Bipunto..

jueves octubre 02, 2008

Recuperar los passwords de Firefox 3 (habiendo tenido FF2)

-'Una mala tarde la tiene cualquiera', decía Manolete. Y hoy tengo yo una de esas.

Manías de la limpieza, estaba yo "purgando" las passwords  que guarda el Firefox 3, tras el desaguisado que han montado, y 'me se' ha ido el dedo y en vez de darle a [Eliminar] le he dado a [Eliminar Todas] !Mergde?"!~@#!.

Lo primero que se me ha ocurrido es ir al Recuva para ver si me recuperaba el fichero "signons3.txt" (en Win32) donde se guardan las passwords, pero lo que hace el Firefox 3 es truncarlo a cero, en vez de borrarlo y volverlo a crear, por lo que no hay nada que recuperar.

Afortunadamente todavía tengo instalado el Firefox 2 y aunque comparten el mismo perfil de usuario (una malísima idea), -guardado en %APPDATA%/Mozilla/Firefox/Profiles/xxxxxxxx.default/- el ingeniero de turno decidió mantener un signons2.txt para FF2 y crear un nuevo signons3.txt para el FF3. Total, que borrando el fichero que le corresponde al FF3, al arrancar y no encontrarlo, si está presente el de la versión anterior, se lo coge y crea un nuevo signons3.txt con su contenido.

No se si esto funcionará cuando se tienen los passwords protegidos con una 'Master password', intuyo que no, pero quién tenga esa necesidad bien hará en hacer copia de seguridad de los ficheros implicados.

Ahí quedan mis 5cts..

lunes septiembre 29, 2008

Otro tonto error de un programador

A finales de los 90 existían un sinfín de redes montadas con el Windows de turno mediante la creación de un 'Grupo de Trabajo' bajo el cual se compartían impresora y discos. Técnicamente se utilizaban los servicios NetBIOS de la implementación de Microsoft y las credenciales se obtenían con un simple nombre de usuario y su password.

Como no podía ser de otra manera, los hackers vieron un filón en todos aquellos 'share resources' llenos de interesante información, y no se tardó en encontrar el bug que permitía, mediante un cliente de NetBIOS modificado, tomar acceso a cualquier recurso compartido con un Windows 95. El bug permaneció en secreto varios años hasta que en el 2000 fué detectado y corregido por Microsoft.

El error era tan simple, que incluso se especulaba si no había sido introducido como 'puerta trasera'. Consistía básicamente en que a la hora de chequear si la password pasada era la correcta, no se hacía en base a la longitud del password bueno, sino que se tomaba el que se recibía del cliente. Si un cliente de NetBIOS modificado enviaba un password de 1 carácter, probando 64 veces se lograba dar con la primera letra del password bueno y conseguir estar autorizado.

La historia se repite, esta vez en la videoconsola de última generación de Nintendo, la Wii, la cual por diseño está provista de los más avanzados sistemas de seguridad y encriptación. En la máquina, a partir del primer boot-loader se establece una cadena de confianza mediante criptografía fuerte, para el boot1, el boot2, el IOS, los canales (juegos) y finalmente los juegos que se leen del DVD⁽¹⁾. Todo el software va debidamente encriptado y firmado, usándose SHA-1, MD5, RSA2048 y AES. Pero como decía Confuncio (no se si fue él), 'una cadena es tan resistente como lo sea el eslabón más débil'.

Para desespero de los ingenieros de la Wii, la rutina que comprueba la firma de un DVD, para asegurar que su contenido sea íntegro, en la comparación entre el hash SHA-1 calculado a partir del contenido y el que se graba en el propio DVD (y que obviamente va firmado con la clave RSA privada) se hace a nivel de string y no binaria, es decir, cuando encuentra un cero, dará por bueno el contenido del DVD modificado, por lo que únicamente se tendrá que forzar este valor (los detalles al final del post ⁽²⁾).

He aquí el banner que utilizan los hackers de la Wii en su página HackMii.com..

