Bueno, dentro de las API de GoogleMAps tenemos varias con JavaScript y como este tema es importante para los teléfonos sugiero ver en esta dirección las aplicaciones que aquí se muestran. L más genial es la posición en una calle con la fotografia de la misma, imposible perderse...cierto??
http://code.google.com/intl/es/apis/maps/documentation/javascript/services.html#StreetView
martes, 30 de noviembre de 2010
lunes, 29 de noviembre de 2010
CODIFICACION GEOGRAFICA DE DIRECCIONES CON PHP/MySQL
Bueno, realizar este tema con ASP.NET por parte de mis alumnos quizás sea más complicado, pero en esta dirección está el código y procedimiento para realizarlo con PHP/MySQL.
Manos a la obra y a probar.....
http://code.google.com/intl/es-ES/apis/maps/articles/phpsqlgeocode.html
Manos a la obra y a probar.....
http://code.google.com/intl/es-ES/apis/maps/articles/phpsqlgeocode.html
viernes, 26 de noviembre de 2010
RED DE TELEFONIA Y SUS CONSIDERACIONES TECNICAS BASICAS
Este enlace es para mis Alumnos de Telecomunicaciones, Ramo de TELEFONIA I, donde podremos analizar y construir una imagen de los modelos y esquema de las centrales telefónicas, partiendo por la central Primaria de una Compañia. El valor del PAPER dice relación con todas las consideraciones, cantidades de líneas, bancos de baterias, cálculo electricos para líneas de emergencia eléctrica, etc.....
http://www.subtel.cl/prontus_procesostarifarios/site/artic/20070121/asocfile/20070121234735/anexo_vi_1_diseno_tecnico.pdf
Cómo en el Informe agregaré algunas consideraciones técnicas, que explicaré en clases, será muy conveniente que lo lean y comenten con sus compañeros.
http://www.subtel.cl/prontus_procesostarifarios/site/artic/20070121/asocfile/20070121234735/anexo_vi_1_diseno_tecnico.pdf
Cómo en el Informe agregaré algunas consideraciones técnicas, que explicaré en clases, será muy conveniente que lo lean y comenten con sus compañeros.
MANIPULAR GoogleEart desde ASP.NET
Bueno probar código y ver cómo funciona es la sintesis de Shön, (el maestro del práctico), el cual insistía que el aprender haciendo es la forma más adecuada de aprender. Bien cómo yo soy discipulo de Shön y bien andar confio en sus premisas, busco y busco códigos para incluir en las páginas y tenerlas cómo parte de mis aplicaciones.
Este programa permite manipular un Mapa de GoogleEarth desde un formulario hecho en ASP.net. Para que el programa funcione deben obtener un API de Google en la siguiente dirección: http://code.google.com/intl/es/apis/maps/signup.html luego en el programa descargado abren el archivo web.config y donde dice <add key=\"googlemaps.subgurim.net\" value=\"tu_clave_aqui\"/> deben insertar su API en la parte de tu_clave_aqui.
Aquí les dejo el link del tutorial que encontré de este programa: http://cyberexplorador.wordpress.com/2010/05/15/manipulacion-de-googlemaps-con-asp-net/
En el programa se pueden hacer búsquedas por coordenadas o por nombre de ubicaciones/
Espero que mis estimados alumnos intenten hacer este artilugio, propio de un busquilla.....jajajaj...suerte y lo incluiremos en el examen final, haber si son gallos.....ahhh.....y comentar el artículo porfavor
Este programa permite manipular un Mapa de GoogleEarth desde un formulario hecho en ASP.net. Para que el programa funcione deben obtener un API de Google en la siguiente dirección: http://code.google.com/intl/es/apis/maps/signup.html luego en el programa descargado abren el archivo web.config y donde dice <add key=\"googlemaps.subgurim.net\" value=\"tu_clave_aqui\"/> deben insertar su API en la parte de tu_clave_aqui.
Aquí les dejo el link del tutorial que encontré de este programa: http://cyberexplorador.wordpress.com/2010/05/15/manipulacion-de-googlemaps-con-asp-net/
En el programa se pueden hacer búsquedas por coordenadas o por nombre de ubicaciones/
Espero que mis estimados alumnos intenten hacer este artilugio, propio de un busquilla.....jajajaj...suerte y lo incluiremos en el examen final, haber si son gallos.....ahhh.....y comentar el artículo porfavor
jueves, 25 de noviembre de 2010
LISTA DE CODIGOS AJAX
Aplicaciones AJAX existen miles y bastará que acomodemos las necesarias a nuestra página WEB. La rueda está inventada y para que inventarla de nuevo, retoquemos y veamos como se comporta.
