ERRORES

La sentencia prohibida



Últimamente se han descubierto un par de errores bastante serios relacionados con la comprobación de certificados digitales. El primero de los casos saltó a la palestra cuando Apple trató de parchear de forma silenciosa parte del código nativo en los sistemas de Apple que valida los certificados digitales. En este caso a Apple se le “escapó” un goto fail; que prácticamente invalidaba la función de validación. Este sólo parece que afectaba a Safari dentro los navegadores más conocidos, ya que Firefox y Chrome usan sus propias rutinas de comprobación y no la nativa del sistema. Ya nuestros compañeros de Seguridad Apple se hicieron eco de la noticia en su día y si quieres saber un poco más dales una visita.

Análisis estático de código en scripts de Bash



Una de las opciones de las que dispone Bash es la opción -n, que hace un análisis sintáctico de un script y nos alerta de errores en nuestro script.

Muchas veces, cometemos errores que no son sintácticos, sino más bien por desconocimiento o despiste podemos escribir código que sintácticamente es correcto, pero la ejecución del mismo no es lo que realmente esperamos del mismo.

Una buena referencia sobre este tipo de errores, errores comunes que se cometen en la programación de scripts Bash es Bash Pitfalls. Dónde concretamente nos dan 44 ejemplos de errores comunes con su correspondiente explicación.

Top 10 fallos de hacking en películas y series

En HackADay han recopilado estos Top 10 fallos de hacking que han ocurrido en películas y series.

Algunos son realmente espectaculares por lo malas que son las escenas (no deberían ni de catalogarse como hacking, pero bueno).

Esta es la Primera parte, Top 10 hacking failures in movies (en inglés pero recuerda que siempre puedes activar los subtítulos), fruto de preguntar a sus lectores:

 

Los 25 errores más peligrosos del software según CWE/SANS 2011



Como el título indica, esta es la lista que este año han creado CWE/SANS sobre los errores más peligrosos que cometemos los programadores en este año 2011.

Pos	Punt	ID	Descripción
[1]	93.8	CWE-89	No filtrar propiamente las sentencias SQL (Inyección SQL)
[2]	83.3	CWE-78	No filtrar las llamadas al sistema de forma adecuada (Inyección en comandos del SO)
[3]	79.0	CWE-120	No chequear el tamaño de la memoria reservada a la hora de copiar datos (desbordamiento de memoria)
[4]	77.7	CWE-79	No detectar la inyección de scripting (XSS)
[5]	76.9	CWE-306	No autentificar en llamada a funciones críticas
[6]	76.8	CWE-862	No autorización
[7]	75.0	CWE-798	Usar credenciales estáticos en el código
[8]	75.0	CWE-311	No cifrado de datos sensibles
[9]	74.0	CWE-434	No restringir la subida de ficheros a ciertos formatos
[10]	73.8	CWE-807	Confiar en una fuente de datos no confiable a la hora de tomar una decisión de seguridad
[11]	73.1	CWE-250	Ejecución con privilegios innecesarios
[12]	70.1	CWE-352	Cross-Site Request Forgery (CSRF)
[13]	69.3	CWE-22	No limitar el acceso al sistema de ficheros a directorios restringidos
[14]	68.5	CWE-494	Descarga de código sin chequear la integridad del mismo
[15]	67.8	CWE-863	Autorización incorrecta
[16]	66.0	CWE-829	Permitir la integración de funcionalidades de fuentes no confiables
[17]	65.5	CWE-732	Asignación de permisos incorrecta a recursos críticos
[18]	64.6	CWE-676	Uso de funciones potencialmente peligrosas
[19]	64.1	CWE-327	User un algoritmo de cifrado que ha sido comprometido o roto
[20]	62.4	CWE-131	Cálculo incorrecto del tamaño de memoria
[21]	61.5	CWE-307	No restricción a un número de intentos fallidos de acceso
[22]	61.1	CWE-601	Redirección URL a sitios no confiables ('Open Redirect')
[23]	61.0	CWE-134	Formato de cadena no controlado
[24]	60.3	CWE-190	Desbordamiento de enterios
[25]	59.9	CWE-759	Aplicar una función hash sin usar la sal