(1) Para los que estén interesados en la secuencia de arranque de una Wii, la cosa va más o menos así. Al arrancar la máquina se ejecuta un código ROM que va embutido en el chip principal (Hollywood) , obviamente este código ni es leible exteriormente ni es modificable. La misión de este boot0 es cargar un boot1 de la memoria flash (NAND) y verificar mediante SHA-1 que su hash coincide con el que se ha escrito en el propio chip en una área PROM. El boot1 carga a su vez un boot2, verificando mediante  una hash encriptada con RSA la integridad de sus estructuras. Este último software es el que se actualiza de tanto en tanto por Nintendo para corregir bugs y tapar los agujeros de seguridad que le van encontrando.

(2) El FakeSigning o Firmas Trucha, consiste en modificar el contenido de un DVD de tal manera que su hash SHA-1, de 20 bytes, empiece por cero, luego, como firma RSA ponemos ceros, que por las propiedades del RSA indicará que el SHA-1 que encripta es todo ceros. Al comparar el SHA-1 calculado y el que va en la firma, se verificarán dos strings de longitud 0, cuya comparación siempre dará true. Si la comparación fuese binaria, se compararían los 20 bytes y daría false, a no ser que tuviesemos un maquinón para generar un contenido que su hash SHA-1 fuese todo ceros, algo criptográficamente imposible.

Nota: Este contenido se presenta con la única finalidad de divulgar conocimientos técnicos.

martes septiembre 23, 2008

Incongruencias espacio temporales

- o paradojas del offset cero-

Todo programador transcendental se habrá dado cuenta de que los arrays -en cualquier lenguaje que se precie⁽¹⁾- empiezan por el índice cero, es decir, el primer elemento es el cero, 'osea' Array[0]. Hasta aquí nada que no podamos admitir dogmáticamente con un poco de esfuerzo por nuestra parte. Sin embargo, cuando vemos que el segundo elemento es precisamente el del índice 1, nuestro esquema mental se altera un poquito.

-¿Array[1] es el elemento 2 del Array? ¿¡!? !Qué incongruencia!

Por supuesto que existe la "lógica" explicación en base a la "lógica" de punteros, pero no quiero entrar en temas metafísicos.

Curiosamente hay casos más paradójicos. Resulta que las 00:00:00 horas del martes 23 de septiembre de 2008, se corresponden con la medianoche entre el 23 y el 24, es decir, el segundo siguiente a las 23:59:59 (en un sistema horario con offset cero en el que no existen las 24:00:00). Sin embargo, a las 00:00:01, (sumándole un segundo más), estamos en el primer segundo del martes 23, tras el lunes 22, habiendo realizado un viaje para atrás en el tiempo.

Resumiendo, entre las 00:00:00 y las 00:00:01 de la misma fecha, no ha pasado un segundo, HA PASADO UN DIA ENTERO. Me río yo de los misterios de las teorías de Einstein.

Pues nada, vigilad no programéis un proceso batch para que se inicie nada más cambiar el nuevo día (en el instante 0), y resulta que hasta pasadas 24 horas de lo que preveísteis, no se os a ejecutado..

⁽¹⁾ Todo lenguaje que se precie ha de tener elementos místicos y dogmáticos que nos hagan recordar que dicho lenguaje 'es' el lenguaje de una máquina, usado para comunicarnos con ella, y  no para poder entenderla mejor, para eso ya se inventó el COBOL.

sábado septiembre 20, 2008

Día internacional del Software Libre

Hoy, 20 de Septiembre, es el día internacional del software libre.

En Spain hay registrados 8 grupos que organizan diversos actos para conmemorar tan 'efemeridioso' day.

Según Gartner Group, en 2012 el 90% de las compañías de todo el mundo utilizarán software basado en licencias libres. Yo me aventuro a vaticinar más allá, para esas fechas, todo software estratégico tendrá una licencia open source -cuanto menos-. Realmente esa cifra, dependiendo de en que capa del software se tenga en cuenta, no resulta tan llamativa, puesto que si tenemos en cuenta el creciente uso del software de internet (como webmails y otras aplicaciones web2.0), y que en su inmensa mayoría está hecho o vinculado a software opensource (como Apache, Mysql, PHP, Java, etc...) resulta bastante creible.

