domingo, 24 de julio de 2011

Entrevista de FedoraProject.org: Steve, analista de seguridad informática

Quizá ya la hayas leído si es que acostumbrás a explorar el sitio web del Proyecto Fedora. Pero si aún no lo hiciste, aquí va una de las entrevistas que hay en dicho sitio, donde un analista de seguridad informática muestra algunas aplicaciones de Fedora ideales para llevar a cabo análisis de seguridad, y además ofrece algunos consejos para que puedas mantener tu sistema siempre seguro:

Steve, analista de seguridad informática

¿De dónde eres?

Por todos los Estados Unidos de Norteamérica. Actualmente vivo en Raleigh.

¿Cuál es tu profesión?

Analista de seguridad/Desarrollador.

¿Cuál es tu nick de IRC? ¿De donde viene?

Ashcrow. Cuando estaba en la escuela secundaria realmente me fascinaba "The Crow". Usaría muchas distintas referencias con Crow en mis apodos de IRC, pero ashcrow fue el único con el que me quedé.

¿Cuando te enteraste por primera vez de Fedora?

Mi primer contacto con Fedora fue Fedora Core 2. En ese momento era un usuario de Debian "de los duros". Ya que había utilizado Red Hat Linux en el pasado, decidí darle Fedora Core 2 una oportunidad. Honestamente pienso que Fedora Core 2 era simplemente buena, pero Fedora Core 3 me impresionó tanto que decidí instalarla en la computadora de mis padres. ¡Y a mi mamá realmente le encantó!

¿Cómo te has convertido en un desarrollador?

Leyendo código. En bachillerato estaba muy interesado en escribir código pero la mayor parte de los libros de programación eran bastante caros para mí. Recuerdo haber obtenido una copia de un viejo libro de lenguaje C, a mediados de los 90's con un disquete de 5 1/4" que me enseñó un poco. Pero la mayor ganancia que obtuve fue ver realmente a programadores de software libre y código abierto, haciendo su trabajo. Desde ese momento, comencé a escribir código y enviar parches a proyectos, y terminé siendo contratado en una pequeña empresa antes de su expansión al desarrollo de aplicaciones web, en Orlando, Florida.

¿Puedes explicarnos que significa la auditoría de seguridad? ¿Cómo llegaste a ser auditor de seguridad?

En pocas palabras, auditoría de seguridad es buscar problemas de seguridad en una aplicación o sistema. Una vez hallados, los riesgos son registrados y se reportan a los desarrolladores con información sobre como corregir esos problemas. Principalmente hago auditorías de seguridad de aplicaciones web y pentests (pruebas de penetración).

¿Qué clase de riesgos buscas típicamente cuando realizas una auditoría de seguridad?

La primer línea de riesgos sobre los cuales indago, son los mismos listados en OWASP's Top Ten (Proyecto Abierto de Seguridad de Aplicaciones Web). De los 10 listados comienzo a buscar lo que pueda encontrar acerca de los más comunes: inyecciones de código, scripting de sitios cruzados (XSS), falsificaciones de petición de sitios cruzados (CSRF) y redirecciones sin validar. Después de detectar las más comunes, comienzo a indagar más a fondo en la aplicación y encontrar problemas en la lógica de programación, mensajes de error, etcétera... que ayudarán a descubrir otros riesgos de seguridad.

Comparte con nosotros cuales son las 3 aplicaciones en Fedora que encuentras más útiles para las auditorías de seguridad.

Nmap, ratproxy y python.

¿Python? Como usas python para examinar la seguridad de aplicaciones web.

Cuando se hace una auditoría es importante se capaz de escribir ataques rápidos de prueba de concepto (POC). Python tiene una plétora de módulos que hacen ataques POC una delicia. Para enumerar algunos:

  • urllib/urllib2
  • BeautifulSoup
  • python-nmap
  • sulley
ipython y bpython son también ambientes de escribe-mientras-avanzas para intentar rápidas variaciones en ataques de POC. Usar módulos de Python así como herramientas generales de seguridad controladas por Python, rápidamente hacen de este lenguaje de programación una herramienta indispensable.

Dinos un poco acerca de nmap. ¿Cómo funciona? Puedes usarlo para analizar máquinas que no están corriendo sobre Fedora? ¿Hay algo que tú pruebes sistemáticamente para detectar riesgos, o lo tienes que utilizar manualmente para encontrar respuestas específicas?

