Publicar una aplicación con Terminal Server como si de Citrix se tratara

Aquí un artículo explicando como publicar una aplicación usando Terminal Services de MS. Algo parecido a publicarla con Citrix Metaframe.

Documentales sobre Privacidad en "Línea 900"

[vía Kriptópolis y Caballé.com] - "El programa Línea 900 de La 2 de TVE emitirá de nuevo este domingo, 12 de septiembre, Presuntos Culpables y el domingo 19 de septiembre podremos volver a ver A cualquier precio."

Mi lector de bitácoras

Para leer blogs uso Bloglines. Hasta ayer no compartí mis suscripciones porque nunca me había parado a ello simplemente. Ahora puedes verlas en este enlace.
Hay varias suscripciones a blogs relacionados con la Seguridad y algunos personales y de información general.

Varias cosas del martes 7 de septiembre

Últimamente y por falta de tiempo pongo toda la información en un único post así que aquí hay un poco de todo. No os quejéis que mas me cuesta a mi inventarme un título cada día :-P

• Enlaces sobre ISO 17799
• Ya he hablado otros días de las VPN sobre SSL. Un sistema que está cobrando mucha fuerza y que se prevee que cope una importante cuota de mercado en detrimento de las VPN sobre IPsec. Mientras IPSec se seguirá utilizando en los enlaces VPN punto a punto, VPN sobre SSL será el principal sistema de acceso remoto temporal para empleados de compañías. Aquí vuelven a hablar de ello.
• GPS BMW: Aprovecho para preguntar como cambiar el idioma de un GPS de BMW. El mío sólo habla en inglés y alemán y necesitaría que lo hiciera en castellano. Imagino que se deben cargar unos archivos de sonido desde algún CD con alguna utilidad. El GPS es del modelo Dayton montado en un 330 CI.
• Una buena acción de ISC2 promocionando la educación y "regalando" la formación a 4 afortunados. Con lo que cobran por derechos de examen del CISSP no creo que se hayan quedado en la ruina, en cualquier caso mejor que nada.
• Y cuando no hay mucho tráfico en los foros se pone una batallita Windows vs Linux y listos.

Me voy que llego tarde al tren!!

Un poco mas de varias cosas

Primero, si alguien quiere mas cuentas de Gmail que las pida a través de los comentarios de este post, tengo 11 invitaciones.

Estaba leyendo anoche algunas noticias y me ha llamado la atención una de un "señor" que le colocó a su ex un GPS en el coche para tenerla localizada. El sistema enviaba una señal de la posición cada minuto que el "sádico este" podía ver en una página web. La noticia es curiosa y algo preocupante, los comentarios ... sin comentarios.

Que pasa cuando cambias tu ordenador personal o si trabajas en un departamento técnico, cuando se cambian o re-ubican? Muchas compañías y la mayoría de usuarios deomésticos no tienen en cuenta los datos que pueden recueperarse de un disco duro. Este fin de semana he leido dos noticias sobre datos recuperados de discos de ordenadores viejos (jubilados).
Toda políticas de Seguridad debe tener en cuenta este punto y usar herramientas que impidan la recuperación de cualquier dato de un disco duro.
Herramientas hay muchas, sinó hecha un ojo a Google. Recuerda que el "formateo" no es un solución.

Negociaciones nocturnas en mi habitación

Desde hace una semana ya nada es como antes, he vuelto a trabajar, no he vuelto a la palaya, hace mas frio, ... quien iba a pensar que aún quedan mosquitos haciendo turismo en Villa Juanma?
Se me acabó el kill-mosk (para no dar nombres comerciales) y en septiembre quien va a comprar un recambio de eso? Si yo ya he vuelto al trabajo se supone que a los mosquitos ya les toca palmarla (creo que no viven mucho tiempo).
Total que a las 3 aparece un zumbido aterrador, sólo superado por el del traladro del dentista.
Tras diversas estrategias decido negociar con el bicho alado.

"- Mosquito, me da palo bajar al piso de abajo a por el insecticida, acabemos rápido con esto, tu me picas ahora rapidito, una sola vez, saca todo lo que necesite y no vuelvas en toda la noche porque necesito dormir."

Pues miraló, el tio es listo y se ve que lo pilló, me ha hecho un agujero en el tobillo pero esta mañana aún me quedaba sangre para ponerme en pié.