Es, en esta época de crisis ^{(peligro + oportunidad != crisis)}, en momentos de apretarse el cinturón, cuando con más seriedad las empresas se plantean alternativas no consideradas con anterioridad, cómo la de sustituir todo un parque de MS-Office por OpenOffice, o cambiar software de servidor con licencias, por otro 'sin'. Y ahora que ya ha caído el último bastión del software propietario y ya no es herejía usarlo, se le ha allanado bastante el camino para su plena aceptación, camino en el cuál sólo quedan los socavones de las patentes de software, mucho más dificiles de erradicar puesto que de por medio están alguna leyes.

Ante tanto hastío, proclamo yo que se cree ya, antes de que sea demasiado tarde, el "Día que no es el día de nada"..

jueves diciembre 20, 2007

Canon y la sopa boba

Por mucho que yo venga a denunciar en este insignificante weblog que 'Canon'='sopa boba', mucho dudo que apele al pundonor de los "artistas", en un país como este en donde el 'dame pan y llámame bobo' (también 'fírmame peonadas y llámame vago') está muy arraigado, consentido, tolerado y hasta bien visto por parte de la sociedad.

Aunque ya se haya dicho, escrito y blogueado todo lo que es de sentido común sobre el tema, el nuevo enfoque que está tomando el susodicho asunto no deja de añadirle estiércol. Y es que cuando la legítima reivindicación de los pobres contribuyentes para que no les chuleen más, adquiere un giro en donde de la condición de contribuyentes proxeneteados, pasan a ser votantes en busca y captura para las candidaturas ora liberales, mañana, como siempre, conservadoras, la cuestión pasa de tomadura de pelo a indecente obscenidad.

El canon, que se lo inventaron como compensación por la pérdida de ingresos de las ventas de 'audiovisuales' como consecuencia de la multitudinaria e irrefrenable copia, imposible de controlar por medios convencionales, en casettes y vídeos vírgenes de los originales, debería de extenderse a otros ámbitos igual de razonables.

• Debería de retenerse a cada trabajador de su cotización a la seguridad social, en concepto de canon, el equivalente a un paquete diario y dárselo a las tabacaleras por la pérdida de los ingresos por los ex-toxicómanos de nicotina perdidos.
  
• Se debería de establecerse un canon en las compras en las grandes superficies para compensar a los pequeños comercios de barrio por las pérdidas de ingresos que les causan.
• Debería de haber un canon aplicable al AVE para resarcir a las compañías aéreas por la pérdida de viajeros.
  
• Debería de crearse un canon aplicable a los internautas, por las pérdidas de ingresos por publicidad de las cadenas de TV tradicionales debidas a la reducción de televidentes y horas delante del televisor. Y por el mismo motivo gravar las videoconsolas.
• Mucho antes, se tendría que haber aplicado un canon a las cadenas de televisión para compensar a las salas de cine, por el robo de su clientela. Y otro para compensar a los productores de las películas, que no lograban rentabilizarlas como en la época dorada del cine en que no existía la TV.
• Se debería de cobrar un canon imputándolo al precio de los diarios de prensa gratuita para compensar a los diarios de pago tradicionales, por la pérdida de lectores y puestos en el OJD.
  
• Se debió también de aplicar un canon a las prendas de poliester para compensar a los productores castellanos de lana de oveja y algodón por el descenso de sus ventas.
• Y se debería de 'canear' (dícese de aplicar un canon) a los weblogers por la multitudinaria e irrefrenable apropiación de visitas, imposibles de controlar por medios convencionales, a los grandes portales (Terra, MSN, Ya.com, PortalMix, ...) y medios digitales (ElPais.es, LaVanguardia.es, elmundo.es, 20minutos.es, ...) y la consecuente pérdida de ingresos de estos.

En fin, caneémoslo todo y con carácter retroactivo..

