domingo, marzo 28, 2010

Este blog sirve para algo...


Estaba leyendo un periódico y me he encontrado con un artículo atípico. ¡¡¡Hablaba de matemáticas!!! y realmente no era un artículo sino que tenía la forma de artículo de opinión.

Tampoco es un artículo de opinión al uso. El autor menciona una novela. En la novela el protagonista comenta un caso real. El caso real trata sobre un concurso televisivo donde un concursante tiene que elegir entre tres puertas cerradas.

En una de la puertas hay un premio. El concursante elige una puerta. Entonces el presentador descubre una de las puertas que tiene un premio malo. Le ofrece la oportunidad de cambiar de puerta. Al parecer, según el artículo, cuando un conocido super Guinnes de la inteligencia dijo cual era la mejor opción, "docenas de doctores en matemáticas le enmendaron la plana, algunos de forma bastante airada".

¿Os suena?, sí, en julio de 2008 comenté el mismo problema, sólo que yo lo vi en una serie americana.
En el artículo de opinión el autor no da la solución, pero realmente plantea el problema y su historia de una forma excelente. Lo tenéis disponible en http://blogs.publico.es/ciencias/general/915/el-azar-y-la-necedad-bis/

La solución en aquel viejo post: http://aitoreus.blogspot.com/2008/07/otro-fallo-de-la-intuicin.html

Saludos y recordad, cuidado con la intuición.

martes, marzo 23, 2010

Recuperación rápida de objetos borrados en Active Directory

ACTUALIZADO EL 25-3-2010.

Hola chic@s,
Estoy viendo la serie "perdidos" online y es la locura. Empecé desde el principio (temporada 1) el sábado y ya voy en el capítulo 12. Al no tener anuncios no saco tiempo ni para actualizar el blog :-(

Pero hoy sí. El viernes me puse a hacer limpieza de objetos en el directorio activo (active directory) y claro, resulta que había un grupo cuyo nombre parecía indicar que estaba en desuso.

Fue borrarlo, y no tuve que esperar demasiado hasta que la primera llamada me indicó que había cometido un error.

Sirva esto para la próxima y para otros posibles administradores despistadillos.

PRIMERO VOY A PONER LA OPCIÓN RECOMENDADA Y LUEGO LA DIFICIL

ESTO ES LO QUE HAY QUE HACER (recomendado):

A mí me ha funcionado con un controlador de dominio Windows2003 SP2 aunque me imagino que valdrá en otras muchas versiones.

Lo primero que hice fue ir al controlador secundario y asegurarme del nombre del grupo eliminado.

Luego encontré la herramienta ADRESTORE de sysinternals y todo arreglado. Se descarga el ejecutable que apenas ocupa 42 kb y en plis objeto recuperado.

Sitio de descarga: http://technet.microsoft.com/es-es/sysinternals/bb963906.aspx

Mañana pongo unos pantallazos de su uso, pero es muy sencillo:

adrestore -r objeto

Lo único que me ocurrió es que como yo recuperaba un grupo se recuperó sin usuarios miembros.

ESTA OTRA ES LA FORMA DIFICIL
(NO RECOMENDADO).

Se trata de utilizar un programita llamado ldp.
Para tenerlo en el controlador de dominio hay que instalar las support tools (recordad que yo las instale el otro día para comprobar la sincronización entre los controladores de dominio).

Símplemente es seguir los pasos de http://technet.microsoft.com/es-es/library/dd379509(WS.10).aspx

Al ejecutar ldp obtenemos algo así...



Lo primero es conectarse (menú connection, connect) al servidor que nos interese:



Luego el bind (menú connection, bind) que es la validación. Metemos el Administrador del dominio:



Le damos al menú VIEW, TREE. Ahora elegimos la primera línea...



Lo que estamos viendo en el panel izquierdo será el árbol del dominio.
Tenemos que ir a "CD=Deleted Objects" y seleccionar el objeto que queremos recuperar.

Una vez seleccionado el objeto vamos a BROWSE, MODIFY para modificar sus atributos de forma que indiquemos que no está borrado:



Y ahora es cuando viene la desesperación. En mi caso los textos de los atributos no coinciden con lo que se supone que tenía que ser según la nota que he indicado arriba (http://technet.microsoft.com/es-es/library/dd379509(WS.10).aspx)

He intentado indicar el atributo de entrada ISDELETED para cambiarlo por DISTINGUISEDNAME pero ha sido imposible. Probablemente un tema del idioma. También puede ser que estos atributos sean diferentes en mi Windows2003 (observar que la nota hace referencia a Windows2008).

