Archive for mayo, 2008

Las 7 adquisiciones más grandes en el mundo del Open Source

Muy interesante entrada en Pingdom (parece que estos chicos no dejan de sacar entradas interesantes) que analiza las siete compras más caras del mundo del Open Source (sin contar algunas de las que no se tienen números).

*Sun compara MySQL por 1000 millones de dólares,2008.
*RedHat compra Cygnus Solutions, una empresa de soporte para productos Open Source por 675 millones de euros, 1999.
*Citrix compra XenSource por 500 millones de dólares, 2007
*Yahoo compra Zimbra por 250 millones de dólares, 2007
*Red Hat compra JBoss por 350 millones de dólares (barato creo), 2006
*Novell compra SUSE por 210 millones de dólares, 2003
*Nokia compra Trolltech por 153 millones de dólares, 2008

Exceptuando dos, todas las compras se han producido en los dos últimos años, lo que indica claramente que el valor del Open Source ha crecido enormemente. Esto que comento se viene a reflejar en un estudio del grupo 451 donde se ve que el número de compras ha pasado de 6 en el 2003 a 30 en el 2007.

Por último se preguntan, ¿quién será el siguiente? Esta pregunta es difícil porque cada vez quedan menos. Tenemos a Postgresql en las bases de datos, Spring en cuanto a desarrollo, G2One (groovy/grails) podría tener potencial de compra aunque por ahora poca cosa, Terracotta sería apetecible. Pero quizás si tuviese que apostar probablemente lo haría por producto más tipo Alfresco o Pentaho, o quizás a algo más bloggeril como WordPress.

mayo 1, 2008 at 8:40 pm

Archivos Temporales, Grave Error de Seguridad en Joomla

Seguramente en la actualidad existe una infinidad de sitios cuyos administradores nunca se preocupan (o desconocen el grave problema de seguridad que pueden ocasionar) de los archivos temporales. En el peor de los casos, es posible tomar control completo de un servidor solamente por que no nos precupamos de borrar los temporales. ¿Como puede ser posible?…

Ojo, hay que tener más cuidado principalmente cuando se usa LINUX como servidor.

Esto es muy simple. Tomemos en este caso el ejemplo de un Joomla en un servidor LAMP (Linux Apache MySQL PHP). Al igual que la mayoría de CMS (sistemas de administración de contenido), Joomla almacena los datos de conexión a la base de datos (usuario, password, base de datos y otros parámetros) en el archivo de configuración.php y está ubicado en el mismo directorio que el index.php. Este archivo evidentemente no debiese ser visto desde Internet ya que contiene información sensible. Si en el mismo server se trabaja con phpMyAdmin, bastaría leer configuration.php para obtener las claves de acceso a la base de datos.

Luego un atacante un poquito más hábil cambiaría la clave de Administrador cifrada bajo md5 por un hash que él conozca, ingresaría a la plataforma de administración, instalaría un componente de Joomla o cualquier CMS que le permita manejar archivos.

¿Pero como podemos caer en tal desgracia? veamos el siguiente ejemplo:
http://sitio.com/web/. Este sitio web corre Joomla en el directorio /web/. Si consultamos http://sitio.com/web/configuration.php veremos que se muestra el configuration.php en blanco. Bien, solo bastaría verificar si existe una copia temporal de ese archivo en el directorio:

http://sitio.com/web/configuration.php~

Y listo!. Ya tenemos los passwords. Ahora, el servidor del ejemplo no corre phpMyAdmin y no es posible acceder a la base de datos desde Internet, por lo cual el ejemplo no afecta mayormente (mejor dicho no debiese afectar) a la seguridad de la máquina sitio.com

Lo que ocurre es que PHP entiende los archivos .php y los ejecuta de acuerdo a su sintaxis, pero los archivos .php~ (que son temporales), PHP no los conoce y por lo tanto los muestra en texto claro.
Pueden existir varios formatos de archivos temporales pero los más comunes son:

– .algo~
– .bak
– .1
– .old o .OLD
– .swp

Esto no es un problema exclusivo de Joomla, puesto que puede afectar a cualquier CMS.

Existen varias soluciones, pero la más simple sería crear una tarea programada (CRONTAB) que elimine diariamente estos archivos. Ejemplo:
——————————————————————————–
/etc/crontab
#Borrar todos los días a las 24 hrs los archivos temporales del directorio
0 0 * * * rm -R /var/www/html/*.*~
——————————————————————————–

Sin duda este problema claramente puede afectar a cualquier sitio web, es mucho más recurrente en aquellos basados en CMS.

rito.macias@gmail.com
Artículo tomado en parte de http://www.seguridad-informatica.cl/

mayo 1, 2008 at 8:39 pm 4 comentarios

10 Consejos de Seguridad Para Usuarios

10 excelentes consejos sobre seguridad para usuarios de Windows encontrados en el blog Gurú de la informática.

Tener un antivirus, un firewall y por lo menos dos programas antiespías (de estos últimos recomiendo Ad-Aware, Spybot-S&D y SpywareBlaster).

No instalar dos firewall o dos antivirus, puede ser peor el remedio que la enfermedad (dos antivirus residentes pueden generan conflictos y anularse entre si).

Poner contraseña al administrador del sistema (pero no olvidarla!).

Tener siempre el sistema operativo, el antivirus, el firewall y los programas antiespías actualizados. Las actualizaciones tienen que ser desde un sitio oficial.

No aceptar archivos adjuntos de un correo electrónico, a no ser que se este seguro del contenido y de quién lo envía (pasarles siempre el antivirus y tener especial cuidado con los que tienen extensión .exe).

