis bajado los ensamblados, al descomprimirlos encontraréis varias dll, para realizar una introducción usaremos la librería “PdfSharp.dll” que encontraréis en la ruta “PDFsharp-MigraDocFoundation-Assemblies-1_31\GDI+”. La cargáis en un proyecto vacío y agregáis el siguiente código, yo lo he separado en una clase a la que he llamado Metadata por facilitar la comprensión del código para futuros post:

Clase Metadata

using PdfSharp.Pdf;

namespace Prueba1
{
    class Metadata
    {
         public string Start(string path)
        {
            PdfDocument document = PdfReader.Open(path);
            return document.Info.Author;
        }
    }
}

Programa principal

Metadata mt = new Metadata();
label1.Text=mt.Start("C:/prueba.pdf");

En el código hemos cargado un documento “prueba.pdf” que teníamos en la ruta C:, lo hemos abierto y hemos mostrado el atributo “Author” de sus metadatos en un label. Un ejemplo muy sencillo y que os servirá para aprender a utilizar las funcionalidades básicas de la gestión de documentos PDF en .Net.

En el próximo post continuaremos con la explicación de como generar un documento PDF desde cero.

Saludos!

lunes, 14 de junio de 2010

La fiebre del Mundial pasa por nuestro Windows 7

0616-south-africa2010[1]

La llegada del mundial se ha hecho eco en nuestros ordenadores, y son muchos los diseñadores que se han puesto manos a la obra para diseñar nuevos temas para los sistemas operativos ambientados en el Mundial de South Africa 2010.

Microsoft ha publicado un nuevo tema que podréis descargar desde la página oficial de temas de Windows 7 llamado EA SPORTS World Cup. Contiene numerosas imágenes del mundial reproducidas con el popular videojuego del equipo EA y colores que reproducen el tono dorado de la copa del mundial.

image

image

Podéis descargar el tema desde aquí. Con pulsar el link anterior y aceptar, se instalará el tema automaticamente como tema actual en Windows 7.

Hasta el próximo post, saludos!

miércoles, 9 de junio de 2010

Wardriving y geoposicionamiento de redes Wifi con móviles Symbian y Google Earth (Parte II de II)

Buenas a todos, hoy finalizaremos la cadena de post sobre wardriving en sistemas Symbian, con la transformación del reporte xml a kml y su integración con Google Earth.

En primer lugar deberemos transformar el reporte xml a kml, para ello yo he elegido un script en perl llamado kisgearth, que realizará el cambio de formato de manera automática. Hay otros programas que realizan esta tarea, pero este me ha parecido bastante práctico, sencillo y eficiente. Lo podéis descargar desde el siguiente link:

http://code.google.com/p/kisgearth/

Una vez descargado, necesitaréis un interprete de lenguaje Perl, como yo soy usuario de Windows, me he descargado para esta labor el software Active Perl.

Tras instalar Active Perl, deberéis dejar en la ruta “C:\Perl\bin” (C:\ por defecto) el fichero xml que os ha devuelto barbelo, que encontraréis en la ruta “\barbelo” de la tarjeta de memoria de vuestro móvil y el script kisgearth que habéis descargado antes. Una vez hecho esto, abriréis un terminal y ejecutaréis el siguiente comando:

kisgearth.pl -oN barbelo.kml -n1 -- Barbelo-Jun-06-2010-3.xml

Siendo barbelo.kml el nuevo fichero que se va a crear y Barbelo-Jun-06-2010-3.xml el fichero que nos ha generado barbelo.

Tras ejecutarse el script se nos habrá generado el fichero kml en la ruta “C:\Perl\bin”. Ahora simplemente, si ya tenemos Google Earth instalado en el ordenador, lo cargamos haciendo doble clic sobre el icono y deberéis ver vuestro mapa con las redes wifi que habéis encontrado y la información de las mismas:

1

2

Espero que os haya gustado, hasta el próximo post!

saludos!

domingo, 6 de junio de 2010

Wardriving y geoposicionamiento de redes Wifi con móviles Symbian y Google Earth (Parte I de II)

Buenas a todos, en la cadena de post que hoy doy comienzo voy a hablaros de las técnicas de Wardriving sobre terminales móviles con sistemas operativos Symbian.