En fin, espero que este fin de semana hagan todos las maletas porque hoy tampoco he comprado kill-mosk.

Buen fin de semana.

Noticias del día en que Internet cumple 35 añitos

• La BBC publica la lista de los TOP mas bajados de Internet. Se trata de una lista de los temas musicales que mas se descarga, de forma legal, en el Reino Unido.
• Internet cumple 35 años hoy! Quien lo diría no? Yo pensaba que cuando me conectaba allí por el 95 con 16 añitos era uno de los primeros. Que recuerdos, cuando uno se conectaba al IRC y conocía a todo el mundo de todos los canales. Creo que no me conecto al IRC desde hace 4 años por lo menos. Aquí explica un poco como empezó la red de redes.
• El Service Pack de Windows XP SP2 para la edición Professional y Home ya puede descargarse de Microsoft.
• Free Culture - Libro de ciberderecho traducido al castellano, disponible en PDF aquí.

Más invitaciones para Gmail

Tengo 3 invitaciones más para Gmail. Si alguien quiere alguna que deje un comentario en este post donde pone "Dime Algo" o "Me han dicho".

Un poco de todo

No tengo mucho tiempo así que 4 cosillas de golpe:

- Hace un tiempo ya anunciaban en la zona de clientes de Ya.com que los ADSL's 256 pasarían a 512 Kbps. El mío de momento sigue funcionando a 256. Parece que hasta septiembre Telefónica, propietaria de la infraestructura, no empezará las ampliaciones.

- Ya.com, que se quedó con los clientes gratuitos de Jazztel (Jazzfree) anunció hace poco a los clientes históricos que teníamos acceso POP3 a nuestros buzones que el acceso pasaría a ser por webmail manteniendo la posibilidad de acceder por POP3 si te conectabas desde un ADSL de Ya.com. Bien, mi ADSL es de Ya.com y no puedo acceder por POP3 a mi buzón. Supongo que siendo un servicio gratuito no debería quejarme mucho, pero estaría bien que cumplieran lo que anuncian y sinó que no lo anuncien.

- Acabo de leer por Bandaancha que Ya.com rebaja 9,12 € + IVA la cuota del ADSL 256 a los clientes con antiguedad superior a 6 meses que lo soliciten llamando al SAT al 902902902, preguntar por el departamento de bajas y solicitar la rebaja.

- Google: Ayer me dieron 6 invitaciones de Gmail, a cada persona que he invitado le han aparecido instantaneamente 6 más, parece que Gmail quiere crecer de golpe.

- [Barrapunto] - Estudian el cannabis como potenciador de la visión nocturna.

- Hotmail: El anuncio de pasar de 2 a 250 MB los buzones de Hotmail aún no se ha hecho efectivo. De echo aún recibo avisos para hacerme cliente de pago y ampliar el buzón a 20 MB.

Estudio de medios

Para llevar a cabo mi primer estudio de audiencia...
...tengo 3 invitaciones para Gmail, las tres primeras personas que me digan algo (picando ahí abajo donde pone "Dime algo") se las llevan. Recuerda indicar un nombre, apellido y dirección de correo.

Si consigo un comentario por día ya estaré contento :-)

1, 2 ,3 probando?

Va? si, no, si, no hola?

De nuevo en casa, de nuevo en el trabajo, de nuevo en el tren, ... Triste monotonía para algunos, yo aún sin saber ni entender muy bien la razón sigo pasándomelo pipa en mi vida cotidiana. Bueno, en casi todos los aspectos de la misma.

Durante las vacaciones me he planteado algunos cambios referentes a esta web. Quizás la hago más personal y menos técnica (aún) y quizás me decido a publicarla desde casa con Movable Type o Plog, lo que sucede es que mi ordenador no se refrigera por líquido y no consigo concebir el sueño con el ruidito del ventilador y claro, de momento prefiero dormir a publicar desde una plataforma mas "chula". De tal afirmación se deduce que soy uno de esos que paga ADSL y que no usa el E-mule ni similares para descargar lo que haga falta, sí, lo que haga falta con tal de creer uno mismo que están amortizando las 7000 pelas mensuales de ADSL.
Esto ... no se por donde iba exactamente. Durante los próximos días explico un poco mis vacaciones y saludo a los nuevos conocidos Asturianos/as y Galegos/as e intento decidir si hago algo o no de lo que he dicho.

Ala, hasta prontito.