Aquí tienes toda la información en PDF

Soluto, aplicación para acelerar el arranque y reparar errores de Windows

 

Windows

Esta aplicación permite reparar esos fatídicos cuelgues, bloqueos, BSOD, etc. de Windows. Pero no sólo puede reparar estos problemas, además tiene una utilidad para acelerar el arranque de tu equipo y te ayuda también a deshabilitar los molestos add-on de los navegadores.

Lo mejor es que la pruebes y saques tus conclusiones, es gratuita y puedes descargarla desde aquí.

Más información y capturas de pantalla de la aplicación en HTG.

Películas Sci-Fi versus Ciencia

 

Este cuadro nos muestra una tabla que indica los mayores errores científicos cometidos en películas de Ciencia Ficción.

Los diferentes apartados que indican el error científico son (de izquierda a derecha):

• Sonido en el espacio
• Todos los planetas tienen la gravedad de la Tierra
• Todos los planetas tienen el mismo clima (por toda su suerficie)
• Fácil comunicación con alienígenas
• Fácil mestizaje entre humanos y alienígenas
• Extraños efectos por la exposición al vacío
• Fuego en el espacio / explosiones no realistas
• Los ateroides no se atráen entre ellos por la gravedad
• Esquivando armas más rápidas que la luz (ejemplo, lásers)
• La gente se mueve a cámara lenta en gravedad cero
• Viajes más rápidos que la luz

Errores comunes en Bash



A modo de introducción muy breve, Bash es el intérprete de comandos o shell por defecto en la mayoría de las distribuciones basadas en Linux hoy en día.

Esta shell además provee un gran potencial para administradores de sistemas y programadores a la hora de procesar tareas administrativas y nos ofrece un lenguaje de script muy completo con el que podemos gestionar dichas tareas de forma programática.

17 Errores (y medio) que debes evitar en una presentación tecnológica



Desde el blog de Chema Alonso (que ya tiene experiencia en esto de hacer presentaciones tecnológicas) nos muestra junto a Gonzalo Álvarez de Marañón estos 17 consejos (y medio) para hacer en la medida de lo posible, una buena presentación técnica.

Muy útiles.

Chema Alonso, 17 Errores y medio en una presentación técnica

El Arte de Presentar

Los 25 errores de programación más peligrosos



De la mano de CWE y SANS, nos llega un amplio documento donde documentan, valga la redundancia, los 25 errores de programación más peligrosos del 2010. Dónde peligroso significa, errores ampliamente extendidos y fáciles de encontrar y explotar.

La tabla de contenido del documento es la siguiente:

• Guidance for Using the Top 25
• Brief Listing of the Top 25
• Category-Based View of the Top 25
• Focus Profiles
• Organization of the Top 25
• Detailed CWE Descriptions
• Monster Mitigations
• Appendix A: Selection Criteria and Supporting Fields
• Appendix B: What Changed in the 2010 Top 25
• Appendix C: Construction, Selection, and Scoring of the Top 25
• Appendix D: Comparison to OWASP Top Ten 2010 RC1
• Appendix E: Other Resources for the Top 25
• Changes to This Document

El listado resumido de los 25 errores:

Rank	Score	ID	Name
[1]	346	CWE-79	Failure to Preserve Web Page Structure ('Cross-site Scripting')
[2]	330	CWE-89	Improper Sanitization of Special Elements used in an SQL Command ('SQL Injection')
[3]	273	CWE-120	Buffer Copy without Checking Size of Input ('Classic Buffer Overflow')
[4]	261	CWE-352	Cross-Site Request Forgery (CSRF)
[5]	219	CWE-285	Improper Access Control (Authorization)
[6]	202	CWE-807	Reliance on Untrusted Inputs in a Security Decision
[7]	197	CWE-22	Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal')
[8]	194	CWE-434	Unrestricted Upload of File with Dangerous Type
[9]	188	CWE-78	Improper Sanitization of Special Elements used in an OS Command ('OS Command Injection')
[10]	188	CWE-311	Missing Encryption of Sensitive Data
[11]	176	CWE-798	Use of Hard-coded Credentials
[12]	158	CWE-805	Buffer Access with Incorrect Length Value
[13]	157	CWE-98	Improper Control of Filename for Include/Require Statement in PHP Program ('PHP File Inclusion')
[14]	156	CWE-129	Improper Validation of Array Index
[15]	155	CWE-754	Improper Check for Unusual or Exceptional Conditions
[16]	154	CWE-209	Information Exposure Through an Error Message
[17]	154	CWE-190	Integer Overflow or Wraparound
[18]	153	CWE-131	Incorrect Calculation of Buffer Size
[19]	147	CWE-306	Missing Authentication for Critical Function
[20]	146	CWE-494	Download of Code Without Integrity Check
[21]	145	CWE-732	Incorrect Permission Assignment for Critical Resource
[22]	145	CWE-770	Allocation of Resources Without Limits or Throttling
[23]	142	CWE-601	URL Redirection to Untrusted Site ('Open Redirect')
[24]	141	CWE-327	Use of a Broken or Risky Cryptographic Algorithm
[25]	138	CWE-362	Race Condition

Desde aquí puedes descargar el documento en formato PDF.

BlueScreenView, para saber la causa de la BSOD



Windows

Todos los que usamos Windows conocemos la BSOD, pero sinceramente, pocas veces nos paramos a analizar la información o el motivo de este crítico error. Esta aplicación portable (indispensable, ya que habrá que ejecutarla desde algún sistema externo al no poder acceder al sistema por el error) llamada BlueScreenView analiza el fichero c:\Windows\Minidump y muestra entre otros datos, los drivers que se han cargado cuando el sistema ha fallado. También puedes ver la pantalla BSOD que ha mostrado Windows después del fallo.

FixWin, arregla problemas comunes de Windows 7 y Vista



Windows

¿Alguna vez has borrado la papelera de reciclaje ó de repente no puedes abrir ficheros de ayuda?, pues aquí tienes la solución, FixWin. Es una aplicación portable que permite reparar 50 errores típicos en Windows 7 y Windows Vista con un solo click.

Para descargar FixWin pulsa aquí.

Visto en 4SysOps.

Algunos Errores de diseño en ordenadores clásicos



Foto: http://www.atariage.com

Una "Cyber-Teoría de la Evolución" también se puede aplicar a los ordenadores desde sus inicios. No sería posible llegar al nivel actual de diseño sin antes haber cometido algunos errores de bulto que costaron millones de dólares pero que a la larga sirvieron para ir perfeccionándolos poco a poco e ir eliminando aquellas ideas que no tenían futuro.

Vamos a ver algunos de los más conocidos:

Top 25 errores de programación más peligrosos

 

Extenso y muy interesante artículo (en inglés) en el que se generalizan los errores más peligrosos a la hora de programar.

En él aparece una lista dividida en 3 categorías:

Interacción insegura entre componentes (9 errores)

Uso o control de recursos peligrosos (9 errores)

Defensas porosas (7 errores)

Cada uno está muy bien documentado, además los creadores de esta lista son realmente personajes importantes en el mundo de la programación, mira algunos de ellos:

Sonidos de los discos duros cuando fallan

 

Todos los que nos dedicamos a esto de la Infomática conocemos el famoso click de la muerte de los discos duros cuando dejan de funcionar. Aunque cuando oyes alguno de estos sonidos sabes que la cosa está complicada para recuperarlo, es bastante útil saber qué síntoma puede tener en función del ruido que hace el disco duro cuando falla para buscarle alguna solución casi milagrosa.

En la web de la empresa DataCent puedes encontrar un archivo de sonidos asociados al posible error que lo está causando, incluso ordenado por modelo de disco: