Ayer un amigo me comentaba que nada más entrar en el trabajo su jefe le abroncó, me explicó que su código ASP (vbs) era vulnerable a inyecciones SQL, y tenía que solucionarlo.

Una inyección SQL se da cuando el código que maneja la consulta no es lo suficientemente sólido y permite manipular una consulta desde fuera. Por ejemplo:

SELECT * FROM tabla WHERE id = ” & ide & “

Basta con que el atacante abra la url de esta forma url.php?ide=1;DROP TABLE tabla; para cargarse toda la tabla, así de fácil.

Como solución le propuse convertir esa variable a entero, usando cint, ide = cint(ide), de esa forma nunca podría colarse otra cosa que no fuese un número.

En el caso de las cadenas, la solución está en “escapar” las comillas, con un simple Replace(cadena,”‘”,”””)

Hay soluciones mucho mejores para estos problemas, como usar parametrización de consultas, ADODB lo soporta, lo explican en su documentación.

Otra solución también bastante efectiva es la de PHP, que tiene activadas las magic_quotes por defecto y escapea cualquier parámetro que venga de GET o POST, evitando muchos de estos ataques.

Cuando era pequeño mis padres me llevaban de vez en cuando a un salón recreativo llamado Magic Park (a saber que habría pasado si me hubieran llevado más), y me llamaba la atención una máquina recreativa en especial, tenía una bola como interfaz, y lo que manejabas en pantalla era… una bola! Se trataba de ir guiando a la bola virtual por unos caminos mediante la bola real.

Ese juego también lo tuve en Master System (maquinita que también contribuyó a la causa), pero acabé perdiéndolo, hasta que hoy me he vuelto a acordar de él y un amiguete me ha dicho el nombre.

Se trata del Marble Madness, de Atari, aquí puedes ver una captura de la recreativa:

Y un par de capturas del juego:

También hay una versión online del juego, muy parecida, en esta página de juegos flash.

 

Cuando vas a arrancar un servicio que escucha en un puerto, y lo haces en un PC que no es el tuyo, quien sabe lo que puede haber ahí arrancado. Si por ejemplo intentas arrancar el Apache, que usa el puerto 80, y éste ya está ocupado, te puedes encontrar con algo así:

[Thu Mar 23 11:34:00 2006] [crit] (98)Address already in use: make_sock: could not bind to port 80 

Echas un vistazo a la lista de procesos y no ves nada sospechoso, sí, una vez me pasó con Skype, el bicho usa el puerto 80, por lo visto para saltarse algunos firewalls.

¿Qué hacemos entonces? Pues para eso tenemos el netstat, en Linux podemos ejecutarlo así:

netstat -p --numeric-ports -a | grep :80 | grep LISTEN tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 1576/apache  

 Y ahí lo tenemos! En este caso es otra copia de Apache, pero podría ser cualquier cosa.

En Windows también se puede hacer, ejecutando netstat -a -o y buscando el proceso con la id que aparezca en la lista. Puedes ver la lista de procesos pulsando ctrl+alt+sup, eso sí, en un NT, o te llevarás una sorpresa.

Hace unos días aparecieron rumores (grabados en video) de como modificando el firmware de la XBOX 360 se podía cargar copias de seguridad (copias 1:1, backups…).

Microsoft no ha tardado en decir que seguirá y aniquilara a quienes “maltraten� a sus preciadas consolas. Ha dicho que el departamento de seguridad (TJ, al tejado!) ya esta informado y que como el chisme esta preparado para ser actualizado podrán corregir el fallo así como identificar un uso inadecuado de la Xbox. ¿Tendra alguna puerta trasera oculta?

Tiempo al tiempo.

Acabo de leer en DiarioTi, que sony está lanzando ya en Europa su nuevo soporte, y si no me equivoco, estos nuevos soportes, Blu-ray y HD-DVD, van a ser los primeros formatos que en su lanzamiento ya tengan disponibles discos grabables y regrabables. Cuando apareció el CD-ROM, tuvo que pasar mucho tiempo para ver los primeros discos grabables, y lo mismo con los DVD’s. Siempre ha habido DVD’s y CD’s comerciales antes de sacar los formatos de grabación, así que me he preguntado si ya hay discos Blu-ray y/o HD-DVD comerciales, y me he puesto a buscar.