Nmap (http://nmap.org/) es una herramienta de exploración de red. Nmap escanea un equipo o un conjunto de equipos y responde con información. Es comúnmente usado como un analizador de puertos.
Nmap puede encontrar o escanear prácticamente cualquier máquina en la red. La he usado desde hace tiempo cuando auditaba máquinas con Windows u OS-X también.
Yo uso Nmap como parte de mis auditorías junto con NSE (Motor de scripts de Nmap), scripts que en su mayoría provienen directamente del proyecto Nmap. Usualmente lo utilizo para revisar el estado del cortafuegos, servicios abiertos en un sistema y que versiones de los servicios están corriendo. Eso ya te arroja un reconocimiento inicial.

¿Qué es lo que hace ratproxy? ¿Puede analizar sistemas que no están corriendo Fedora? ¿Puede analizar sistemas que no corren sobre Linux? ¿Es un programa que ejecutas manualmente o lo dejas corriendo constantemente en el sistema?

Ratproxy (http://code.google.com/p/ratproxy/) es un proxy de auditoria pasiva de aplicaciones web. Se sitúa entre el navegador y la aplicación web que usted este auditando y recoge información según usted se vaya moviendo en el sitio. Este puede analizar casi cualquier aplicación web, sin importar el sistema operativo en el cual se este ejecutando. Como Ratproxy es pasivo se puede utilizar con aplicaciónes ajax.

Cuéntanos de alguna personalización interesante que le hayas hecho a tu escritorio en Fedora, de modo de permitirte realizar auditorías de seguridad más eficientes.

Utilizo una instalación de dos máquinas y tres monitores, con GNOME y synergy. Realmente espero que GNOME Shell sea considerado estable. ¡Lo uso en mis computadoras personales y realmente me encanta! Y si puedo, intento correr prácticamente todo a través de la terminal. Encuentro las aplicaciones en la terminal mucho más fáciles especialmente desde que comando todo a través de byobu/screen.

¿Puedes contarnos alguna vulnerabilidad que hayas descubierto recientemente utilizando Fedora?

Uniendo una redirección sin validar y una petición falsificada de sitio cruzado, monté un vínculo que haría lo siguiente:

  • Permitir al usuario ingresar normalmente
  • Después de ingresar, el usuario sería llevado a mi sitio 'malicioso'
  • El sitio haría una petición post con JavaScript en la aplicación original y ejecuta acciones a nombre del usuario que podrían incluir cosas como añadir o modificar otras cuentas de usuario.
  • El usuario entonces sería devuelto a la aplicación original como si nada hubiese ocurrido.

¿De acuerdo a tu experiencia descubriendo agujero de seguridad en aplicaciones, tienes un consejo o truco que sirva a los desarrolladores para evitar vulnerabilidades de seguridad en su código?

¡No confíes en tus usuarios! Deberías escribir código con la expectativa de que habrá al menos un usuario malicioso que no se detendrá ante nada para encontrar problemas en tu aplicación.

¿Algún consejo a los usuarios de Fedora para mantener sus sistemas seguros?

¡No olviden lo fundamental! Mantengan actualizando, usen reglas adecuadas para el cortafuegos (y usen el cortafuegos), apaguen servicios que no necesiten y usen contraseñas adecuadas.

¡Gracias, Steve!

 

Fuente: Proyecto Fedora.

sábado, 16 de julio de 2011

SuperTuxKart se actualizó: Disponible en los repositorios de PlayDeb

SuperTuxKart fue actualizado de la versión 0.7.1b a la 0.7.2, luego de haber pasado por una Release Candidate fructífera, y ya se puede descargar desde la página oficial del proyecto. Además, solicité a GetDeb que actualicen el paquete .deb de STK que éstos tienen en los repositorios PlayDeb, y ya está disponible para ser descargado oficialmente en Ubuntu 10.04 y Ubuntu 11.04.


SuperTuxKart 0.7.2 has been released

SuperTuxKart version 0.7.2 has been released. It offers:
  • In-game addon manager
  • Fixed major memory leaks
  • New Snow Peak track by Samuncle
  • Improved star track UFO by Rudy
  • New Beastie kart.
  • Show when you get a highscore
  • Improve gamepad configuration under Windows (add ability to tell gamepads apart)
  • Various other tweaks done and glitches fixed
You may found packages at https://sourceforge.net/projects/supertuxkart/files/SuperTuxKart/0.7.2/
Enjoy!
Joerg and Auria (July 15, 2011)

viernes, 15 de julio de 2011

Recomendaciones de canales de YouTube - Parte 1

Todo aspirante a Linuxero encontraría muy útil una lista de canales de YouTube para aprender y conseguir ayuda en caso de que tengamos inconvenientes o algún tipo de duda.

A continuación, les daré una lista de canales interesantes a los que se pueden suscribir si les interesa:

Canal de browe1387: Aunque el dueño cambió de canal por diversos motivos, browe1387 contiene 58 videos basados principalmente en el aprendizaje de Ubuntu, Gimp, Inkscape, Windows XP y Windows 7, entre otros. Altamente recomendado.