Para la realización de las pruebas he utilizado un terminal Nokia 5800, el software “Barbelo” y el programa Google Earth.

¿Qué es el Wardriving?

El Wardriving es una técnica que se utiliza para hacer búsquedas de redes wifi desde un vehículo en movimiento a través de un ordenador equipado con tecnología Wi-Fi, como un portátil, una PDA o un terminal móvil. Una vez registradas las redes wifi detectadas se suelen posicionar en un mapa (en caso de que el terminal usado tuviese GPS y se hubiese almacenado la posición exacta del punto de acceso), para obtener un mapa con los lugares donde están situados los terminales wifi que hemos ido escaneando.

Por internet se ha hecho muy común el registro de estos mapas, para que cualquier usuario cuando haga un viaje sepa donde puede tener acceso gratuito a internet mediante una red wifi. El sitio mas popular es: http://www.wigle.net/

Como curiosidad, Google ha sido denunciada recientemente por utilizar la técnica del wardriving, ya que se les ocurrió la gran idea de que los vehículos que tomaron las imágenes para Google Street View también incorporasen un sistema de wardriving:

http://bandaancha.eu/articulo/7223/coches-google-street-view-recopilan-direccion-mac-wifi-domesticas 

Con respecto a la legalidad de la publicación del campo de la dirección MAC de los puntos de acceso entre el resto de datos de las wifis en internet, hay diversidad de opiniones, pero si se considera que ésta dirección es única y que con ella se puede identificar al usuario de la misma, se estaría violando la LOPD. De cualquier manera este campo se puede borrar antes de subir el fichero con las redes wifis mapeadas a internet.

Wardriving en Symbian

Antes de comenzar a explicaros el uso de esta técnica en vuestro terminal symbian, deberéis instalar las dos siguientes herramientas en el móvil:

Capturador de redes wifi: barbelo-v0.3.sisx

Posicionador GPS: GPSd-v0.2.jar

Las herramientas Barbelo y GPSd se instalan como cualquier otro programa en symbian. Una vez instaladas deberíais ver en el menú Aplicaciones las herramientas instaladas:

Scr000004[1]

En primer lugar deberemos activar la recepción de posicionamiento por GPS, para ello abriremos la herramienta GPSd, y veremos la siguiente pantalla:

Scr000001[1] Scr000006[1]

Deberemos esperar hasta que el GPS se sitúe. En el caso de mi móvil ha tardado un minuto. Una vez situado pulsaremos sobre la opción Ocultar (Hide).

Ahora abriremos el software Barbelo.

  Scr000002[2]

Una vez abierto, nuestro móvil habrá comenzado a capturar redes wifi, y se nos irán mostrando en forma de lista en la pantalla. Si vamos pulsando sobre cada una de ellas podremos ir viendo las características de las mismas:

barbelo1 barbero2

Ahora para comenzar a generar nuestro log de redes wifi pulsaremos sobre el botón opciones, y seleccionaremos la opción “Start log”, de esta manera ya estaremos guardando la lista de wifis en el móvil, con su posición por GPS.

Scr000008[1]

Para parar de sniffar tráfico deberemos pulsar sobre el botón opciones, y seleccionaremos la opción “Stop log”. Una vez finalizado el proceso, se nos habrá generado automáticamente un fichero xml, en la ruta /barbelo de la tarjeta de memoria del móvil, con toda la información, que podrá ser parseada por cualquier programa, en nuestro caso, lo transformaremos con una herramienta al formato kml que interpreta Google Earth.

Esto es todo por hoy, el próximo día os mostraré como convertir el fichero xml al formato kml y a mostrar el mapa de las redes encontradas en Google Earth.

Hasta el próximo post, saludos!

sábado, 5 de junio de 2010

¡Un restaurante dedicado a Windows 7!

