miércoles, mayo 31, 2017

Descubrir el password detrás de los asteriscos en un programa

Muchas veces nos sucede que olvidamos el password que tenemos en un programa, entonces tenemos que realizar un proceso de recuperación de contraseña o en última instancia resetear a los valores por defecto.

Por suerte existen algunas aplicaciones que nos permiten revelar la clave detrás de los asteriscos en los programas la misma se llama BulletsPassView de Nirsoft.

Sencilla de utilizar, útil y de pequeño tamaño este programa servirá para salvarnos en esas ocasiones.

domingo, mayo 28, 2017

Miniflux, un lector RSS con el concepto KISS

Existen varios lectores RSS, cada uno con sus pro y sus contra. En general cada uno debe elegir el que mejor se adapte a su necesidad, o el que uno se sienta más cómodo. Para eso no queda otra opción que probar varios, leer comparativas y de esta forma poder elegir.

Hoy voy a comentar un poco de Miniflux, un lector RSS muy particular.
Su principal característica es que tiene una interfaz muy liviana, es responsive (se adapta sin problema a cualquier tipo de pantalla), y funciona desde un servidor (tal como tt-rss). En otras palabras es un lector de RSS minimalista.


El hecho que funcione en un servidor significa que quién actualiza los feeds es el propio servidor (generalmente mediante CRON), de esta forma uno se desentiende de perder algún feed por un día que no se olvide de prender la computador o abrir el lector de feed.

La configuración de CRON puede ser un poco complicada para usuarios no expertos pero todo se termina resolviendo (en mi caso tuve que adaptar una línea de código, donde se comparaba con 'cli' puse 'cgi-fcgi').

Tal vez lo que mas llama la atención de Miniflux es que no posee una búsqueda avanzada ni filtros (una función muy usada y útil en los lectores RSS), lo cierto es que -según se ven en los tickets de github-, no es algo que se considere hacer a futuro dado que la filosofía es "menos es más". Esto quiere decir que buscan hacer algo bien, y en este caso ese "algo" es solamente un programa que recupere los RSS, los almacene y permite una vista ágil. Esto es muy similar al concepto KISS y la filosofía UNIX.

Otra opción interesante que tiene es que permite bajar los feeds completos más allá si solo se publica en el RSS el resumen o no. De esta forma se puede realizar la búsqueda por toda la noticia. Para esta opción cuenta con algunos filtros por defecto pero leyendo la documentación se pueden crear nuevos y adaptarlos según los feeds que uno lea.

Se encuentra programado en PHP y almacena la información por defecto en un archivo SQLite. Esto hace que sea muy fácil de instalar y la configuración sea mínima. A su vez si se desea añadir algún filtro se puede hacer directamente leyendo este archivo.

La aplicación es realmente ágil y muy sencilla.

Se puede descargar el código fuente para instalar en un servidor o se puede probar el servicio ya hosteado.

sábado, mayo 27, 2017

Kiwix sin instalar binarios gracias a HTML5

Hace un tiempo ya se comentó de la excelente aplicación Kiwix que permite acceder a contenido de forma offline, específicamente a la Wikipedia.
Esta aplicación es un lector de archivos ZIM, que es un formato especial para este tipo de archivos.

Pues bien, hay una alternativa muy interesante que es una extensión para navegadores como Chrome o Firefox, y nos permite leer archivos ZIM sin necesidad de instalar un nuevo programa, ni ejecutar un binario nuevo (esto es especialmente muy relevante cuando no tenemos permisos acordes).


Pueden descargar la extensión para Firefox o para Chrome o sino ver el código fuente en Github.

miércoles, mayo 24, 2017

¿Podemos confiar en el Software Criptográfico?

Pregunta que parece simple pero no lo es. Una respuesta puede ser simplemente no. Otro respuesta es al menos una solución. A ciencia cierta es difícil aseverar que un software es seguro, en efecto ninguno lo es. Pero lo que si se puede aseverar es que pasó ciertos controles por parte de una auditoria o que cumple ciertas condiciones (claro si confiamos en las personas que realizan estas verificaciones).

En efecto en una de las primeras entradas de este blog se comentó cómo utilizar GPG4Win, una herramienta de GPG para entornos Windows.
GPG es uno de los software emblemáticos de cifrado, utilizado por millones de personas, pero la noticia sorprendió a todos allá por febrero de 2015 cuando un periodista dijo de forma contundente: "El cifrado del correo electrónico mundial depende de un tipo que va a la quiebra". Afortunadamente rápido muchas organizaciones decidieron apoyar el proyecto, pero el solo hecho que uno de los programas más críticos de cifrado dependan de una sola persona... ¿no es al menos peligroso?


Otras noticias existieron en el pasado como los problemas en los números aleatorios de Debian y más recientes los problemas con TrueCrypt.

El experto en Seguridad Informática Bruce Schneier publicó en su blog un listado con un análisis del software de cifrado desglosado por el país del fabricante. Cómo se puede ver alternativas hay muchas.

El hecho de que el código este disponible (código abierto o software libre) tampoco asegura nada, tal como se vio en los primeros tres casos.