P.D. Navideña: Se debería de aplicar un canon navideño a los abetos de navidad para promocionar a los belenes tradicionales, y otro canon especial, a Papa Noël para compensar a los Reyes Magos por la pérdida de un sinfín de ilusiones de niños tránsfugas.

Felices y cortas navidades.

sábado diciembre 08, 2007

Ideas y Buenas ideas

Es mayoritariamente admitido que las ideas 'per se' no tienen un valor intrínseco, a muchas personas le vienen a la cabeza una idea de tanto en cuando. Sin embargo, 'construir' una 'buena idea' no es algo tan común, es fruto de un proceso mucho más complejo, de un esfuerzo intelectual en el que no sólo interviene la imaginación y la creatividad, sino que necesita de conocimientos multidisciplinarios y como no, de tiempo para crearla y madurarla convenientemente.
Las buenas ideas, al ser bienes escasos, son valiosas, y no menos las personas con la facilidad para crearlas, y si no que se lo pregunten a los directivos de las empresas de publicidad cuando van a la caza de 'creativos', por poner un ejemplo.

Cuando Sony tuvo la idea de crear la mejor videoconsola jamás construida para que las personas amantes de los vídeo juegos deseasen tener una, no tuvo una 'buena' idea, es una idea que a cualquier organismo con inteligencia se le hubiese ocurrido. El ir a buscar la arquitectura más potente que existía en esos momentos para su PS3 apenas merece reconocimiento, es como decir '-He comido estupendamente el en restaurante xxx por 400€', faltaría más.

Que Microsoft viese como el creciente y el más multimillonario mercado del ocio desfilase por delante suyo y tuviese la idea de conquistar una parte del pastel con su software, tampoco parece que sea algo que necesariamente se le tenga que ocurrir a alguna mente especialmente brillante, más bien se necesita tener una buena caja llena de $$$ y algo de insensatez para abordar la aventura.

En cambio, cuando Nintendo tuvo la idea de crear una videoconsola para que a la gente que no le gustaran los vídeo juegos les apeteciese jugar, eso sí fue una 'buena idea', ya que en sí es una contradicción, y hay que ser muy creativo y visionario para llevarla a la práctica, y además con éxito.

No obstante, aquella persona de Sony que les propuso la manera de introducir su Blu-ray en el mercado de consumo mucho más deprisa de lo que sería habitual para este tipo de dispositivos, y adelantarse así al HD-DVD en cuotas de mercado, para poder vender así más peliculas de su 'Sony Pictures Entertaiment' amén de cobrar rollalties, sí que tuvo una 'buena idea'. El integrar el lector de Blu-ray dentro de la PS3, algo que quizás tuvo que ver para que dicha consola necesitase mucho más hardware del que sería razonable, no parece que sea para dotar de más extras a la videoconsola, es más, me atrevería a decir, que la PS3 no es una máquina concebida para vender videojuegos, sino que es una máquina para vender películas de alta definición en Blu-ray. Si esto no fuera así, el último modelo creado para rebajar el precio de la videoconsola, en vez de eliminar su retrocompatibilidad con la PS2 (una 'mala idea') y tres nimiedades más, hubiesen optado por quitar el costoso reproductor de Blu-ray y en su lugar hubiesen hecho una versión con un lector de DVD con una reducción de precio mucho más drástica. Porque a día de hoy ¿cuantos videojuegos para la PS3 van sobre Blu-ray?..

lunes octubre 15, 2007

Relanzamiento de cocoon.apache.org

A la espera de la publicación de la ansiada versión de Apache Cocoon 2.2, los commiters han remodelado la web del proyecto, dándole un aspecto mucho más agradable y más 'Web2.0', aventurando lo que será esta nueva versión.

Cocoon es un framework para la creación de aplicaciones web, centrado en XML. Fué uno de los pioneros en apostar por la IoC (Inversión Of Control) y por ello fue creado sobre Apache Avalon (Excalibur).