Esta página tiene varios códigos que nos servirán:
http://weblatam.com/wp/la-lista-de-codigos-ajax/
Esta página tiene varios códigos que nos servirán:
http://weblatam.com/wp/la-lista-de-codigos-ajax/
INGRESO A BASES DE DATOS SIN RECARGAR----AJAX---
Buena aplicación que deberíamos ver. La dirección WEB de esta maravilla es
http://www.formatoweb.com.ar/ajax/ingreso_sin_recargar.php
http://www.formatoweb.com.ar/ajax/ingreso_sin_recargar.php
MESSENGER CON AJAX
Bueno, alumnos de Taller de Desarrollo WEB, cómo hemos aplicado muchas cosas de AJAX, porque no seguimos en la misma onda.....y este material de AJAX es lo correcto, cómo ya entendemos el concepto será obligación integrar esta aplicación.
Paso 1 - Extracto
Después de descargar la última versión, descomprimir el archivo en su propia carpeta. Cargar todos los archivos incluidos en el servidor.
Paso 2 - Configurar e instalar
Cambiar los permisos de config.php y js / im.js a 755 (de escritura). Además, si usted planea usar una biblioteca que utiliza el servidor Node.js independientes (personas de movilidad NodeJS o NodeJS), establezca los permisos para el nodo / config.js a 755 también. El script de instalación tendrá que modificar estos archivos durante la instalación (a menos que manejar la instalación manualmente).
Para utilizar Ajax IM en su sitio web, sólo tendrás que incluir manualmente la secuencia de comandos im.load.js en sus páginas. La secuencia de comandos de forma automática e incluyen pruebas para cualquiera de las dependencias y los principales colección de Ajax IM.
Si está utilizando el motor de base de datos MySQL incluido y el defecto o bibliotecas NodeJS servidor, usted debe leer bien el inicio rápido con PHP o Inicio rápido con guías Node.js.
<script type="text/javascript" src="ajaxim/js/im.load.js"></script>
Paso 4 - Acabado
Eso es todo! Realmente no hay nada más para la instalación.
Para obtener más información acerca de la integración de Ajax de mensajería instantánea con su base de datos, echar un vistazo a la documentación, también asegúrese de comprobar los complementos (en breve) para los scripts de servidor de la página alternativa, motores de bases de datos, y las modificaciones.
Bueno si mi traducción es mala, lo cual puede ser porque mi fuerte es el ALEMAN, CHECO, BULGARO y un poco de ARAMEO...jajaja pueden consultar la página siguiente:
http://ajaxim.com/installation/
Paso 1 - Extracto
Después de descargar la última versión, descomprimir el archivo en su propia carpeta. Cargar todos los archivos incluidos en el servidor.
Paso 2 - Configurar e instalar
Cambiar los permisos de config.php y js / im.js a 755 (de escritura). Además, si usted planea usar una biblioteca que utiliza el servidor Node.js independientes (personas de movilidad NodeJS o NodeJS), establezca los permisos para el nodo / config.js a 755 también. El script de instalación tendrá que modificar estos archivos durante la instalación (a menos que manejar la instalación manualmente).
config.php → 0755 (rwxrw-rw--) js/ ↳ im.js → 0755 (rwxrw-rw--) node/ ↳ config.js → 0755 (rwxrw-rw--)
En su navegador, vaya a install.php en la carpeta donde has subido Ajax IM
(por ejemplo, http://yoursite.com/ajaxim/install.php). El
instalador le guiará a través de los pasos y opciones de configuración
para la creación de Ajax IM, la base de datos (si es necesario), y el
servidor independiente (si es necesario).
Nota: Después de terminar la instalación, eliminar install.php. Paso 3 - AplicarPara utilizar Ajax IM en su sitio web, sólo tendrás que incluir manualmente la secuencia de comandos im.load.js en sus páginas. La secuencia de comandos de forma automática e incluyen pruebas para cualquiera de las dependencias y los principales colección de Ajax IM.