Música: Su'n - Mi primer chill-out

Hola a todos! Sí, estoy de vacaciones y tan solo he consumido un 25% de ellas :) Un pequeño inciso vacacional para publicar un pequeño tema de estilo chill-out o enchillaut, depende del cole donde estudiaras se dice de una forma u otra. En el mío, por supuesto, se decía enchillaut.
Bueno, en la sección música podéis descargar Su'n en formato MP3 o si lo prefieres en el original MT2 donde puede editarse. El tema ocupa poco así que bájatelo y no tengo que describirlo, que es muy difícil para mi.

Su'n it's a new chillout track, made with Madtracker 2. You can download it from the "Musica" section both in MT2 and MP3 file format.

I hope you wnjoy it!

Y tras este inciso continuo mis vacaciones.

PD: También he publicado en formato MP3 un tema de 1998, de estilo progressive y muy movidito y alegre. Infinity, tambíén descargable en MP3 y MT2 de la sección de Música.

Hasta pronto!!
C U soon!!

Vacaciones: Vuelvo en Septiembre

Estoy de Vacaciones, nos vemos en Septiembre aunque no descarto escribir algo.
C u on Septembrer. I'm on holidays ;-)

Buenas noticias y no

- Empiezo vacaciones al final del día. Un mes de vacaciones entero y seguido, desde los 18 no hacía algo así. Las dudas me asaltan. ¿Seré capaz de volver al trabajo como si nada? ¿Me acordaré de las 238 contraseñas necesarias? ¿Se me borrará la huella dactirlar y no podré entrar al trabajo? ¿Que hace la gente todo un mes sin trabajar? ¿Un mes es suficiente para ir al Ikea, comprar y volver a tiempo a casa para cenar?

- Mi ADSL va a pasar a 512 por el mismo precio. Telefónica, Wanadoo, Ya.Com y no se si alguna otra compañía van a duplicar las velocidades de las líneas ADSL manteniendo el precio. Por la cantidad que pago creo que podrían ponerme un poquito mas, no es justo que en el trabajo tenga 20 MB y en casa 256 Kbps, da rábia bajarse algo si comparas.

- Mi cuenta de hotmail se multiplica por 125. Bueno, ahora entre la cuenta de Gmail y la ampliación de Hotmail a 250 MB tendré mas espacio en buzones que el PC que uso para hacer música con el Fastracker II.

Y una mala:

- Tendinitis en el cuadriceps. Ya me avisó un amigo que eso de hacer deporte no podía ser tan bueno. Después de hacer 150 Km con la bici nueva ya tengo tendinitis en el cuadriceps (que dicho así parece que tenga músuculos de Stallone pero se llama igual para todo el mundo independientemente del tamaño. En fin, mucho hielo, Neobufren y reposo. Bonita manera de empezar las vacaciones.

The Phishing Test

¿Te engañarían esos correos que llegan de tu banco, Ebay, ... pidiendo que actualices tu información vía web? Las llamadas estabas "phishing. Si no estás seguro puedes realizar este test en el ue te mostrarán 10 e-mails y deberás decidir si son o no fraudulentos. Yo he fallado 1 de 10, el 6.

 

Clasificación de vulnerabilidades Web

Un documento en formato PDF que enumera y explica muy bien los distintos tipos de ataque conocidos contra sistemas web.

 

Imágenes satélite de gran resolución

Desde no se cuando me gusta mucho descargar y guardar imágenes de ciudades y sitios varios tomadas desde aviones o satélites. Una de mis páginas preferidas es Space Imaging. Una empresa privada que realiza fotos de un metro de resolución desde un satélite (mikonos creo).
Una vez a la semana publican una de acceso libre y mantienen una galería con imágenes muy interesantes, de España sólo hay una de Madrid y otra del Camp Nou.  He sugerido que hagan una del Forum a ver si hay suerte y la ponen.

Otra web que visito y que me recomendó Xavi Caballé es la del Nemoc, donde hay fotos diarias tomadas por satélites americanos de la península también de una resolución considerable. Recomiendo las realizadas por el satélite MODIS/EOS.

Guías: Cifrado y SpamAssasin

- Guía de cifrado de base de datos (PDF)

- Guía de SpamAssasin (artículo HTML)

AIX Security

[Packetstorm] Implementing and maintaining AIX Security Policies es un documento en formato pdf destinado a enseñar las opciones de seguridad de AIX.

