miércoles, 19 de noviembre de 2014

Google it's Watching you and the whole network too... aún?

Hace algún tiempo escribí sobre un problema de seguridad/privacidad en la plataforma de google, en específico adsense. 

Ahí lo especifiqué con una página pública, que cualquier usuario podría registrarse, pero agregué al final el siguiente texto: 

"En este caso es una pagina en la cual pueden registrarse de manera gratuita, pero pensemos en la forma de que no lo sea, seria una perdida de $$$ para las paginas de contenido protegido que manejen adsense y que se pague algo para registrarse."

El día de hoy leí algo en el periódico Reforma, y lo busqué en internet, claro está que el primer enlace es del mismo periódico: 

https://www.google.com.mx/webhp?sourceid=chrome-instant&ion=1&espv=2&ie=UTF-8#q=acomoda%20diputado%20plazas%20con%20serrano

Entrando al enlace, se puede ver un extracto de la nota y al final dice: "Para seguir leyendo, regístrate o suscríbete."

Pero si entran al caché del contenido, pueden ver la nota completa: 

http://webcache.googleusercontent.com/search?q=cache:ZF9qWr3Nd6MJ:www.reforma.com/aplicaciones/articulo/default.aspx%3FId%3D397001%26v%3D3+&cd=1&hl=es-419&ct=clnk&gl=mx

Al ser un problema que hice el reporte en el año 2008, debería estar arreglado por google, lo raro es que ninguno de sus anunciantes haya denunciado esto, o tenido efectos legales en contra de google por la perdida que esto pueda generar, o tal vez, es que no se han dado cuenta del problema (lo más seguro). 

Saludos! :3



martes, 12 de agosto de 2014

Del "internet de las cosas", a la "conectividad de las cosas"

Tal vez últimamente han escuchado mucho el término de "internet de las cosas", esto se refiere a todos los dispositivos que podamos tener, y estén conectados a internet.

En palabras directas de wikipedia:

"Internet de las cosas (IoT, por su siglas en inglés) es un concepto que se refiere a la interconexión digital de objetos cotidianos con Internet. Alternativamente, Internet de las cosas es el punto en el tiempo en el que se conectarían a Internet más “cosas u objetos” que personas. También suele referirse como el Internet de todas las cosas o Internet en las cosas. Si los objetos de la vida cotidiana tuvieran incorporadas etiquetas de radio, podrían ser identificados y gestionados por otros equipos, de la misma manera que si lo fuesen por seres humanos."

En otras palabras, estamos en el tiempo de que todo se tiene que conectar a internet, entre más dispositivos conectados a internet tengas, entonces más "funcionalidad" tienes en todos los aparatos.


Este término empezará a ser un poco obsoleto dentro de poco tiempo. por que el nuevo término tendrá que ser el siguiente: 


"La conectividad de las cosas". 


¿A que me refiero con esto? 


Con la llegada de los "wearable devices" (traducido: dispositivos portátiles, pero que para mi, la traducción se queda corta), nuestras necesidades empezarán a cambiar, vamos a poder usar un reloj (que ya los hay), que sea un "gadget" de nuestro celular, nos va a decir mucho más que la hora, como un pulso cardíaco, el clima, si tenemos llamadas perdidas, si hay mensajes no vistos, etc. 


Esto sólo para un reloj, que dejará de ser un reloj y empezará a ser un complemento de nuestro celular, pero, vamos mucho más allá. 


Los artículos normales empezarán a ser poco funcionales, un reloj que sólo nos de la hora no podrá ser suficiente para lo que necesitamos ver. 


Tal vez empecemos a ocupar pantalones que ajusten la temperatura por medio de una app en alguno de nuestros dispositivos, podríamos tener unos zapatos/tenis que marquen nuestras rutas y nos digan al dispositivo complemento (llámese reloj, celular, gafas inteligentes, audífonos internos (yo creo que para ese entonces ya existirán :P), que necesitamos caminar 20 pasos más para que el alimento que consumimos ese día pueda ser aprovechado y absorbido de forma correcta.


Ahora, hay que explicar la parte interesante, la (in)seguridad.


Al momento en que la era de "la conectividad de las cosas" esté aquí, tendremos que manejar con mucho más precaución la seguridad en toda nuestra información. 


Hackers podrán obtener los datos de toda nuestra vida, simplemente interviniendo la comunicación de cualquier dispositivo que lleves contigo, (pues para ese entonces, ya todo estará comunicado entre si). 