Compatible_with_Windows_7_icon_by_fediaFedia[1] Taiwán es una de las mayores fuentes de tecnología del mundo, lugar donde se fabrican gran cantidad de los elementos hardware y software con los que disfrutamos diariamente.

Uno de los elementos mas curiosos de Taiwán es sin duda uno de sus restaurantes, que está dedicado íntegramente al nuevo sistema operativo de Microsoft, Windows 7. Cuenta con una decoración basada en los colores y logos de Windows 7, lo cual hará disfrutar a mas de un fan de Microsoft :)

Comer en este restaurante al contrario de lo que pueda parecer, es muy barato, el menú del día sale por 77 dólares taiwaneses, es decir, no llega a los 2€.

Cuenta con numerosos ordenadores para sus clientes lo que lo convierte en una especie de cibercafé pero para comer.

A continuación os dejo algunas fotos del restaurante:

saludos!!

viernes, 4 de junio de 2010

Google decide imolarse

Google está hoy en boca de todos tras su última publicación en la que aseguraba que iba a dejar de usar Windows por motivos de 'seguridad'.

¿De seguridad!?, ¡sí! ¡de seguridad!, y eso que Windows 7 solo ha sido confirmado como el sistema operativo actual con la mejor seguridad del momento, a la que solo son comparables algunas distribuciones de Linux.

Me pregunto como van a ser capaces de administrar tantos equipos juntos como tendrá Google sin la mejor solución del mercado para control de cuentas de usuario “el directorio activo” que si amigos, es de Windows.

Supongo, que querrá irse por el camino de Selinux que está integrado ya en el Departamento de Defensa de Estados Unidos, pero imagino que el Departamento de Defensa de Estados Unidos no tendrá cientos de miles o millones de equipos como Google…

Google no es tonta y tendrá un as bajo la manga, quizás tengan desarrollado en secreto su propio sistema de administración, al igual que ya hizo con su propia base de datos, la No-SQL (Not Only SQL).

Habrá que esperar a ver con que nos sorprende esta vez Google, pero desde luego confío en que Google deje la campaña de anuncios “come-cocos a usuarios sin conocimientos en informática”, como este de la seguridad de Windows, o como este otro sobre el cloud computing:

http://soporte.pandasecurity.com/blog/2010/05/12/cloud-computing-y-llego-la-confusion/comment-page-1/

 

saludos!

jueves, 3 de junio de 2010

Internet es un pañuelo

9982[1] Buenas a todos, aunque llevo pocos años aún en esto de la informática, han sido  unos años bastante intensos. He tenido la oportunidad de conocer a gente muy importante del sector de la seguridad, desarrollo y sistemas y ese circulo de amistades y conocidos hacen que aumenten cada vez mas y mas de manera exponencial.

Es curioso cuando hablando con algún compañero y amigo, de alguna empresa, o de alguien en particular, te contesta el otro diciendo, “coño!" pues si ese es mi primo/tío/hermano/cuñado/amigo/compañero de cañas/ex-compañero de empresa… y es que la vida es un pañuelo amigos míos.

Dicen que todo el mundo está conectado con la teoría de los 6 grados, pero en nuestro sector muchas veces hacen falta tan solo un par de grados para llegar a conocer a gente que durante tu fase de aprendizaje siempre has alabado, y con la que desearías tomarte unas cañas para hablar con él una tarde tranquilamente.

Últimamente esto me está pasando mas a menudo, y empiezo a deber cañas a mucha gente :). Creo que voy a añadir a Anubis una nueva funcionalidad para compartir reportes con tus amigos, con un ttl y a comprobar cuantos grados son necesarios para volver a recuperar un reporte con Anubis que he generado yo mismo.

Por cierto, estamos apunto de superar las 500 descargas de Anubis, el boca a boca de la gente en los foros (a los que agradezco desde aquí su apoyo) está aumentando las descargas rápidamente, y cada vez es mas gente la que me pide que siga con el proyecto.

En definitiva, internet es un pañuelo de mocos, y como todos tendrán su moco preferido, compartirlos con los demás, que los amigos de mis amigos… son mis mocos…digo mis amigos :)

Hasta el próximo post, saludos!