Canal de FrikZone: Es el actual canal del dueño de browe1387. Es la continuación del canal anterior, con contenidos de igual base. Obviamente, también está altamente recomendado.

Canal de xmuda: Los Fedorianos pueden encontrar muy útil este canal. Contiene videotutoriales de Fedora y Linux en general. También, muy muy recomendado.

Canal de pedrote2222: Otro excelente canal enfocado a los novatos del mundo Linux, con paciencia al explicar y lujo de detalles. Actualmente el autor del canal se encuentra ausentado por tiempo indefinido, pero aún así se puede revisar el canal de punta a punta.

Seguiré haciendo recomendaciones de canales de YouTube luego, y les paso a recordar que pueden visitar mi propio canal haciendo clic acá.

miércoles, 13 de julio de 2011

Twitter se actualiza en Android & Blog optimizado para navegación móvil

Dos pequeñas noticias sobre el mundo de Android Linux.

La primera consiste en que ya está disponible para Android 2.2 en adelante, la última versión de la aplicación oficial de Twitter. Dicha actualización incluye características solicitadas por los mismos usuarios.

La característica más importante a destacar es la posibilidad de la "actualización automática", para refrescar tweets, mensajes y menciones de manera directa sin importar lo que estamos haciendo en el teléfono. Obviamente, esta característica es opcional.

Otra característica de importancia es que ya podemos usar múltiples cuentas en la misma aplicación. También se añadieron mejoras en la interfaz y se solucionaron algunos errores.

La segunda información es que finalmente el Blog está optimizado para la navegación móvil, especialmente desde terminales Android. Se han corregido algunos "errores" que imposibilitaban una óptima visualización del sitio.

martes, 12 de julio de 2011

El "Tano" Pasman tiene dos aplicaciones en el Android Market

Para muchos de los que vivimos en la Argentina nos resultará muy fácil reconocer el nombre de "Tano" Pasman. Es el hincha del Club Atlético River Plate que se hizo famoso el viernes de la semana pasada por ser víctima de una cámara oculta mientras miraba el partido de ida entre su club y Belgrano de Córdoba, en la lucha por ganar la Promoción y no descender. Dicho video fue subido a YouTube y consiguió en pocas horas más de dos millones de visitas, convirtiéndose en un éxito mundial de la clasificación de Entretenimiento del sitio de Google.

La repercusión fue tal que, además de aparecer en todos los medios del país y muchos del exterior, el "Tano" ya tiene dos aplicaciones en la tienda de Android, el sistema operativo basado en Linux.

A través de este link, se pueden ver y descargar las aplicaciones a su teléfono Android Linux.


martes, 5 de julio de 2011

Resultados de la encuesta bimestral: "¿Qué distro/sistema operativo utilizás?"

En la encuesta publicada dos meses atrás pregunté qué distribución o sistema operativo usás. Esta encuesta me va a permitir ver a qué usuario va dirigido este blog y a cual no, y a partir de ahí tratar de mejorarlo.

Se me puede haber pasado por alto Linux Mint en la encuesta (aunque lo considero más bien un excelente fork de Ubuntu o Debian según la edición de la que hablemos), pero estaba la opción de Otra (GNU/Linux) y por eso no me hice problema.



En fin. Según los resultados de la encuesta, el 60% de los visitantes indicó utilizar Ubuntu en su computadora. La distro de Canonical se lleva la porción más grande de la torta por una diferencia abrumadora del resto. Esto se traduce en que debo reforzar la cantidad de artículos de Ubuntu para cumplir con la demanda y mantener las visitas.

Windows se lleva el segundo puesto con el 23% de los votos. Muchos deben usar este sistema cuando no tienen su Linux cerca, o bien leen el blog para evaluar la posibilidad de migrar hacia Pingüinolandia.

Mi distro favorita, con la que no escatimo nunca mi preferencia, se lleva el 15% de los 94 votos realizados. Este es un dato alentador, ya que es la distribución a la que oriento mi blog y de la cual escribo casi la mitad de los artículos. Sin embargo, no debo excederme ya que perderé visitantes de otras distros.

Debian, tal como yo quería, ha obtenido una muy buena posición: el cuarto lugar con el 9%. Esta es mi segunda distro favorita y he dedicado algunos artículos a ella. Quizá más adelante los retome.

No hay mucho más para destacar, habiendo dejado en claro cuáles son los Sistemas Operativos con los que más se accede a esta página. De ahora en más tendré en cuenta estos datos al momento de crear nuevas entradas. Por el momento, en algunos instantes pondré una nueva encuesta (esta vez mensual) para que vallan completando.