Ya sea que se sigan ocupando protocolos como L2CAP/RFCOMM (bluetooth), NFCIP-1/ISO 14443 (NFC), 802.11 a/b/g/n (WiFi), o alguno nuevo que inventen, las comunicaciones siempre han sido intervenidas. 


En fin, hay que empezar a imaginar todo lo que se podrá hacer con las nuevas y, divertidas tecnologías que vienen en camino.


P.D.

Hay que tener en cuenta, que la siguiente contaminación que se dará en el planeta, será la inalámbrica, por el momento no son "muchos" dispositivos los que existen, pero esto aumentará y será un problema enorme, por muy poco que sea su afectación de un dispositivo, tenemos que empezar a ver los cambios que ésta generará en cantidades exorbitantes. 


Saludos! :D


Komtec1

viernes, 8 de agosto de 2014

#XSS en Hootlet (herramienta de Hootsuite (y ya está arreglado :P))

Hace tiempo instalé Hootlet, una herramienta (plugin para navegadores) de Hootsuite, como ustedes saben Hootsuite es una "suite" de ayuda para CM (Community Managers), en la cual puedes manejar distintas redes sociales y también diferentes perfiles.

En palabras de ellos mismos:

Hootsuite && Hootlet:

"We are not just a social relationship platform. We are not just a tech company. We are creators, innovators, and builders dedicated to revolutionizing the way you communicate."

Ambas son excelente en la ayuda que brindan, salvo por un pequeño problema que tenían (lo básico si lo arreglaron, no he revisado más), un simple xss, pero que funcionaba en casi cualquier sitio de búsquedas.

Esto quiere decir, si yo buscaba en google un xss, Google lo busca tal y como es, un simple texto, pero hootlet lo interpretaba como un xss, por lo que si yo le daba ese enlace a una persona con Hootlet instalado en su navegador, el veía un xss "en la página de google".

O sea, que si hacía una búsqueda de este tipo:

https://www.google.com.mx/?gws_rd=cr&ei=Q8WCUtuUL_Ly2gXGu4CgBQ#q=%3Cscript%3Ealert(document.cookie)%3C%2Fscript%3E

https://www.google.com.mx/?gws_rd=cr&ei=Q8WCUtuUL_Ly2gXGu4CgBQ#q=%3Ch1%3Easd%3C%2Fh1%3E

Me ejecutaba el xss.





Esto ya está reportado y arreglado, como lo mencioné arriba, no busqué más, pero podría haber alguna otra cosa útil :P

Hootlet está ligado a las cuentas que tienes en Hootsuite, por lo tanto, solo imaginen que se podía hacer con esto.

Cabe aclarar que la respuesta y atención por parte de Michael Tippett y Chris Noble en Hootsuite fue casi inmediata y muy amable, saludos a los dos! :D

PD por si alguien de Hootsuite o Hootlet lo lee:
Me quedé esperando mi nombre en el "Hall of fame" que prometieron :(

PS if anyone Hootsuite or Hootlet reads:
I kept waiting for my name in the "Hall of fame" promised :(

Saludos! :D

Komtec1

martes, 8 de julio de 2014

Recuperación de Grub al instalar Kali (Debian)

Hola!

Recién cambié mi distribución GNU/Linux (lo pongo así pa' no herir susceptibilidades! xDD, pero yo sólo le digo Linux), usaba Ubuntu y me mudé a Kali (o Debian), en la instalación se dio el problema de la configuración del Grub, simplemente no lo instalaba y fallaba, por lo cual no podía iniciar ningún sistema operativo en mi máquina (dual boot).

Cree un USB booteable (Kali 1.0.7) con Unetbootin, instalaba y todo bien, al final al querer poner LILO o Grub me daba error, probé lo de esta guía:

https://forums.kali.org/showthread.php?20854-Fix-quot-grub-pc-failed-to-install-into-target-quot-Fix

Los dejo por si algún día borrar el post:

sudo mount /dev/sdaX /mnt          
sudo mount --bind /dev /mnt/dev    
sudo mount --bind /dev/pts /mnt/dev/pts   
sudo mount --bind /sys /mnt/sys    
sudo mount -t proc /proc /mnt/proc 
sudo chroot /mnt /bin/bash      
mount -a

nano /etc/apt/source.list
add this :
deb http://security.kali.org/kali-security kali/updates main contrib non-free
deb http://ftp.mx.debian.org/debian/ squeeze main
deb http://ftp.rediris.es/debian squeeze main contrib non-free
deb http://download.virtualbox.org/virtualbox/debian squeeze contrib non-free
save

apt-get install grub-pc

update-grub
Ya tenía mi grub corriendo, pero al momento de ingresar a Linux me seguía dando problemas, no booteaba, pensé que era algún problema de compatibilidad de vídeo e inicie en modo VGA 640, pero aún así no iniciaba.