Justamente, la migración de Avalon a Spring framework es una de las mejoras que traerá esta nueva versión 2.2, aunque dadas las diferencias con las anteriores versiones, quizás debería mejor haberse denominado Cocoon 3.0. Ya es posible descargar una RC2 para probar las nuevas características.

Otros cambios destacables son:

• Creación de los binarios con Maven, abandonando Ant.
• Migración de los componentes de Avalon (ahora Excalibur) a los componentes OSGi con Spring.
  
• Reemplazo de LogKit por Log4Java.

Pero quizás lo más destacable de esta nueva etapa de Cocoon, sea el interés y el esfuerzo por mejorar la documentación y hacer que Cocoon sea más fácil de usar y capte nuevos adeptos. Esto en parte ya se nota desde la nueva web.

Por otro lado, una vez finalizada la conferencia 'GetTogether 2007', celebrada en Roma, ya están disponibles las presentaciones desde la wiki de Cocoon, con interesante contenido.

En vista de semejante evolución, se espera una larga vida a Cocoon..

viernes octubre 12, 2007

Wii con teclado USB La última actualización del firmware de la Wii de Nintendo, la 3.1, entre otras mejoras, permite la utilización de un teclado con conexión Usb, incluso si es inalámbrico, con lo que se puede escribir cómodamente desparramado en el sofá del comedor. Además, permite disimular un poco más la introducción del código de bloqueo parental, ya que cuando se introduce con el wiimote, a poco espabilado que sea tu hijo pequeño, no tardará mucho en descubrirlo .[Read More] Posted by Feliciano Borrego Vicente in Wii at 20071012 Comentarios[0]

martes septiembre 18, 2007

Edicion en Roller off-line con w.bloggar

Esta entrada ha sido creada off-line mediante el editor de posts w.bloggar.


w.bloggar funciona como un prograna que usa ActiveX para IExplorer, o con el plugging de ActiveX para los navegadores basados en Mozilla/Firefox.


La configuración para el Apache Roller 3.1 es:

• API: MetaWeblog API


• Host: weblog.javahispano.org


• url: /roller-services/xmlrpc

viernes septiembre 14, 2007

Los términos mas buscados

Igual que "cuando el bosque no deja ver qué árboles tienen fruto", en las nube de etiquetas (tags cloud), y que aparecen últimamente por doquier, si alguien se pone a mirar atentamente dentro de ellas para ver cuales son los términos más buscados o por cuales los internautas parece que están más interesados, podrá observar dos cosas curiosas que a mi se me han revelado:

1. Que muchos de los términos con mayor puntuación son términos genéricos, de apenas valor, que son la parte insustancial de frases o que no se sabe el porqué es difícil desbancarlos de los primeros puestos, pero que son de dudosa relevancia.
   
2. Que con frecuencia se cuela algún que otro término de naturaleza HOIGAN como yasta; yaparte; osea; ..., (otros HEJEMPLOS).

La conclusión es que los algoritmos de generación de nubes de etiquetas deberían de ser un poco más inteligentes, ¿qué valor tiene que la palabra blog, o internet, o humor, o sexo, aparezcan como las de mayor relevancia ? ¿qué aporta el hecho de que perpetuamente estén en dichas posiciones ? ¿El problema está en la elección de los términos?.

De hecho, los términos de una sola palabra, son a menudo poco orientativos, que el término juego aparezca como muy relevante seguido de otros de menor relevancia como blog, internet, gratis o sexo es apenas ilustrativo, pero si el tag es 'juegos gratis internet sexo', sí que se sabe a ciencia cierta que es lo que interesa a dichos internautas.

Dicho de otro modo, cuando asociamos a algún objeto (una entrada en un weblog, una foto, un vídeo, una canción, ...) varios tags simples, lo que queremos hacer a menudo, es que dicho conjunto de tags, formen un todo asociado a dicho objeto, por lo que si el analizador de tags luego nos los descompone en los simples, no obtendrá una nube de términos relevante. En dichos casos, lo mejor es crear términos formados por más de una palabra, aunque esto multiplique el número de tags a utilizar..