Alpha's Manifesto

La madriguera de una insignificante figurita blanquinegra.

October 5, 2011
09:45
Link del día

Link del día: Lineamientos de seguridad

Desde los geniales posts que nuestro amigo Alan Pasho ha escrito para el blog de CommonSense, en la serie de Is Your Website or App Secure? (recomiendo la lectura de todos ellos), me encontré ayer con los lieamientos que Mozilla impone a sus desarrolladores como medidas de seguridad al momento de desarrollar aplicaciones.

Cabe destacar que estos lineamientos, WebAppSec/Secure Coding Guidelines, no son nada cortos, pero sí detallados, y se cubren tópicos desde manejo de sesiones a (lo más básico) validación y autenticación. Si alguien está pensando en armar un checklist, este es muy buen comienzo, y si alguien quiere una guía completa de qué cubrir, puede leer esto o, por supueto, todo el contenido de OWASP y los libros relacionados.

Sabemos que la seguridad es todo un mundo, pero cuando se trata de hacer verificaciones o checkeos, siempre necesitamos una lista rápida,y tanto los posts de Alan como la guía de Mozilla son un buen lugar para hacer esa checklist de items.

Soy un zorrinito asegurado.

Tags: , , , , , , ,

Sin comentarios aún.

October 4, 2011
09:28
Link del día

Link del día: HackArmoury

Como de costumbre, la gente de DragonJar postea cosas muy útiles e informativas en el ámbito de la seguridad. En este caso se trata de dar a conocer HackArmoury, un sitio dedicado a ser un repositorio de herramientas lo más accesible posible, de forma que estemos en donde estemos, con las restricciones que tengamos, siempre podamos acceder a las herramientas útiles en el ámbito de la seguridad.

Cabe destacar que este sitio ha innovado en cuanto a las formas que se tiene de acceder a él. No sólo están el típico HTTP y FTP, sino que también podemos entrar a través de Samba (SMB), rsync, IPv6, TFTP, SVN.. por supuesto, lo estarán expandiendo en el futuro. (Por qué no, por ejemplo… email?)

Soy un zorrinito armado.

Tags: , , ,

Sin comentarios aún.

September 27, 2011
10:11
Link del día

Link del día: Cryptico.js

Ya alguna vez había mencionado una librería JavaScript para encriptar datos (jCryption), pero nunca está de más considerar otras alternativas. En este caso se trata de cryptico.js. El proyecto también es de Open Source y nos permite usar AES y RSA (o eso leí, pero la documentación sólo menciona RSA), y con una serie de métodos muy simples, nos permite operar con cadenas que queramos utilizar para transmitir de forma segura.

Lo curioso es que podemos generar claves especificando el tamaño de la misma, pudiendo ir desde una clave de 512 bits hasta 8192… pedazo de clave.

Este tipo de encriptación, por el hecho requerir una clave “insegura” para generar la clave RSA, no es inseguro de por sí. Recordemos que estamos hablando de encriptación asimétrica, de forma que por más que se tenga la clave generada, no hay inseguridad, puesto que es la otra clave (la que se queda con nosotros, la privada) la que se usará para desencriptar los datos.

Soy un zorrinito encriptado.

Tags: , , , ,

Sin comentarios aún.

September 25, 2011
22:06
Misceláneos

Misceláneos del fin de semana

Por un lado, esto es una excusa para probar IfTTT. Luego hablaré sobre esto.

Por otro lado, sigo avanzando con el libro de Minsky, The Emotion Machine, sin embargo, ya estoy terminando el capítulo 7 y no creo que vaya a hacer un resumen de capítulo por capítulo como estaba haciendo. Siento que pierdo demasiado tiempo en los detalles cuando lo importante lo puedo resumir al terminar. A la vez, detecto ciertas debilidades en la teoría de Minsky pero quiero darle la oportunidad de justificarse antes de terminar. Aún así, no pongo en duda nada. Hablamos de Minsky, lo pensó bastante mejor que yo. También lo hablaremos luego.

Por otro lado más, veré de apresurar los ratings de películas. Ahora también juego con IMDB y su sistema de recomendaciones. Por lo pronto, aquí está la lista de todo lo que encontré para rankear, y la lista de mis películas pendientes para ver. Todo está en proceso de construcción.

También estoy pensando en volver esto más microblogging… necesito hacer un serio trabajo de rediseño aquí.

Hice un pequeño post sobre Cross Domain POST Requests. Aparentemente no hay nada que los detenga de ocurrir. Si bien eso no es noticia, me pregunto por qué hay problema con Cross Site Ajax Requests y no con esto. El post y una pequeña prueba están aquí.

Por último, pronto se vendrá el review de Killer Elite, si es que llego a verla.

Tags: , , , ,

Sin comentarios aún.

September 6, 2011
08:33
Link del día

Link del día: Privacidad en las redes sociales

Las redes sociales siempre fueron una preocupación en cuanto a la privacidad de los datos y la forma en la que fácilmente otras personas nos pueden engañar. De hecho, mientras mejor cumplan su trabajo, más peligrosas van a ser en este sentido.