Cierra el acceso remoto al registro de Windows

Por defecto, las actuales versiones de Windows (excepto 2003 Server creo) permiten el acceso remoto al registro, esto permite obtener gran cantidad de información que no es conveniente exponer siempre. El siguiente artículo explica paso a paso como eliminar este riesgo.

Lock Down Remote Access to Windows Registry

Humor: Marrón después de las siete

En el Weblog de Álvaro Sánchez-Mariscal he encontrado un tema, bueno, lo he encontrado colgado en una sala del café de mi trabajo y buscando en google he llegado a ese weblog. Una adaptación friki de la canción de la serie "Los Serrano".

Marrón después de las siete

Los semáforos en las calles pasarán a la historia

Eso es lo que esperan los dos inventores de un nuevo sistema de control del tráfico. Unos detectores ubicados en el cruce frenan o aceleran a los coches para que en el momento de llegar a la intersección no tengan que parar. La demo en Java es realmente espectacular, no me lo imagino en real.

Educando usuarios: Elegir una contraseña menos insegura

[Linux.com] Hacer comprender a un usuario que es preferible usar una contraseña del tipo "2gMlk$356f" en lugar de algo como "ventana" no es una tarea fácil, incluso yo soy capaz de entender su postura.  El artículo de Linux.com indica algunas directrices para la elección de un password menos inseguro, y digo menos inseguro porque en los sistemas actuales no es muy compliado encontrar una contraseña, es normalmente cuestión de tiempo aunque el bloqueo de cuentas es una medida importante que ayuda ante ataques de fuerza bruta.
Por cierto, porque Windows no aplica la directiva de seguridad de bloqueo de cuentas cuando se trata de desbloquear una sesión de consola? Puedes equivocarte 100 veces y la cuenta no se bloquea aunque la política indique que al tercer intento se acabó probar.
En la sección Networking de esta web encontarás un documento que publiqué tratando también el tema de elegir una contraseña segura (o menos insegura).

Securización de Linux frente a ataques locales

[Linux.com] Un pequeño artículo que contiene consejos para evitar ataques locales en sistemas Linux.

Los teléfonos móviles asesinos de Nigeria

A través de la BBC y de The Register leo que un rumor se escampa por la capital de Nigeria afectando a gente supersticiosa, si te llaman desde determinados números y descuelgas la llamada puedes morir al instante. 
Al parecer el pueblo nigeriano es bastante supersticioso, mas que bastante diría que muy muy supersticioso.
En fin, me ha hecho gracia como la tecnológica del presente y las supersticiones que probablemente procedan de su cultura se dan la mano y progresan juntas :-)

Evita que tu buzón se llene de SPAM desde el principio

Medidas para mitigar la recepción de correo no deseado (SPAM)

Las siguientes medidas ayudan considerablemente a no recibir correo basura en tu cuenta de correo. Si tienes alguna duda créate una cuenta de correo y sigue estas directrices, verás como prácticamente no recibes correo no deseado.

Los spammers elaboran listas de direcciones de correo a las cuales enviar su publicidad por varios métodos, los principales son:

- Obtener direcciones de mensajes en cadena, esos que se re-envían eternamente y llegan a tu buzón con asuntos del tipo FW:FW:FW:FW:Chiste.
- Google u otros buscadores pueden mostrar direcciones obtenidas de páginas web.
- En foros de noticias y discusión, bien vía web o vía "News" tradicionales.
- Compran las listas a webmasters poco éticos que las elaboran en su página web ofreciendo suscripciones o cualquier cosa que empuje al usuario a escribir su dirección en un formulario.

Medidas a tomar por uno mismo:

- Nunca rellenar formularios con la dirección de correo para suscribirse a boletines, revistas on-line, páginas de colaboración, ... Es conveniente tener una cuenta a parte para estos temas ya que a pesar de la obligatoriedad de los propietarios de cada Web o sistema enumerado de tratar los datos conforme a la LOPD existen vacíos legales o letra muy muy pequeña que no acostumbramos a leer cuando introducimos la dirección de correo en páginas web.

- No escribir la dirección de correo en firmas y textos en un formato utilizable directamente. Esto quiere decir escribir por ejemplo usuario[arroba]isp.com o usuario[at]isp.com.
Una alternativa es añadir algo en la dirección de correo que identifique que debe quitarse cuando nos escriban, por ejemplo. usuarioNOSPAM@isp.com

Lo ideal es no dejar la dirección de mail en enlaces en tu página web, posts, firmas de mensajes de correo electrónico, ... en un formato directamente comprensible por un sistema informático.