Por eso no le dediqué a esto ni 2 minutos y pasé a lo fácil (la opción recomendada).

Saludos.

domingo, marzo 21, 2010

Por la libertad de la red. No al cierre de webs.

Imagen obtenida de todanoticia.com:

Hace unos días hubo cierto revuelo por el hecho de que Google denunciara en el Congreso de EEUU a España como país censor junto a unos pocos más.


Lo que no saben todavía es que en breve se aprobará la Ley de Economía Sostenible (nueva invención de la fábrica de ideas) que se trata de un gran saco de m... que lo mismo sirve para un montón de declaraciones de intenciones, modificaciones de Leyes actuales, y preparación del camino para Leyes futuras.

Eso sí, el Gobierno no se ha olvidado de sus amigos los chupasangres que cobran por CD, disco duro, conexión ADSL, cámaras de fotos, de video, y cualquier cosa tenga o no que ver con sus producciones.

Para esa panda de amigotes, que luego no olvidarán pedir el voto a su principal protector, se ha diseñado la disposición adicional primera cuyas principales medidas son:

En el Ministerio de Cultura se crea la Comisión de propiedad intelectual...

En el plazo improrrogable de cuatro días siguientes a la Resolución de la Comisión....el Juzgado resolverá mediante auto...

Muy bien, una Comisión que decidirá y el Juzgado cierra la web. Todo ello para darle apariencia de cierre super estricto, no vaya a pensar nadie que cuatro amiguetes de la SGAE van a ser los que cierran las webs, no, nada de eso, es el Juzgado el que tiene 4 días para darle unas vueltas y trincarlo.

Se me ocurre que cuando a una persona normal le dejan de pagar el alquiler, o a una empresa no le pagan sus facturas, van al juzgado y no le resuelven el tema en 4 días, sino que se parece más bien a 4 años.

Por todo esto...

POR LA LIBERTAD DE LA RED. NO AL CIERRE DE WEBS.

miércoles, marzo 17, 2010

Controladores de dominio Windows

Habría que comprobar la sincronización de los controladores de dominio periodicamente, pero como la realidad es la que es, por lo menos hay que comprobarlo después de toda actualización del sistema operativo.

Para hacer la comprobación podemos utilizar el comando repadmin. Esta utilidad se encuentra disponible en las Suppor Tools y nos lo podemos bajar gratuitamente de Microsoft buscando la versión exacta para nuestro sistema operativo.

La forma de utilizar REPADMIN:

En http://blogs.technet.com/plataformas/archive/2009/12/22/replican-mis-controladores-de-dominio.aspx nos recomiendan estas dos formas de uso:

repadmin /replsummary /bysrc /bydest /sort:delta

repdmin /showrepl


Tienes ejemplos de las salidas en el mismo blog.

Para una explicación completa del funcionamiento del directorio activo y las herramientas disponibles este es un sitio muy bueno (http://www.bujarra.com/UsoDeHerramientasDeDiagnosticoParaUnControladorDeDominio.html)

Saludos.

martes, marzo 16, 2010

Otra vez Sinde

Es que esta mujer no da una. Para ser Ministra de Cultura parece que tiene bastante desconocimiento la pobre. Ah claro, se me olvidaba que el cargo era por esto:

Pues hoy sólo quería recordar que seguramente todo el mundo tenga su propia opinión, pero como otras muchas cosas, también es discutible que tenga que estar precisamente en el Reina Sofía.

Primero parece ser que el cuadro fue un encargo de la República Española. Una república que luego no lo es y para más inri el nombre del museo representa lo contrario. Pero esto no tendría mayor importancia si no fuera por el testamento de autor.

La carta al MoMA de Nueva York no deja lugar a dudas (está en el enlace anterior):

"La única condición puesta por mí a esta devolución concierne al consejo de un jurista. Por lo tanto, antes de toda iniciativa, el museo deberá solicitar el consejo del señor Roland Dumas -abogado de los Tribunales, avenue Moche n° 2, París-, y el museo deberá atenerse a su consejo. El señor Roland Dumas tendrá facultad para designar por escrito a otra persona que tendrá el mismo cometido que él, en caso de que él mismo no pudiera cumplirlo por cualquier motivo. El consejo que deberá dar el jurista se referirá a la condición para la devolución del cuadro a las autoridades del Gobierno español".