Es por eso que la gente de DragonJar hizo un buen post, casi-recopilatorio, sobre este tema. Se titula: Cómo conservar la privacidad en las redes sociales. En él nos explican una serie de conceptos básicos a modo de caricatura (orientado a chicos que ya son familiares con estas tecnologías) y de ahí una serie de posts que ellos mismos poseen sobre la seguridad en internet, y guías específicas para proteger los datos en cada una de las redes sociales que hoy son más populares (Facebook, Flickr, Hi5, Last.FM, LinkedIn, MySpace, Orkut, Tuenti, Twitter, Windows Live Spaces, Xing y Youtube).

Soy un zorrinito privado.

Tags: , , ,

Sin comentarios aún.

August 30, 2011
10:22
Link del día

Link del día: Seguridad, de verdad

Seguramente nosotros nos sentimos protegidos porque tenemos… qué? Un antivirus y un firewall? Muchos de nosotros ni eso debemos tener.

Sin embargo hay gente que se toma la seguridad en serio, y está muy interesante analizar esos casos para aprender qué hacen y por qué. Y creanmé, que las posibilidades que se pueden abordar son enormes y extrañamente complejas. ¿Has pensado que podrías encriptar todo lo que se almacena en tu RAM? ¿Has pensado en llevar contigo tu partición de booteo para que nadie pueda encender tu máquina? ¿Has pensado en usar Windows como honeypot para que alguien lo use y puedas detectar en donde está tu máquina? ¿Restringir los permisos del navegador?

Y la lista continúa. Por supuesto, según dice el autor de este artículo, se puede hacer mucho más, y no estoy realmente seguro, pero por lo menos lo hice un poco más difícil.

El artículo en cuestión es Protecting a laptop from Simple and Sophisticated Attacks, de Mike Cardwell.

Soy un zorrinito inseguro.

Tags: , , ,

2 comentarios

August 23, 2011
02:40
Tecnología

Encuesta redes sociales

Llegó a mis manos una encuesta que ayudé a difunder sobre redes sociales. Encontré algunos resultados interesantes, así que decidí además probar Prezi (del cual ya había hablado alguna vez), y ver si podía hacer una presentación con él. Aquí está el resultado de un rato de trabajo.

Soy un zorrinito social.

Tags: , , , ,

3 comentarios

August 22, 2011
11:32
Link del día

Link del día: Trackeo de usuarios, desde caché

Gracias a una característica propia de los browsers en cuanto a la forma que cachean elementos (algo que está funcionando desde hace un buen tiempo ya), resulta que es posible que explotando esa funcionalidad se pueda hacer trackeo de usuarios de la misma forma que podríamos hacerlo con cookies u otros elementos persistentes (recuerdan EverCookie?).

Y resulta que las técnicas no son simples de salvar para que esto no ocurra. Como el autor lo menciona en su artículo, Preventing Web Tracking via de Browser Cache, “esto no es algo con un arreglo simple“.

Él nos explica también cómo se puede lograr este tracking con varios métodos, sin nada que alerte al usuario de estar siendo trackeado.

¿Ustedes qué piensan? ¿Puede esto ser un problema para la seguridad?

Soy un zorrinito cacheado.

Tags: , ,

Sin comentarios aún.

May 31, 2011
13:16
Link del día

Link del día: Phantom, un nuevo protocolo para anonimidad

Recuerdan Freenet y cómo se basaba en el concepto de crear una internet paralela, totalmente descentralizada e indetectable? La idea sigue creciendo y el proyecto sigue obteniendo sus aportes, pero también han surgido esfuerzos paralelos, que también intentan solucionar alguno de los problemas que este proyecto tuvo.

Phantom es un proyecto similar. Básicamente plantea los mismos estándares y, para ser más precisos, lo indico desde la página de su proyecto:

  1. Completamente descentralizado
  2. Resistencia máxima a todo tipo de ataque DoS
  3. Anonimidad segura
  4. Encriptación de transporte segura de punta-a-punta
  5. Aislada completamente de la internet actual
  6. Protección máxima de identificación de uso del protocolo a través de análisis de tráfico
  7. Capaz de trabajar con altos volúmenes y buenos resultados
  8. Diseño genérico y abstraído compatible con todos los softwares de redes actuales y futuros

Por lo que vemos, no es nada de principiante, y personalmente no he podido probarlo pero sí me siento muy interesado en poder hacerlo. ¿Ustedes qué opinan?

Soy un zorrinito seguro.

Tags: , , , , , ,

2 comentarios

March 8, 2011
14:25
Link del día

Link del día: *Coca* Cola

Esto fue noticia hace un par de semanas, y alguien me lo compartió por Google Reader (fuiste vos kangrejo? Muchas gracias). Aparentemente hace poco se ha develado al público la fórmula completa de la Coca Cola, fórmula que según rumores era uno de los más grandes secretos guardados. (Y ahora que está de moda el filtrado de la información…)

El artículo publicado en Gizmodo llamado Ya sabemos la fórmula secreta de la Coca Cola contiene los detalles de la historia y de la receta en sí. Aparentemente, no había nada del otro mundo… exceptuando el extracto de la hoja de coca. Parece que este rumor sí era verdad, y que aparentemente esta empresa es la única que puede legalmente comercializar un producto de este estilo. ¿Preferencias corporativas? ¿Quién sabe…?

Soy un zorrinito secreto.

Tags: , ,

Sin comentarios aún.