Mirando en la página oficial de Blu-ray, en la sección de películas, y no he visto ninguna que se lance antes del 23 de Junio, también he mirado en Amazon por si acaso y nada. Lo mismo para HD-DVD, no he encontrado ningún disco comercial.

En cambio, los soportes, almenos de Blu-ray, saldrán este mes, según la noticia de DiarioTi y los reproductores ya están a la venta, en amazón puedes comprar un HD-DVD Toshiba, o un Blu-ray Sony.

El comando “uptime” es bien conocido por cualquier usuario de sistemas UNIX, al ejecutarlo muestra el tiempo que lleva encendida la máquina, además de la carga del sistema, en los últimos 1min, 5min y 15min. Por ejemplo al ejecutarlo ahora mismo me aparece:

$ uptime
00:40:39 up 6 days, 13:06, 3 users, load average: 0.01, 0.01, 0.00

¿Pero qué pasa con los que usamos Windows? Sí… algunos, a pesar de ser Frikis, también usamos Windows. Pero no hay que preocuparse, también podemos encontrar esta utilidad para este sistema, de la propia página de microsoft. Puedes descargarla en esa página, copiarla a c:\windows, abrir la consola (Inicio > ejecutar > cmd) e introducir (uptime), para ver algo así:

>uptime
\\XXX has been up for: 7 day(s), 6 hour(s), 3 minute(s), 22 second(s)

Ya puedes hablar de uptime con tus amiguetes frikis de Linux. Por cierto, que Windows tenga más uptime que Linux (Debian) no ha sido una manipulación.

A partir de hoy se añade Yahoo al nuevo mercado de la voz sobre IP (VoIP). Ahora desde el Yahoo Messenger se puede llamar a los telefonos “convencionales� (a los fijos, vamos). De esta manera Yahoo se suma en la lucha contra Skype. Ya tenemos a VoIP Buster, VoIP Stunt, Internetcalls, OpenWengo, y algun que otro más que intenta abrirse paso a golpe de rings.

¿Y los que no llamamos y nos basta con las llamadas perdidas (o toques) y los SMS? Con tanta facilidad que están poniendo ahora ya no nos valdrá la escusa esa de “no tengo saldoâ€?, “perdi tu numeroâ€?, “no tengo móvilâ€?…

China, cansada del SPAM y de sus 50.000 millones de correos electrónicos basura al año ha decidido pasar a la acción y aplicar la fuerza (¡pequeños pero matones!). A partir del 30 de este mes aplicaran unas multas de unos 3.000 euros (medio kilo en pesetas) a los proveedores de correo electrónico que estén involucrados en el envío de mensajes no deseados.

Fuente.

La placa base EPIA-N8000E, al igual que toda la gama Epia, no es un producto que destaque por su gran rendimiento, destaca por su tamaña (si, el tamaño importa), por su consumo y por su silencio. Esta placa tiene todo lo necesario integrado:

CPU a 800MHz de Via soldado en placa. Tiene un consumo discreto, tanto que no necesita refrigeración activa y se basta con sus enormes disipadores a modo de cresta (como la de los skins).

Un socket que puede alojar hasta 1 Gb de Ram ya sea DDR333 o DDR400. Un mini PCI. Un conectar SATA (también es mini). Tarjeta de sonido con salida para 6 canales, gráfica incorporada, LAN, USB, ABS… ¡De todo!

Y lo mejor de todo es su tamaño, ¡solo 12×12cm! Este tipo de placas se pueden usar como centros multimedia, navegadores GPS y/o reproductores de DVD/MP3 para el coche, pequeños servidores… Para lo que quieras, que solo son 12cm, ¡lo mismo que un CD!

¡Menos rollo y más análisis!