Cosas que hacer por los demás:

- No re-enviar cadenas, si sientes la irrefrenable necesidad de re-enviar ese chiste que te han mandado a todos tus contactos ponlos en el campo CCO (copia Oculta) de forma que si alguno de ellos lo vuelve a re-enviar nadie pueda ver a quien se le envió previamente. Las cadenas son un método ideal para los spammers de localizar cuentas de correo para enviar publicidad.

Guía de securización para MAC OSX

[Net-Security]Guía de securización para MAC OSX (10.3) en formato PDF.
Trata sobre actualizaciones, cifrado, firewall, ids, ...

Seguridad vs. Administradores de Sistemas

He encontrado este genial artículo donde habla de los típicos problemas que se dan en las grandes empresas entre Seguridad y Sistemas.
 
Parece que está claro que:
 
Originalmente algunos departamentos de seguridad se dedicaban a aspectos legales, cosa que históricamente hace que los departamentos de sistemas no vean a sus colegas de seguridad con la confianza suficiente por la falta de conocimientos técnicos. Cuando seguridad se hace mas tecnócrata es difícil que sistemas cambie el chip.
 
El hecho de que en algunas compañías Seguridad no reporte directamente a sistemas crea desconfianza aunque organizativamente considero que es mas efectivo reportar de esta manera.
 
También opino, a pesar lo anterior, que ambos departamentos deben trabajar muy estrechamente, estando cerca físicamente y ayudarse mutuamente para mejorar la relación laboral y al fin y al cabo la eficiente gestión de los sistemas y la seguridad.
 
La gente de seguridad suele proceder de sistemas, es mi caso, y probablemente nos es más fácil entender sus necesidades que a ellos las nuestras.
 
Por lo menos queda claro que en todos sitios cuecen habas ¿no?
 
Comentarios: Creo que si pinchas en la almohadilla naranja de aquí abajo puedes ver el post en una ventana dedicada y añadir comentarios.

Seguridad: Varios

Aquí dejo unos enlaces, no tengo tiempo para hacer un post por cada uno :(

- Parches MS del mes de Julio: 7 parches, 2 de ellos críticos para Internet Explorer, Outlook Express, IIS 4.0 y sistemas operativos NT, 2000, XP, 9x, Me y 2003 Server.
www.microsoft.com/security
www.windowsupdate.com

- Curso de MetaSploit Framework en Bugtraq.(parte 1 de 3)

- Troyano que en el día de ayer se propagó de forma espectacular mediante correo. Utiliza una vulnerabilidad en Outlook, existe parche.

- Publicado el número 62 de la revista Phrack.
http://www.phrack.org/

Resultados de la compo 2004 de Madtracker

Ya se han publicado los resultados de la compo que Madtracker.org ha organizado este año.
El último día me decidí a participar con un tema que compuse en 2 horas la última tarde, obviamente el resultado es el esperado ya que el tema tampoco me convencía mucho. Al final 84/95. Lo bueno? El año que viene seguro que mejoro ¿no? :-)
Lo mas bueno de todo es que dispones de 95 temas en formato mt2, algunos que ya he escuchado de excelente calidad que tranquilamente podrían ser masterizados sin ningún otro retoque, para mí queda claro que con Madtracker se pueden producir temas profesionales a un bajo coste. Es más fácil obtener un resultado de calidad con herramientas mas avanzadas y caras, sobretodo si se combinan con algún hardware, pero ahí quedan unos temas para muestra.

Anti-Spyware: nueva sección en Alerta-Antivirus

El Centro de Alerta Temprana sobre Virus y Seguridad Informática ha creado una sección de programas Anti-spyware.
Con esta sección el CATA parece ofrecer todas las medidas de protección que cualquier ordenador debería tener:
- Antivirus
- Cortafuegos
- Anti-Spyware
- Anti-Dialer (si te conectas vía modem)

Además ofrece secciones de AntiSpam y Popup killers.

Esto, junto a una política de actualización correctamente configurada (Windows Update)evitaría la gran mayoría de amenazas a las que se enfrenta cualquier equipo conectado a Internet.

De las herramientas anti-spyware que figuran yo uso dos simultaneamente, Spybot y Hijackthis.

