Para que esto funcione, tiene que comprobar si la IP externa ha cambiado, y para poder hacerlo necesita conectarse a un PC de internet, ya que el servidor está dentro de una NAT.

En las últimas semanas el servidor ha estado muchas horas caídas por este motivo. Se reiniciaba el router por motivos varios y al cambiar de IP el servidor, el dominio no se actualizaba y los usuarios no podían entrar. El motivo era que la web donde comprobaba la IP externa se le ha caducado el dominio y ya no indicaba la IP del visitante. He estado buscando y he encontrado una web que permito eso mismo, indicarte tu IP con texto plano para que sea fácil de parsear. La web es myip.sk.

Básicamente, el fallo de seguridad consiste en que no se hace una validación de las imágenes subidas, solo comprueba que tenga una extensión .JPG (grabe error). Entonces, sabiendo esto podemos introducir un enlace malicioso —como comenta el del autor del post— que consiste en una URL de desconectar la sesión acabada con .JPG. Entonces al entrar alguien en el tablero de la persona, el navegador la cargara como si fuera una imagen, pero en realidad estará enviando una solicitud para desconectarse.

Más información en Dimitrix (es una url temporal por el efecto menéame).

El mundo no ha parado y han habido noticias interesantes dignas de comentar, pero se nos han pasado. Ahora mismo estamos dedicando gran parte de nuestro tiempo en un proyecto llamado Filmo. Si todo va según lo previsto y va avanzando, iremos desvelando un poco más de información. Esto ha provocado que otros proyectos como Pynigma estén parados, pero se tiene que elegir a uno.

Nos leemos!

Leyendo un artículo en Vilaweb [cat] he llegado a una de las páginas de auditoría online más importantes de España. Pues bien, resulta que en esa web, utilizando el buscador y probando un poco de código javascript, podemos ver que tienen un problema de seguridad (Cross-site scripting – XSS [en]).

Utilizando el siguiente código Javascript podemos ver la siguiente captura:

<script>alert("hola")</script>

Prueba del fallo XSS

Una vez descargado el programa, tendremos que descargar la documentación de PHP.net. Luego en las preferencias del programa seleccionamos el directorio dónde hemos guardado la documentación y le indicamos al programa que cree el índice.

Este programa permite además, consultar los comentarios. El programa también utiliza la documentación online para estar al día, pero también permite buscar sin conexión utilizando los archivos descargados. Os dejo un par de capturas:

PHPfi

PHPfi

Por cierto, si usáis Textmate, el programa lleva un addon para éste que permite mientras programamos consultar funciones en PHPfi. Para ejecutar dicho addon utiliza el siguiente atajo: ctrl + alt + H.

ECHELON es considerada la mayor red de espionaje y análisis para interceptar comunicaciones electrónicas de la historia. Controlada por la comunidad UKUSA (Estados Unidos, Canadá, Gran Bretaña, Australia, y Nueva Zelanda), ECHELON puede capturar comunicaciones por radio y satélite, llamadas de teléfono, faxes y e-mails en casi todo el mundo e incluye análisis automático y clasificación de las interceptaciones. Se estima que ECHELON intercepta más de tres mil millones de comunicaciones cada día.

Os recomiendo de leer el artículo, dónde hablan un poco hasta dónde podrían llegar. No obstante, cómo es habitual en los medios de divulgación general, les gusta mucho el alarmismo.

Echelon es un reducido y brillante equipo de estadísticos, lingüistas y matemáticos que trabajan en un lugar secreto, rastrean y analizan todas las comunicaciones internacionales por voz, fax y email. Este equipo ha servido a EEUU durante años para detectar indicios de criminalidad contra sus intereses y localizar a presuntos terroristas, creando alertas de riesgo y algoritmos de criminalidad. [...]

Tras el 11-S, el país reforzó las medidas de seguridad y se propuso desarrollar una gigantesca base de datos sobre la que desarrollar un sistema de ’scoring’ de peligrosidad analizando las transacciones de medios de pago, vuelos, hoteles y policía, permitiendo identificar a los pasajeros de los vuelos nacionales e internacionales de acuerdo a un ’semáforo’ de colores: por ejemplo, aquel calificado como ‘rojo’ supondría un riesgo severo y no se le dejaría volar.

En Méneame también han dejado un comentario con el siguiente fragmento de vídeo del Canal Historia donde hablan sobre Echelon:

Se especula que esta agencia está dirigida por nuestros buenos amigos, la NSA. Ya sabéis chicos, a encriptar vuestros chats, a enviar correos utilizando PGP y navegando con algún proxy en algún lugar remoto. Recuerda, NSA is watching you!