La carta la escribió en 1970. El mismo Picaso la confirmó en 1971. En 1973 murió a los 91 años.

En 1974 el conservador del MoMA hace responsable del cuadro a la viuda de Picaso. Un mes más tarde responde el abogado Dumas diciendo que el propietario es la República Española.

En el 75 muere Franco y empiezan las peticiones. En el 77 el conservador del MoMA manifiesta que no se puede devolver el cuadro hasta que haya una República. Finalmente en 1978 el Congreso de EEUU decide la entrega al Reino de España.

Ahora para rizar un poco más el rizo un par de datos de cosecha propia:

El Congreso de EEUU publica la entrega el 21 de abril de 1978. Fecha preconstitucional ya que la Constitución Española se ratifica en referendum el 6 de diciembre de 1978, y es sancionada por el Rey el 27 de diciembre.

Creo que el cuadro debería estar en Gernika donde se sufrió el bombardeo ya que no es solo una obra de arte. Tenía la intencionalidad de denunciar aquel hecho único en la historia como fue el bombardeo a la población civil un día de mercado con la destrucción total de una ciudad (no Madrid sino Gernika).






Saludos.

lunes, marzo 15, 2010

Ataque por diccionario en Perl II

Teniendo en cuenta esto que decía el otro día, así quedaría el programita Perl para el ataque por diccionario:

Nota: También es recomendable la forma que propone Nemo en los comentarios del primer post.

Este programa se ejecuta a toda leche, aunque obviamente es muy mejorable (por ejemplo quitando la visualización de las palabras).

Explicación rápida:

Abrimos el diccionario y por cada palabra hacemos el siguiente tratamiento:

1.-Quitamos el retorno de carro a la palabra con el chop.
2.-Preparamos el comando gpg con sus parámetros para la ejecución pasándole la password. MUY IMPORTANTE: Terminamos con un PIPE o tubería (la rayita vertical). Esto hace que se le pase a nuestro programita Perl la salida del gpg.
3.-Ponemos el contador a 0. Con este contador contamos las líneas que genera el gpg en la salida.
Cuando falla la contraseña el GPG devuelve 2 líneas indicando el error. Cuando acierta devuelve un mínimo de 3. El máximo es variable porque muestra todo el mensaje en claro.
4.-Sin más. Si hay más de 2 líneas muestra la contraseña y termina.
5.-Si llega al final del programa es que no ha encontrado la contraseña válida.

Saludos.

miércoles, marzo 10, 2010

GPG en modo batch

jejeje, no era necesario tomarse las molestias del programa Perl anterior porque resulta que podemos ejecutar el gpg en modo batch.

Esto me pasa por no mirar el man del gpg :-(

En lugar de gpg --decrypt texto.txt.gpg que nos pide la contraseña...

Hay que modificar el programa para que ejecute...

gpg --decrypt --passphrase contraseña texto.txt.gpg

Esto simplifica mucho el programita. Ya lo veremos mañana...
De todas formas, el post anterior sirve como ejemplo de uso del módulo Expect.

Saludos.

martes, marzo 09, 2010

Ataque por diccionario en Perl

En la charleta que tuve que dar el otro día quería que la gente supiera lo importante que es elegir bien una contraseña. Sobre todo cuando no hay posibilidad de bloquear el acceso después de un número determinado de intentos.

Este es el caso de un envío de datos encriptados. Una vez que el envio ha sido interceptado el atacante tiene todo el tiempo de mundo para probar contraseñas.

Les enseñé este bonito sitio con diccionarios. Da igual lo original que pretendas ser que siempre habrá un diccionario temático preparado:

Descargué unos cuantos diccionarios y los junté:

cat actores_cine_usa.txt > diccionario.txt
cat numeros.txt >> diccionario.txt

Tuve que cambiar los caracteres windows de la forma que expliqué el otro día.

Luego preparo un fichero datos.txt que encripto con clave simétrica utilizando GPG:

gpg --symmetric datos.txt

Le pongo como password aitoreus.

Y este es el programita Perl que preparé...