Virus: Se hace público el código fuente de Bagle

Parece ser que el autor de Beagle ha hecho público el código fuente. Se pronostica que la liberación de dicho código desencadene una nueva oleada de virus.
Fuente: ZDNET

Spam: El problema de las Blacklists y las IP's dinámicas

Hace un tiempo el SPAM se distribuía principalmente desde servidores SMTP comprometidos. Estos eran denunciados en una de las múltiples organizaciones que se dedican a mantener listas negras y otros servidores no aceptaban correo procedente de los servidores denunciados... Más o menos la cosa iba de esa manera.
Con la evolución de los virus creados con el interés final de usar ordenadores personales como motores SMTP para enviar correo la cosa cambia. Ahora se envía SPAM desde equipos que tienden a no tener una IP fija porque pertenecen a un pool en el que cada vez que se conectan se les asigna unaIP distinta. Esto hace que el uso de "listas negras" no sea tan útil como antes. Ahora un PC obtiene la IP que ayer tenía un señor infectado que sin saberlo envió 2000 mensajes y que aparece en diversas listas negras.
Sobre este problema se habla aquí.

Live CD: Auditor Security Collection CD-ROM

Otro LiveCD basado en Knoppix destinado a auditores de seguridad.
Se ditribuye bajo licencia GPL.
La lista de herramientas incluidas puede verse aquí.

Como diseñar y dimensionar una solución VPN sobre SSL

VPN sobre SSL es una tecnología ya en uso pero que creo que en poco tiempo va a esperimentar un gran crecimiento. Conectarse al trabajo desde cualquier ordenador sin usar clientes IPSEC, permitir el acceso tan solo a una determinada aplicación sin posibilidad de abrir shells u otras aplicaciones, ... son puntos a su favor. En cuanto a rendimiento no se si consume mucho mas o menos que una VPN sobre IPSec. Por el momento parece que algunos fabricantes como Cisco permiten reutilizar el hardware VPN y simplemente instalando una nueva versión del firmware ya se pueden establecer simultaneamente VPN's IPSec y SSL.

Este documento de Network World Fussion explica como diseñas y dimensionar uan de estas soluciones.

IPv9 Nuevo protocolo IP desarrollado en China

China a desarrollado una versión de IP nueva. IPv9, compatible con IPv6 e IPv4. Al parecer ya han probado el funcionamiento con buenos resultados.

Mas info aquí.

Videoproyector en el teléfono móvil

La Universidad de Cambridge ha desarrollado una nueva tecnología por la que se espera que en un par de años los teléfonoc móviles incorporen un videoproyector que mediante laser sea capaz de proyectar imágines de alta calidad. El proyecto estaría integrado en el teléfono móvil.

[mas info en Slashdot]

Gráficas de vulnerabilidades de Internet Explorer

La web de Secunia permite enlazar a sus imágenes sobre estadísticas de vulnerabilidades en diversos productos. Las siguientes corresponden a vulnerabilidades en Internet Explorer durante 2003 y 2004.

Unix/Linux Must Know (Documento)

Es siguiente documento del OISSG de 16 páginas pretende ser un rápido documento de consulta antes algunas tareas habituales relacionadas con la seguridad en los sistemas *nix.
Da respuesta a 32 preguntas comunes como:

- Como habilitar IP forwarding?
- Como se que versión de servicio FTP estoy ejecutando?
- Como cambiar persmisos y propietarios.
- etc.

Ruta BTT en El Garraf - Canyelles

Hace ya unas semanas que compré la bici y vengo haciendo una ruta un par de veces a la semana para ir acostumbrandome a la suspensión integral. Hoy he decidido crear una nueva sección de Rutas y Minirutas en BTT por El Garraf por si a alguien le interesa y como pequeño homenaje a un gran compañero y una magnífica persona que ha perdido la vida prácticando su deporte preferido.

Va por ti estés donde estés campeón.

BHO scanning tool

Es una herramienta que lista los Browser Helper Objects instalados y permite deshabilitarlos.
Muchos programas maliciosos son BHO's, algunos de los cuales interceptan contraseñas incluso antes de que sean cifradas usando un canal seguro como se ha detectado en los últimos días con un código que intercepta las contraseñas de una docena de entidades bancarias según el Internet Storm Center.

Hotmail de 2 a 250 MB de espacio por buzón ¿?

