lunes, 20 de octubre de 2014

Instalar Cordova 3.7.1 en Ubuntu 14.04

Nuevamente... estoy en quiebra debido al poco soporte que tiene Cordova/Phonegap con los Fixes y updates... y hablo del fallo que afecta todas las versiones hasta la 3.5.1  en la que se exponía una grave vulnerabilidad XSS y que solo nos da dos opciones:
  • Tratar de parchar por nuestros medios.
  • Actualizar Cordova/Phonegap.

La verdad estoy considerando reescribir mis aplicaciones, porque la promesa de multi plataforma solo es real para aplicaciones pequeñas.

En fin, mientras me decido y hago algo de tiempo en mi espantosa agenda... le dejo como instalar Phonegap/Cordova en Ubuntu 14.04:

fácil : Abrimos nuestra consola y actualizamos paquetes:

sudo apt-get update

Instalar Node JS.


sudo apt-get install nodejs
 
 
 
Instalar npm:

sudo apt-get install npm

Y no omitir este paso:

sudo apt-get install nodejs-legacy


Ya que de otra forma nos generará este error:

/usr/bin/env: node: No existe el archivo o el directorio

Luego instalamos cordova:

sudo npm install -g cordova

Si todo va bien nos mostrará algo así:



Ahora creamos nuestro proyecto de ejemplo:

cordova create hello com.example.hello HelloWorld

y agregamos las plaformas que deseemos:



cd hello
cordova platform add wp8
cordova platform add windows
cordova platform add android
...    
 
Listo... a tratar de portar nuestras librerías...
Links :

Security Advisory : http://securityvulns.com/docs31053.html

https://www.digitalocean.com/community/tutorials/how-to-install-node-js-on-an-ubuntu-14-04-server

http://stackoverflow.com/questions/22428373/cordova-and-phonegap-not-working-on-ubuntu-14-04

http://cordova.apache.org/docs/en/4.0.0//guide_cli_index.md.html#The%20Command-Line%20Interface

:(

Saludos.

sábado, 18 de octubre de 2014

¿Es posible analizar una persona por sus datos de Facebook y otras redes sociales?

Si algunas vez te preguntaste si se puede conocer a una persona por sus datos que comparte en las Redes Sociales, la respuesta es si.

Hoy en día, la polémica se centra en la neutralidad de la Red y el anonimato en Internet, pero esto no puede ser posible del todo, ya que como una nación, Internet tiene autoridades y por tanto policías (O que quieren actuar como tal). Después del 11 de Septiembre, el Gobierno Estadounidense impulsó programas de espionaje a través de la red de redes (Impulsó, porque desde hace mucho lo hacía) y partir de eso empezó a obligar a empresas importantes como Google, Yahoo, Facebook, etc, etc a entregar sus bases de datos. Antes, solo Microsoft entregaba información al Gobierno (NSA).

¿Pero que son estas Base de datos? Pues no es más que toda la información personal de sus registrados y su historial de comportamiento, a grandes bazas.

Richard Stallman es una de las personas que más paranoia tiene a entregar su información al gobierno, y con justa razón, ya que no sabes para que la usará el Gobierno Estadounidense... pero si no eres un criminal o un terrorista poco tienes que preocuparte.

El Gobierno estadounidense tiene la finalidad de buscar buscar terroristas en la red, rastrearlo y espiarlos; y lo hace con herramientas mágicas llamadas Data Mining o Minería de Datos.  Mientras más información tenga a la mano, mucho mejor.

Por un lado tiene a enormes granjas de computadores recolectando información, por el otro tiene a empresas que por ley entregan información.

Facebook es una enorme base de datos de comportamiento (Likes, links visitados,  Grupos), de información personal (Trabajo, estudio, nombres, teléfonos, etc) de Relaciones y Terceros Relacionados (Datos de familiares, Amigos), de lugares (Registro de Visitas, localización ) y por supuesto de imágenes (Etiquetas, fotos personales) que pueden brindar suficiente información sobre tu persona.