Después de un día de pelear con esto, (si, me tardé mucho x_X, probé con versiones anteriores, instalé varias veces, imaginé que yo era el problema xD), pensé que tal vez el problema era la USB booteable, así que abrí brasero en otra máquina, grabé la imagen en un dvd, metí el DVD a la máquina en proceso de reciente formateo y realicé nuevamente los pasos del enlace arriba mencionado, sólo cambiando los repositorios claro.

Use estos:

## Security updates
deb http://security.kali.org/kali-security kali/updates main contrib non-free
deb http://ftp.mx.debian.org/debian/ squeeze main
deb http://ftp.rediris.es/debian squeeze main contrib non-free
deb http://download.virtualbox.org/virtualbox/debian squeeze contrib non-free

Seguí con los pasos y listo, todo funcionó bien.

Moraleja:

No usar Unetbootin y grabar directo en disco :P

Espero que a alguien le sirva alguna vez.

Saludos!

Komtec1

jueves, 15 de mayo de 2014

¿Que distribución me recomiendan?

Ésta es una pregunta que mucha gente que quiere mudarse a linux hace, ¿Que les podemos recomendar las personas que conocemos ya Linux (GNU/Linux para que los más frikis no critiquen :P xD)

Primero, tenemos que diferenciar que debemos recomendar dos opciones completas:

Para usuarios no adeptos a la informática, podemos recomendar Ubuntu.

¿Ah caray, por qué?

Por el simple hecho de que Ubuntu es tan, pero taaaan sencillo como un windows XP/7/8 (no pongo vista, por que ese fue horrible, sí, con F de Horrible y Feísimo Mayuscula), doble click e instalas, una busqueda simple en google y solucionas un problema (si es que lo hay), en fin, el soporte es inmenso, y facil como si fuera un windows, por lo que la transición es muy simple.

Ahora, para los usuarios adeptos a la informática tengo otra recomendación:

Prueben todo, absolutamente todo lo que encuentren, prueben Ubuntu, Debian, Mint, Fedora, Suse, Red Hat, Arch, Puppy, Kali, Knoppix, Trisquel, Canaima, Slackware, Gentoo, Tuquito, Slax, etc, etc, etc.

¿Por qué?

Por que la informática / sistemas computacionales, se basa en el aprendizaje de forma autodidacta, si no aprendes te quedas obsoleto, es como una regla que el gusto de aprender sea constante, el aprendizaje no tiene que ser un pesar, si no, más bien, un gusto, es difícil de entender, pero cuando se termina la carrera (o incluso cuando no se tiene), el saber más por la pasión que se tiene (la informática) es inmensa, por eso digo que no se queden con lo que uno les diga, quedense con lo que les gusta, con lo que les convenga.

Cualquier distro puede ser adecuada a lo que quieren y a lo que necesitan, linux se puede configurar a tal grado que cualquier distro puede ser lo que nosotros queramos.

Por eso les repito nuevamente, usen lo que ustedes quieran, pero que sea lo que realmente quieran y hayan probado, no lo que me gusta a mi, ni lo que le gusta a 2394872938 usuarios, si no, lo que les gusta a ustedes.

Saludos!

Komtec1

martes, 13 de mayo de 2014

Por favor, nunca escribas tu número celular en las redes sociales.

En el tiempo de los datos personales y la privacidad, nosotros muchas veces somos culpables de tanto spam que nos llega a la bandeja de entrada de nuestros correos, y ahora, también seremos culpables de toda la publicidad que empezará a llegarnos por SMS, Whatsapp, Telegram, Voxe, y demás servicios que ocupan tu número de teléfono para mandar un mensaje. 

¿Por qué digo esto? 

Al hacer una simple búsqueda en google con el dork '"mi celular 55" site:facebook.com', podemos encontrar muchos resultados (Cerca de 22,800 resultados (0.43 segundos) ),


 22 mil 800 números de teléfono que son de la ciudad de México (por el 55), si buscamos '"mi teléfono es 55" site:facebook.com', encontramos 5,270 resultados, esto traducido a SPAM, es mucho, podemos hacer infinidad de búsquedas dentro de google, bing o cualquier buscador para obtener muchos registros de teléfono, tendremos nombre, ubicación, teléfono e incluso contactos, es decir, nosotros facilitamos el trabajo a todas aquellas personas y empresas que se dedican a estafar y a ofrecer productos y/o servicios. 

