No siempre podemos confiar en los mecanismos de seguridad disponibles en el mercado, por ello es que deben co-existir muchos productos para una misma necesidad, pongamonos en el caso de SSL, existen 1001 manuales en Internet que exponen ataques usando N tecnicas diferentes logrando comprometer la información transferida entre los 2 puntos. TLS nace para suplantarlo pero para algunos cojea de la misma pata pues mientras el mecanismo de encriptación genere resultados seguros a nivel militar y la información sea transferida entre los 2 puntos siempre habrá al menos un eslabón debil en la cadena y es el caso a continuación.

Al parecer una empresa dedicada a generar certificados de Seguridad “DigiNotar” a distribuido certificados fraudulentos para direcciones *.google.com a un tercero con intenciones de redirigir trafico de usuarios localizados en Iran. Lo curioso es que estos certificados pueden ser usados para generar ataques usando técnicas de Man in the Midle (MITM) para todos los servicios de Google. En mi opinión se han prostituido las llaves maestras del Internet, dándole poder a muchas empresas que no siguen al pie de la letra las condiciones de seguridad generar certificados a “titirimundachi”.

Todavía es muy temprano para realizar la caceria de brujas, me gustaria esperar un poco para quemar vivo al responsable y asegurarme de que es el antes de prenderle candela a la leña y evitar un nuevo Ipswich antes de tiempo. En CNET tienen la noticia completa, clic aquí para leerla.

Comenta… comenta…!!!

Leer más

Desde que trabajo de manera independiente he tenido que ser más paciente e incisivo sobre las preferencias de los clientes, sobre todo cuando hay diseño gráfico involucrado, la mayoría de las veces no saben por cual muestra decidirse o escogen la que menos me gusta, irónico pero cierto. Aveces llega lo que defino como “clientes celestiales” estos ya saben lo que quieren, tienen bastante tiempo con el concepto en su cabeza y son muy decididos, la mayoría del tiempo ya poseen algunas muestras de lo que quieren o intentos hechos por otros freelancers que han fallado en completar el proyecto.

Hace semanas me contactaron para diseñar/desarrollar un sitio web completo, lastimosamente no puedo divulgar mucho sobre la finalidad del mismo, solo puedo decir que si todo va bien podría ser Trend Topic en twitter muy pronto, lo curioso es que fue uno de esos “clientes celestiales”, decidido y bien centrado en lo que quiere, tan atento que me proporciono algunas plantillas a modo de inspiración, estas plantillas para WordPress las había descargado de un sitio famoso, lo mejor de todo es que como el refirió, la plantilla “es gratis”.

Luego de examinar la plantilla en cuestión, me encontré con una linea bastante “diferente”, check this out:

La linea que me llamo la atención
Linea malvada!


WTF!, eso no parece un código común de una plantilla de WordPress, luego de decodificar varias veces esa linea me encuentro con esto:

Código Verdadero
Lo que escondia la linea en base64


Examinando el código observamos que no es tan grave, no están tratando de explotar una vulnerabilidad o algo parecido, solo están colocando publicidad, pero creo que a mi cliente no le hubiese gustado tener esa publicidad en su sitio. Moraleja… no todo lo gratis es bueno, siempre debemos al menos pasarle un antivirus al contenido que descargamos por la web, saludos.

Leer más