Desconfiar de los e-mail que solicitan la visita un Sitio Web para ingresar datos confidenciales, como nombres de usuario, contraseñas y números de tarjetas de crédito.

Prestar atención a las alertas sobre certificados que nos dan los navegadores. Normalmente solemos aceptar sin fijarnos que el propio navegador nos dice que ese sito no cuenta con certificado, y eso por ejemplo en un banco, es motivo de desconfianza.

Cambiar el login/password por defecto del router .

Si es inalámbrico activar WPA, activar filtrado MAC, desactivar DHCP y asignar nosotros la dirección. Si no estamos seguros de lo que hacemos es mejor asesorarse o buscar información sobre el tema, es muy importante la seguridad en redes inalámbricas (La importancia de asegurar nuestras redes inalámbricas – Seguridad en redes Wi-Fi inalámbricas – Links proporcionados por Bolsanegra).

Hacer copias de seguridad de los documentos importantes. Se recomienda hacer una imagen del sistema con todo lo necesario instalado, es muy cómodo sobre todo en caso de fallos graves en el sistema.

mayo 1, 2008 at 8:38 pm Deja un comentario

¿Cómo funcionan los servicios que te dicen quién te ha bloqueado en el MSN?

El otro día, en la entrada avisando sobre los peligros de dar la contraseña de tu correo a servicios extraños y sobre todo a aquellos que te dicen que te van a decir quién te ha bloqueado en el msn, surgió una conversación bastante interesante en los comentarios. Además, el responsable de uno de estos servicios, Alejandro Sena de Blockoo explicó cómo funcionan estos servicios. A continuación os reproduzco el algoritmo, que hace uso de bots para llevar a cabo esta operación:

Aqui la nota completa

rito.macias@gmail.com

mayo 1, 2008 at 8:37 pm Deja un comentario

Xoops, Joomla o Drupal, Mambo o PHPNuke

Hace algunos años tener un sitio web ya fuera personal o de empresarial significaba toda una osadia, si no eras experto en el tema significaba tener que desembolzar una cantidad de dinero para pagarle a quien realizaba el sitio, además de que se requeria de una persona especializada para que realizara las actualzaciones de información, de lo contrario tu sitio se quedaba con el mismo contenido por mucho tiempo.

Hoy en día todo eso paso a ser parte de la historia, gracias a las herramientas OpenSource que existen para la creación de sitios web.

Con el uso de estas herramientas CMS (Por sus Siglas en Ingles) podemos crear de una manera fácil un sitio web, y sobre todo administrar de una manera sumamente fácil los contenidos (imagenes, textos, etc), sin la necesidad de estar alterando el codigo fuente del sitio web, como se hacia anteriormente hace algun tiempo.

A la fecha es fácil hacer uso de estas herramientas, podemos encontrar principalmente 5 de los más conocidas y utilizados,

Aqui las ligas hacia los sitios oficiales:

http:/drupal.org
http://mamboserver.com
http://joomla.org
http://www.phpnuke-espanol.org/
http://www.esxoops.com/

Sin duda Joomla es hoy por hoy uno de los más utilizados, con un amplio soporte y desarrollo contante. que a cobrado un auge importantisimo durante los últimos meses.

rito.macias@gmail.com

mayo 1, 2008 at 8:36 pm Deja un comentario

Joomla Vs Drupal – Rendimiento

Drupal vs Joomla: performance
Which content management system is faster? Drupal or Joomla?

Experimental setup
I used the “Apache, mod_php, PHP4, APC” configuration from previous benchmark experiments to compare the performance of Drupal and Joomla on a 3 year old Pentium IV 3Ghz with 2 GB of RAM running Gentoo Linux. I used the following software: Apache 2.0.55, PHP 4.4.2, MySQL 4.1.4, Drupal 4.7.3 and Joomla 1.0.10.

I simply downloaded and installed the latest stable release of both Drupal and Joomla, and tried my best to make them act and look the same. To do so, I enabled the login form and the “Who’s online” block. I also setup two links and a search widget in the top menu, enabled the hit counters for posts, and setup identical footers. Next, I created one author, one category and one post as shown in the images below.

…Leer nota completa

mayo 1, 2008 at 8:35 pm Deja un comentario

Descifrar contraseñas de Usuarios de Windows mediante OPHCRACK.

Seguro que todos conocemos las herramientas, para reventar contraseñas de Windows XP, el inconveniente de estas es que te deja la contraseña en blanco, con lo cual el usuario se da cuenta de que se ha borrado la contraseña, ahora os presento una herramienta que corre en un LiveCd, que trae un Linux como arranque, y la novedad es que esta te “descifra la contraseña” de los usuarios tanto de XP, como de Vista o incluso Windows 2003, la herramienta en cuestión, que he probado en numerosas ocasiones, y que me ha dejado literalmente sin habla, se llama ophcrack, y lo mejor de todo es que funciona, os la podéis descargar desde aquí.

El funcionamiento:

No puede ser más simple, después de grabar la imagen del CD, previamente descargada, se configurara la BIOS del ordenador, en cuestión, para que pueda arrancar desde CD, una vez hecho esto ya solo nos falta arrancar el PC , con el disco de OPHCRACK en la unidad CD, y el Linux que trae como arranque hará el resto, tras unos segundos nos aparecerá el siguiente menú:

Leer nota completa:…

mayo 1, 2008 at 2:04 am 1 comentario

Entradas antiguas


Estadísticas

  • 41,618 Visitas

Entradas recientes

mayo 2008
L M X J V S D
« Ago   Jun »
 1234
567891011
12131415161718
19202122232425
262728293031  

Visitas

  • Ninguna

Páginas