La ejecución es algo así... hasta que encuentra la password que descifra.


use Expect;
$fichPalabras="diccionario.txt";
open(FICH, $fichPalabras) or die ("Error al abrir el fichero de palabras.\n");
while($palabra=){
$comando="gpg --decrypt datos.txt.gpg";
my $exp = Expect->spawn($comando, @params)
or die "No puede ejecutar $comando: $!\n";
$exp->expect(1);
$exp->send("$palabra\n");
$exp->expect(1);
$read = $exp->before();
if ($read!~/failed/){
print("Encontrado. La password es $palabra\n");
$exp->soft_close();
exit;
}
$exp->hard_close();
};
print("Esta vez no ha habido suerte\n");
$exp->soft_close();

Sobre el Expect:

Al ser el GPG un programa interactivo (que en su ejecución espera que tecleemos algo), no se puede ejecutar y pasarle como parámetro la contraseña (vaya, lo que son las cosas, ahora tengo mis dudas. Mañana confirmo o desmiento).

Suponiendo que era un programa interactivo, lo que hice fue bajarme el módulo Expect que me permite ejecutar en modo batch un programa interactivo. Expect te permite esperar una pregunta del programa y mandarle tu propia respuesta, pero todo automatizado claro.

Me bajé el Expect-1.21.tar.gz de CPAN y por un tema de dependencias también tuve que bajarme el módulo IO-Tty-1.03.tar.gz.

Mañana hablaré un poco más de Expect y sus aplicaciones.

Saludos.

lunes, marzo 08, 2010

Versión del sistema operativo en HP-UX

La forma rápida de ver las versiones del software, parches, bundles, o sistema operativo instalados en HP-UX es a través de la SAM (system administrator manager).

#sam
Ahora ya podemos ir a la gestión del software:

Vemos el software instalado...

Y desde aquí, entre otras muchas cosas ya podemos ver el sistema HP-UX base instalado:


Saludos.

martes, marzo 02, 2010

Eliminar caracteres de Windows en Linux

Mañana tengo que dar una presentación en el trabajo, y entre otras cosas llevo un programita PERL para mostrar cómo otros pueden intentar un ataque por diccionario contra un fichero encriptado que tenemos que proteger.

La cosa es que me he bajado varios diccionarios de elhacker y tienen un pequeño problema:

El script de Perl no funciona en Windows porque usa un módulo que no está disponible en este S.O. En cambio los diccionarios son ficheros Windows y por lo tanto muestran el desagradable carácter ^M al final de cada línea.

De los innumerables métodos para quitar el carácter Windows para mí el mejor es el que emplea los recursos del propio Linux:


cat fichero | tr -d '\r' > nuevoFichero

Si preferís emplear sed, vi, dos2unix... aquí tenéis unos ejemplos.

Saludos.

lunes, marzo 01, 2010

Cuidado con este fraude de guante blanco...



Si en tu empresa recibes una carta que curiosamente se parece a las antiguas facturas de Telefónica, y pone "Directorio de Internet España 2010" lee esto que vas a flipar.

Hace unos años me preguntaron por la carta que había llegado a una PYME. Ya entonces vi que era un timo y así se lo hice ver, pero no esperaba que volviera a llegar la misma carta ahora haciendo referencia al año 2010.

Creo que es un timo por esto que cuanto a continuación, aunque todo parece que es perfectamente legal porque por muchas denuncias que hayan recibido parece que no hay nada que hacer.

En la primera hoja hablan de un directorio localizado en www.directorio-internet-espana.es (que realmente no existe) en el que han incluido datos de la empresa y podemos actualizarlo totalmente gratis: "Ello no conlleva ningún coste para ustedes".

Si queremos la publicación de datos adicionales nos indican que rellenemos el formulario de la hoja 2 y que la inscripción conlleva costes.

Terminan la primera hoja con "Les agradecemos su colaboración para mantener actualizado el Directorio de Internet España y les deseamos mucho éxito con su publicación".

Lógicamente en muchas empresas dirán... Oye, que no podemos dejar de estar en Internet España.... rellena los datos que es gratis.

Por si queda alguna duda de la mala idea que tienen los datos de la empresa que aparecen en el formulario de la hoja 2 son todos verdaderos menos la página web que en mi caso era www.maquinas-tragaperras.es. Por supuesto la empresa no tiene que ver nada con ninguna máquina tragaperra.

Pues si rellenas el formulario y lo envías firmado ya la has liado. Al final de la hoja 2 hay un parrafito que dice...El anuncio cuesta 969 euros anuales y ha de pagarse por adelantado tras la expedición de la factura. El pedido es válido para los tres próximos años, y se prorroga un año más... Se aplica el derecho alemán.

Por supuesto la dirección de todo el tinglado es en Hamburgo y operan bajo Jurisdicción Hamburgo no vaya a ser que les den unos capones por listos.

Saludos.