edición general
jors

jors

En menéame desde marzo de 2007

6,05 Karma
44K Ranking
Enviadas
Publicadas
Comentarios
Notas

Torificando voy, torificando vengo y leaks no tengo [59]

  1. #23 Con un cuchillo puedes cortar pan o cuellos. ¿Vas tildando de asesinos a todo aquel que los use? Pues eso.

Experiencia montando una web de producción sobre una Raspberry Pi [12]

  1. Desde que tengo la Raspberry (de hecho tengo varias) he tenido un stack web completo (LAMP, luego apache sustituido por Lighttpd) y desde hace cosa de medio año a ésto le he añadido un stack de correo completo (Amavis con Spamassassin, Postfix, Postgrey, Dovecot, Roundcube). Y tengo algunos servicios más corriendo. Sólo una vez tras un reinicio brusco he tenido problemas con alguna base de datos. A parte de eso, todo correcto y sin sobresaltos.

    Algunos datos de mis experiencias para cruzarlos con los del OP:

    - 2 tipos distintos de alimentadores USB de móviles (3 si añadimos el del proveedor dónde tengo una ahora): uno de HTC Wildfire y otro de Nexus. También compré uno del chino por 3€, pero como hacia un ruidito que no me hacía gracia, lo descarté. Ojo con éste tema de la alimentación, en los foros hay threads relativos al tema que recomiendan unos y desaconsejan otros por tener estrecha relación con la corrupción de datos.

    - 2 marcas/Class distintos de tarjetas SD. Una Transcend de 2GB de hace años (Class 2) y una Kingston 8GB (Class 10). Con la primera hacía un poco el tonto al iniciar, tardaba un poco más.

    - 2 Raspberrys: una (modelo B con 256MB de RAM) no tuvo núnca OC, la actual sí (modelo B con 512MB de RAM, a 900Mhz). El tema del OC sólo se recomienda probarlo si tienes una Raspberry "estable" y va en conjunción con si tu tarjeta SD lo soportará sin corromperse.

    - La primera Raspberry funcionió con la Raspbian Dark Basic Image (una versión recortada con lo mínimo y sin X). La segunda con la Raspbian estandar, "rebajada" a mano (también sin X y una limpieza de paquetería innecesaria).

    Cierto es que es un sitio personal con poquísimo tráfico. Meneo, ¿porqué no?

Si accidentalmente borras un importante email antes de leerlo, ¿a quién llamas? a la NSA, por supuesto. (Humor) (ING) [32]

Setenta personas se atrincheran y evitan el desalojo de tres familias en la calle Ofelia Nieto [41]

  1. Cada día que pasa, cada noticia que leo de este tipo con la aplicación del poder de forma unilateral, me pregunto por qué seguimos votando lo mismo, por qué aceptamos que llamen democracia a algo que no lo es y por qué la gente se conforma con "lo que nos ofrecen". Un día más.

Los soldaditos de plástico [74]

  1. Por culpa de esta noticia hoy me acabo de comprar un saco en un chino de Terrassa. Tiene muy buena pinta (unas 50 figuras de guerra con armas de fuego) y me comentan que van a traer más en 2 semanas, por si a alguien le interesa: twitter.com/j0rs/status/274945299162730496

La pelea más dulce entre un bebé y un gato [53]

  1. #32 Como todo en esta vida, tendrá su explicación. Puede que lo molestaras sin darte cuenta, o que lo interpretara como un juego, o que estuviera soñando en algo que lo asustase, o que algo que tú desconoces lo asustara, o que le recordara a algo malo y despertara su instinto de defensa...

    Lo que está claro es que los gatos son "más suyos" que los perros. Y con esto me refiero a que son más independientes y también menos predecibles. Cuánto más conoces a un gato en particular, más afinas acerca de sus aparentemente inexplicables comportamientos. Aunque algunas veces ni así.