Como avanza la tecnología, también tiene que avanzar la educación tecnológica (o informática), tenemos que ser conscientes de lo que dejamos en la red y de lo que queremos mostrar o no, ya hay "privacidad" en fb, al menos podemos activar el que nuestros mensajes sólo los puedan ver nuestros conocidos en la red social. 

Por eso quiero exhortar a las personas a que sean conscientes de todos los datos que dejan en las redes sociales, son muchos más de lo que se pueden imaginar, como lo publico mi amigo nitr0us en IOActive, pueden saber hasta la ubicación de donde están, así que por favor, y por seguridad propia, sean conscientes. 

Saludos! :D 

Komtec1


miércoles, 7 de mayo de 2014

¿Por qué todos los políticos deben ser buenos jugadores de ajedrez?

Les comparto un texto que escribí hace poco para un amigo.

Análisis,  estrategia,  experiencia y estudio, son las principales características de un jugador de ajedrez.

La política no es muy distante a lo mencionado,  pues para ser un buen político también se requieren de éstas características.

Análisis:
Se debe saber con que material se cuenta y de la misma forma, el valor de cada uno, no debemos menospreciar ninguna de nuestras piezas, pues hasta un peón puede llegar a dar jaque mate.

Asimismo, debemos tener en cuenta que si una pieza, (por muy alto valor que tenga) también puede ser sacrificada si está siendo un estorbo para nosotros,  el sacrificar una torre por un caballo puede no tener sentido, pero si al hacerlo, podemos ganar la partida, entonces debemos realizarlo, siempre con el debido análisis y seguridad de los movimientos.

Estrategia:
Primero,  tenemos que identificar nuestro objetivo, al tenerlo debemos generar una estrategia para conseguir ese objetivo.

En la política, el objetivo puede ser posicionamiento social o económico, en el ajedrez, es vencer al Rey contrario, pero no debemos atacar por atacar, si es un adversario conocido, podemos estudiar sus partidas perdidas y explotar sus debilidades con diferentes aperturas, controlar el juego con un ataque directo o una defensa pasiva, pero siempre con una debida estrategia y un correcto análisis de la situación.

Experiencia:
Una característica muy importante,  la experiencia en el ajedrez, se puede conseguir jugando y viendo muchas partidas,  de esta forma, al encontrarnos con una posición parecida a otra, podremos analizar y reaccionar de forma más rápida y con el tiempo, mejor.

En la política se puede adquirir a través de documentos, pláticas, reuniones, y análisis de las personas, pero así como en el ajedrez, también debemos aprender a distinguir un buen movimiento de uno malo, no por que una persona sea muy experimentada, siempre hará buenos movimientos.

Estudio:
Como todo en la vida, el ajedrez requiere un gran esfuerzo y un constante estudio,  nos ayudará a mejorar nuestro análisis,  estrategia y experiencia, no siempre tenemos que reinventar la rueda, puesto que la mayoría de las partidas de ajedrez en sus primeros 16 movimientos y hasta en 5 variaciones, ya se han jugado, y si estudiamos éstas partidas,  podremos aprender de las experiencias buenas y malas de otros, para que así,  no hagamos lo malo, y podamos mejorar lo bueno.

Estos son puntos muy importantes, pero no son únicos,  hay muchas cosas que se pueden explotar en la vida,  en el ajedrez y por lo tanto, aplicarlo en la política.

Sin más por el momento, espero que tengan partidas ganadas en la política y excelentes movimientos en el ajedrez.

Alfonso Cuevas.

PD. para mi amiga Ivabelle si es que llega a leerlo:
Que importa que sea muy "mainstream" con Kasparov y el tablero jeje :P

sábado, 11 de enero de 2014

Multitouch en Cinnamon con Ubuntu 12.04

Si después de instalar Cinnamon en ubuntu 12.04 no funciona su multitouch, ya revisaron en la configuración de mouse y si esta activado, entonces tienen que hacer lo siguiente:

Instalar gpointing-device-settings
sudo apt-get install gpointing-device-settings
después corren gpointing-device-settings
Seleccionar la pestaña “Desplazamiento“ o “Scrolling” y activar el desplazamiento vertical y horizontal (este último si así lo quieren)

Una vez que se haya hecho esto, funcionará sin ningún problema, el vertical y horizontal.

Recuerden que para que esto funcione el touchpad tiene que ser multitouch. 

Saludos! :D 

Komtec1