Leo en Libertad Digital que Hotmail ampliará en julio la capacidad de sus buzones a 250 MB y permitirá para los clientes con acceso gratuito (los que no pagamos por usar Hotmail) enviar mensajes de hasta 10 MB.
Todo esto para hacer frente a la competencia personificada en Gmail y las mejoras de Yahoo.
Desde mi punto de vista Hotmail tiene algunos puntos fuertes sobre sus competidores, tienen una cuota de mercado mas importante, al menos en España si me fijo en que todos mis amigos, conocidos, familiares, ... tienen cuentas en hotmail mas que en Yahoo, usan MSN Messenger, ...
Estoy esperando probar Gmail, si me mandan una invitación para ver que tal es el servicio.
De momento esperaremos a ver que hace Hotmail en julio.

El CERT (US) recomienda cualquier navegador menos Internet Explorer

El US-CERT recomienda el uso de cualquier navegador que no sea Internet Explorer para nevegar de forma mas segura.
Existen muchas alternativas pero en mi opinión Firefox es la mejor.

Mozilla Firefox Website

Security and Vulnerability Analysis of an Ethernet-based attack on Cisco

Este White-Paper de la Reading Room del Sans Institue muestra un análisis del ataque DoS de julio de 2003. Un escenario complicado de montar para algunos por el hardware que requiere pero que muestra como se hacen las pruebas de una forma muy clara.

Anuncio de la DGT

Curioso que en uno de los actuales anuncios de la DGT se muestra un turismo circulando por el carril central de la autopista cuando el derecho está libre. Creo recordar que cuando me saqué el permiso de conducir era obligatorio circular lo mas a la derecha posible. Si ahora incluso la DGT olvida estas normas en sus anuncios lo llevamos bastante mal para que en las autopistas la gente deje de ir por el carril de la izquierda dejando los de mas a la derecha libres. Espero que cuando vaya a 120 por la derecha y uno circule por la izquierda a 100 no me multen por adelantar por la derecha.

De los dos radars nuevos de la C-32 sur no diré nada porque no se si está permitido, pero haberlos los hay.

Comunicando un vulnerabilidad a HP

Recientemente he encontrado e investigado una vulnerabilidad en un producto de HP, heredado de Compaq, que ya he comunicado al HP Software Security Response Team.
La versión afectada creo que ya no tiene soporte por lo que no se si la investigarán.

A primera vista veo que HP muestra un interés mayor que IBM en cualquier vulnerabilidad que se les comunique, facilitando la comunicación con dicho equipo y recibiendo respuesta, de momento automática pero ya es mucho mas de lo que hizo IBM o el esCERT de la UPC cuando comuniqué la denegación de servicio en el agente de IBM Director hace unos meses.

Imagino que en unas semanas se publicará en Bugtraq la vulnerabilidad.

Mi nueva amiga ;)

Como ya tengo un cuarto de siglo he decidido regalarme una bici nueva. El sábado me acerqué a una tienda de deportes y me compré esto :-). La verdad es que estoy como un niño con una bici nueva jejeje.

UDSL, conexión DSL a 200 Mbps sobre par de cobre

Según esta noticia de Slashdot Texas Instruments trabaja en una tecnología DSL que podría dar hasta 200 Mbps de ancho de banda sobre el actual par de cobre que el operador telefónico nos trae hasta casa. No he visto que requisitos deben cumplirse, como la distancia entre la central y el router, que imagino que será muy corta para alcanzar tal capacidad.

Vulnerabilidad en ISA Server permite ver sitios bloqueados

Una vulnerabilidad en MS ISA Server 2000 en todas las versiones incluido SP1 permite a un usuario ver un sitio que haya sido restringido por "content rules" añadiendo un punto (.) al final del nombre de dominio.

Por ejemplo si se ha restringido el acceso a www.playboy.com el usuarios pondrá en la URL www.playboy.com. y podrá visitar el sitio.

Este problema se soluciona instalando el SP2 de ISA Server disponible aquí.

Microsoft Windows 2000 FQDN Expired Password Login Vulnerability

Curiosa vulnerabilidad que permite a un usuario de Dominio autenticarse aunque su contraseña haya caducado si el FQDN (nombre completo DNS) es de 8 carácteres de longitud.

Microsoft ha publicado un Hotfix aunque recomienda no instalarlo! si no es necesario y esperar al próximo service Pack que corregirá este problema.