Los hospitales rusos [60]

  1. Jod*r, ¿pues no tiene el médico en la segunda foto una black&decker?

Desastre: Melendi versiona ‘Angie’, de los Rolling Stones [221]

  1. LOL, al principio parece Leonardo Dantés xD

Recoger firmas 'on-line' deja de ser simbólico [54]

  1. No esta mal. Encima parece que el site soporta (o al menos eso es lo que reza), además del DNI-e, todos los certificados soportados por Tractis: www.tractis.com/help/?p=1880 (certificados autonómicos, certificados de entidades...).

La tormenta de anoche en Madrid (Time lapse) [36]

  1. Con Vangelis de fondo, ¡a lo Blade Runner!

GlusterFS , peacho de sistema de ficheros clusterizado [20]

  1. Yo te la meneo (sabía que acabaría prostituyéndome xD) a cambio de un Jautú con un Quick Setup :-D

    A parte de esto, coincido contigo en #11 en que Menéame no es el mejor sitio para enviar artículos técnicos (y así de paso a ver si me aplico el cuento). Lo veo más bien como una especie de agregador de noticias de actualidad, dónde tmabién tiene cabida el sensacionalismo. Conste que es una apreciación personal sin sentido despectivo.

Ejemplo práctico de phishing bancario (patrocinado por La Caixa) [21]

  1. #18 Como no encontré ningún ejemplo del tema y me hizo gracia ver cómo se podría hacer, no me importó hacerlo público. Para eso tengo el blog. Como no quiero dar más la paliza con este tema en meńeame, los updates de los fregaos que me ha supuesto los pondré allí. Pero resumiendo el status quo, por alguna extraña razón ahora la gente que tiene a Telefónica como ISP, no llegan a nivel de ip (de dns sí) a mi servidor dedicado xD

    Respecto lo que comentas en #19 podría ser viable, pero dar por supuesto que el usuario se traga el certificado del atacante es mucho suponer, porque ahora los navegadores no son tan permisivos con el tema y cumplen bien con el tema de avisar al usuario. Por otro lado, tendría que ser un script algo más trabajado que el publicado en cuanto a prudencia, porque (como comento en uno de mis últimos comentarios del post en el blog) únicamente se cura en salud la primera petición (la de cURL), pero después, cualquier enlace que pinches ya te has delatado: no sólo a nivel de red, sino también en cuanto a la ubicación exacta del script en el servidor. Esto podría salverse haciendo todas las peticiones con cURL, o bien sirviéndolo todo en local (o sea, tener un mirror del sitio y servirlo todo desde el mismo, todo lo contrario que pretendía hacer con el script). Para terminar, habría que ver qué otras medidas de seguridad implementa la entidad a la hora de operar (que seguro que las hay) y cómo podrían contrarestarse.
  1. Dado que ayer ya quité de modo permanente el enlace de la discordia y así se lo hice saber a la gente de Telefónica, quería dar por zanjado el tema, pero... esta mañana me encuentro (de hecho me avisó un amigo) que mi página estaba baneada en más de la mitad de los dns de los ISP's de España xD

    Acabo de dejar recado en Telefónica y, a pesar de haber algunas intermitencias, parece que la cosa empieza a funcionar...
  1. Finalmente y para terminar con el asunto, he tenido un intercambio de correos tanto con el personal de Telefónica como con mi proveedor de hosting (OVH) y voy a tener que "descolgar" la PoC por lo que ellos dicen que es un abuso de marca contra la entidad bancaria. Si no surge mayor inconveniente, lo quitaré en breve, así que quien le quiera echar un vistazo... que aproveche ;)