En conclusión, el cifrado nos de una solución, una mejora o tal vez una capa más de problemas... "Se acerca el invierno".

lunes, mayo 22, 2017

WannaCry: el ransomware que ha despertado las alertas mundiales

El Viernes 12 de Marzo de 2017 se han despertado las alertas mundiales por un ataque de un nuevo ransomware. Este malware que por las primeras noticias alertaban de empresas de telecomunicaciones y bancos de España, luego se conoció información de que también estaba atacando al sistema de salud de Reino Unido.

El ataque fue bastante astuto, aprovechó una vulnerabilidad muy reciente que se hizo pública en los sistemas operativos Windows y gracias a su capacidad de escanear las redes locales pudo infectar una gran cantidad de computadoras en distintas empresas.


Al momento, un poco más de 10 días del ataque, se estima que se han pagado más de 49 BTC (algo así cómo 110.000 dolares a cambio actual). Cada rescate rondaba entre los 300 y los 600 dolares en bitcoin.

Si bien lo cierto es que muchos plantearon los problemas que implica aplicar los parches en entornos corporativos, muchos expertos sugieren que el parche no debe ser la única solución a los distintos problemas que pueden surgir en los ataques informáticos. Por lo que distintas políticas de seguridad de la información se deben aplicar de forma complementaria.

Si bien está claro que este ataque mundial ha dado muchas enseñanzas, varios especialistas afirman que difícilmente se aprenda, y ataques similares probablemente vuelvan a ocurrir.

sábado, mayo 20, 2017

Físicos Argentinos objetan la "mística cuántica" desarrollada por Amit Goswami que es fomentada impulsada por el gobierno de la provincia de Buenos Aires

La pseudociencia es algo que encanta y atrapa. Los manuales de autoayuda también. Lo espiritual, lo místico, lo mágico es hermoso. Pero no es ciencia. Es una cruel burda mentira.

El gobierno de la Provincia de Buenos Aires, por parte del funcionario Alejandro Finocchiaro, ha impulsado una actividad de "capacitación" (de-capacitación) a docentes bonaerenses. Algo así como un alimento al espíritu. Para esto buscó a un físico (vamos, que esta gente parece seria) para que capacite a los docentes.

Pero no un físico cualquiera, sino uno que habla de la "mística cuántica" una distorsión absurda de la física cuantica.

Si bien este hecho fue advertido por algunos medios de comunicación, no generó mayor trascendencia en los medios masivos. Lo interesante fue la carta abierta que realizó la Asociación Física Argentina, en donde expone los problemas de considerar a estas personas como representantes valederos de los conceptos de la física.

miércoles, mayo 17, 2017

Instalar aplicaciones sin permisos de administrador en Windows

Es común en entornos corporativos la aplicación de restricciones a las computadoras, es decir que los usuarios la utilicen con permisos limitados. Esto suele servir para evitar distintos problemas principalmente orientados al malware pero también para evitar realizar constantemente tareas de mantenimiento.

A continuación se realizarán tres alternativas para poder instalar software sin poseer permisos de administrador.
  1. Utilizar programas que no requieran ser instalados. Y en caso que no posea revisar si alguien lo transformó en una versión portable.
  2. Ver si hay algún software alternativo al que uno quiere instalar y ver punto 1.
  3. Tener una máquina virtual e instalar las cosas dentro de esta (tal vez para la instalación de la máquina SI se requieran permisos, pero esto solo se realiza una vez).
De esta forma podremos correr nuestro software sin inconvenientes.

miércoles, mayo 10, 2017

WikipediaP2P: utilizando CacheP2P en Wikipedia

La fundación Wikimedia da soporte a distintos proyectos entre estos Wikipedia.
Wikipedia es uno de los sitios que más tráfico genera en internet, por más que sea de los más optimizados.

Dado que las conexiones tienen un alto costo, y debido a que Wikipedia se sustenta gracias a donaciones, es importante tener en cuenta porqué se busca optimizar al máximo posible la transferencia de datos.



La buena noticia es que cualquier usuario de Wikipedia puede ayudar a aliviar un poco el tráfico, simplemente utilizando una extensión en el navegador.

Se trata de WikipediaP2P y es una implementación de CacheP2P aplicado a Wikipedia. Basta con instalar y activar la extensión, de esta forma compartiremos en una red basada en Bittorrent nuestra cache de Wikipedia.

miércoles, mayo 03, 2017

QLink y PrivateBin alternativas a Privnote: mensajes cifrados autodestruíbles vía web

Así es, aparece con el correr del tiempo más alternativas al ya conocido Privnote.
En este caso una opción realizada por unos argentinos es QLink, esta web permite enviar mensajes teniendo distintas consideraciones importantes respecto a la privacidad como la generación de entropía.
También cuenta con la aplicación para celulares Android.


Otra opción también interesante es PrivateBin la cual es código abierto tal como otro software similar llamado Safe Webnotes comentado hace un tiempo atrás.

Estas alternativas son muy interesantes dado que por ejemplo PrivateBin puede ser instalada en un servidor propio.

Ambos, PrivateBin como QLink, realizan el cifrado y descifrado en el cliente (navegador web) .

¿Que grado de seguridad nos otorga? Es difícil determinar sin examinar por completo el código, pero de cierta forma la seguridad es aceptable. También vale aclarar cuales pueden ser los puntos flojos, por ejemplo que la web inyecte código que una vez mostrado el mensaje descifrado lo capture y lo reenvíe mediante JavaScript.
Recibe las actualizaciones en tu correo