Yahoo tiene la misma información que facebook, pero agregando la enorme cantidad de correos electrónicos.

Google, tiene lo anterior y además un poderoso historial de comportamiento (urls).

Linkedin  guarda información profesional, de trabajo, de niveles académicos, de aspiraciones, etc.

Twitter tiende a guardar más información sobre gustos e Ideologías.

Instagram y sitios similares guardan información en forma de imágenes.


En fin,las Redes sociales son una gran Mina de Datos.... y Facebook es la más grande.

En viejos tiempos, los detectives acumulaban esta información  en un perfil escrito y generaban Perfiles de Población, perfiles criminalísticos. Dichos perfiles servían para sacar un Común Denominador para sujetos estudiados.
Ahora, este trabajo se ha facilitado, ya que voluntariamente o involuntariamente hemos entregado nuestra información de vida.

Pero esta información sería inocua si no las analizamos, ahora, las metologías de Minería de datos facilitan la operación de análisis.

Con la Minería de datos podemos saber cosas tan íntimas como las preferencias sexuales o sus desviaciones, el nivel de inteligencia e incluso predecir nuestros pensamientos.

Lo único hasta ahora que queda fuera de un análisis Masivo son las imágenes, ya que no se pueden convertir en datos de análisis directo. Sin embargo los algoritmos se mejoran cada día y el análisis se está haciendo más concluyente. Hasta ahora, con las imágenes solo se podían hacer estudios brométricos, pero esto está cambiando conforme se crean nuevo algoritmos de tratamiento de imágenes.

Los perfiles falsos y las mentiras no quedan fuera, el mentir en el internet solo te convierte en un Sujeto de Estudio más antojable, y eso es que se puede rastrear tu perfil falso mediante correo electrónicos comunes, teléfonos comunes o tecnologías como OAuth y OpenID.

Y lo mismo como personas podemos hacer, podemos estudiar a un Sujeto por sus Redes Sociales, su compotamiento, sus gustos, etc... deducir perfiles y catalogarlos... si lo sabemos hacer.

Sea como sea, prometan lo que prometan, tus datos están expuestos y mientras más los alimentes más será la capacidad de anális sobre tu persona.

Pero no has de preocuparte si lo más secreto que tengas es un Dakimakura de tu personaje favorito.

Saludos.

Luis Balam.

jueves, 16 de octubre de 2014

¿Como proteger tu servidor de Poodle?

Muy a pesar, no queda más que prescindir de SSLv3, el fallo de #Poodle descubierto por Google ha hecho bastante eco en un mundo dominado por la red.

Algunos servicios como CloudFlare ha deshabilitado por defecto el SSL y otros anuncian la inminente muerte del protocolo SSL.
En cuanto a los Sysadmin nos toca volver checar la configuración del servidor para tratar de protegernos, así que gracias a Scott Helme le replico los tips para proteger nuestros servidores.

Apache:


inhabilitar SSLv3 mediante la directiva:

SSLProtocol All -SSLv2 -SSLv3

Hacer un test de la configuración:

apachectl configtest

Reiniciar el Servidor.

sudo service apache2 restart


NGIX.


Inhabilitar el soporte SSL y dejar solamente TLS:

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

Hacer el test de funcionamiento:

sudo nginx -t

Reiniciar el Servidor.

sudo service nginx restart


IIS.


Entrar al registro de Windows:

HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders \SCHANNEL\Protocols

Para IIS es básicamente crear un nuevo registro con la el Nombre SSL 3.0 y una subclave Server , luego crear un DWORD con el nombre Enabled  y el valor a 0 . Tal como la siguiente imagen.


Microsoft ha sacado un boletín al respecto.

Para terminar, podemos hacer Test de Calidad SSL en https://www.ssllabs.com/ssltest/index.html.

En la página de Scott Helme existen otros tips para protegernos del lado del servidor, aunque básicamente se resume a inhabilitar SSL v3 y SSL 2.0 para dar uso solamente a TLS...


Saludos,

Luis Balam.
http://www.opencorebanking.com/