    Y si alguien quiere poder seguir disfrutándola, siempre puede buscarse un hosting gratuito por las Seychelles o algún sitio de similar jurisdicción :-)
  1. Todavía no me han contestado el correo, pero como podeis ver, sí que me han incluído en las listas de phishing y malware, y los navegadores que usan estas BD muestran algo como lo siguiente (Firefox/Iceweasel en el ejemplo):

    img708.imageshack.us/img708/8776/marcado.png

    Incluso mi hosting me abrió un ticket diciéndome que el site fue hackeado. En fin, seguiremos informando.
  1. EDIT: He recibido un correo del ANTI-FRAUD Command Center, al parecer unos servicios antiphishing que tiene contratado, al menos, un grupo de bancos entre los cuales está La Caixa, y ya les respondí. Pego aquí todo el tinglado para pedir consejo acerca de qué me toca hacer (aunque supongo que tendré que retirar la PoC):

    Hi there,

    I wrote an article [1] about bank phishing security issues which only purpose is to educate not only the average Internet user about this security concern, but it is also addressed to security professionals who like to be aware and up to date about how malware works.

    For this reason, I created a harmless live test with La Caixa site, a bank for which I am a current customer. The test just consists on taking the initial page content (the same way a browser does) and intercept the login process in order to prompt this data only to the user screen through javascript. That's all it does, as you can see & review in the source code (available here [2]).

    Having said that, last thing to say is the site IS NOT a fraudulent site, but a technical one with security educational purposes.

    [1] enchufado.com/post.php?ID=316
    [2] _http://enchufado.com/files/phish_lkx.tbz2_

    Kind regards,
    --
    jors <worbynet@gmail.com>

    El mié, 28-04-2010 a las 19:42 +0200, _Anti-Fraud_Command-Center_ escribió:
    Hello,
    >
    > Telefonica Spain is managing the FRAUDULENT ACTIONS against LA CAIXA BANK and all related with BRAND ABUSES against this finantial entity.
    >
    > We have detected that ENCHUFADO.COM IS HOSTING A FRAUDULENT WEBSITE that offers a BRAND ABUSE against LA CAIXA BANK from the next URL:
    >
    > _http://enchufado.com/files/phishing_lacaixa.php_
    >
    >
    > with this IP: 91.121.3.99, HOSTED ON

    …   » ver todo el comentario
  1. #12 Vale, entonces el que no lo pillé fui yo, sorry :-S
  1. #10 Que la parte más insegura de un sistema no es lo que hay detrás de los ojos de un usuario (entiendo que te referias a terceros), sino ¡el propio usuario! xD
  1. #8 Yo no iría tan lejos: PEBKAC xD

    Gracias a todos, un placer saber que hay a quién gustó la entrada.

Yo soy Vodafone.es, y orangemail.es, y mixmail.com [2]

  1. #1 Yo voto más bien por lo primero.

    La CA se tiene que preocupar de identificarte por varios canales, y hacerlo sólo por correo de ese modo sin exigirte siquiera ningún tipo de documentación legal de empresa, ni llamarte a un teléfono que conste como público y fiable de la misma, etc... lo veo una imprudencia por su parte que puede acabar en pérdida de fiabilidad. No se si de la CA o de los certificados convencionales (que sería algo bastante peor por la magnitud de la tragedia). Igualmente, ¿acaso la cuenta ssladmin@dominio.tld es un estandar?

Obispo de Córdoba: "Hay que ignorar a los que sacan los trapos sucios de la Iglesia" [102]

  1. Por la boca muere el pez, y con esta pecera que tenemos últimamente...

Peligroso, el uso de xilocaína en el sexo anal [57]

  1. Me ha hecho gracia uno de los productos que mencionan en el artículo: un spray vaginal que provoca efecto champagne. Seguro que sale más a cuenta comprar una botella de chapnagne/cava y jugar con contenido y continente :-D

Cruel España [98]

  1. Desde luego que no tengo palabras... Asco me da de pertenecer a la misma raza.

el "Youtube" de revistas y periódicos [4]

  1. Está chulo. Si además se pudiera descargar en algún formato de impresión (pdf, ps.. no para imprimir, sino para una buena visualización) ya sería la repanocha.

Apuntes sobre nutrición felina [3]

  1. No, la patrocinan las proteínas, carbohidratos, lípidos y otros principios no activos :-P
« anterior1

menéame