Si está utilizando el motor de base de datos MySQL incluido y el defecto o bibliotecas NodeJS servidor, usted debe leer bien el inicio rápido con PHP o Inicio rápido con guías Node.js.
<script type="text/javascript" src="ajaxim/js/im.load.js"></script>
Paso 4 - Acabado
Eso es todo! Realmente no hay nada más para la instalación.
Para obtener más información acerca de la integración de Ajax de mensajería instantánea con su base de datos, echar un vistazo a la documentación, también asegúrese de comprobar los complementos (en breve) para los scripts de servidor de la página alternativa, motores de bases de datos, y las modificaciones.
Bueno si mi traducción es mala, lo cual puede ser porque mi fuerte es el ALEMAN, CHECO, BULGARO y un poco de ARAMEO...jajaja pueden consultar la página siguiente:
http://ajaxim.com/installation/
miércoles, 24 de noviembre de 2010
FIREWALLS CON LINUX
Introducción
Amigos lectores, voy a dedicar este capítulo a los firewall en Linux o lo que es lo mismo cortinas, paredes o muros de fuego. La función básica de un firewall es la de filtrar paquetes. Los firewall pueden ser de Hardware o de Software. En Linux el firewall está compilado en el kernel, lo que lo hace disponible en cualquier distribución Linux, y no es necesario arrancar ningún tipo de aplicación ya que arranca cada vez que se inicia el Sistema Operativo. Se preguntarán, ¿cómo dejo de filtrar paquetes? Sencillo, el firewall en Linux es manejado por reglas, si no existen reglas, queda inactivo.
En el mundo Open Source existen una cantidad de aplicaciones gráficas que permiten generar reglas de modo sencillo, de las cuales me llama la atención fwbuilder y webmin (éste permite la administración de la máquina de forma remota vía web, y tiene una función para manejo de filtro de paquetes).
Cómo se crean las reglas…
Para comenzar, para versiones de kernel anterior a 2.4, se usa el comando ipchain, posterior a esta versión de ker-nel se usa iptables, que es la que explicaremos. La diferencia entre iptables e ipchain es el aporte de muchas mejoras.
Cada cadena tiene una acción definida por defecto, debido a que si no existe regla que cumpla con la condición del paquete se ejecuta la acción por defecto.Las acciones pueden ser ACCEPT, REJECT,DROP, MASQUERADE, DNAT, SNAT, LOG.
Sintaxis del comando iptables
El comando iptables tiene un sin número de parámetros, como también comandos. Los comandos indican que vamos hacer algo con las reglas, agregar una nueva regla, modificar una regla existente, insertar, etc. La sintaxis essencilla, pero a medida que necesitamos reglas complejas éstas son más largas.
Explicando un poco los comandos anteriores, quiero resaltar que todo lo que está entre corchetes es opcional. En el caso de [-t tabla] si no se especifica por defecto es filter. Todo lo que aparece posterior a [-t tabla] es el comando a aplicar a iptables, como por ejemplo -A, -I. etc.
Vamos a describir a continuación los comandos:
Amigos lectores, voy a dedicar este capítulo a los firewall en Linux o lo que es lo mismo cortinas, paredes o muros de fuego. La función básica de un firewall es la de filtrar paquetes. Los firewall pueden ser de Hardware o de Software. En Linux el firewall está compilado en el kernel, lo que lo hace disponible en cualquier distribución Linux, y no es necesario arrancar ningún tipo de aplicación ya que arranca cada vez que se inicia el Sistema Operativo. Se preguntarán, ¿cómo dejo de filtrar paquetes? Sencillo, el firewall en Linux es manejado por reglas, si no existen reglas, queda inactivo.
En el mundo Open Source existen una cantidad de aplicaciones gráficas que permiten generar reglas de modo sencillo, de las cuales me llama la atención fwbuilder y webmin (éste permite la administración de la máquina de forma remota vía web, y tiene una función para manejo de filtro de paquetes).
Cómo se crean las reglas…
Para comenzar, para versiones de kernel anterior a 2.4, se usa el comando ipchain, posterior a esta versión de ker-nel se usa iptables, que es la que explicaremos. La diferencia entre iptables e ipchain es el aporte de muchas mejoras.
- FILTER: Esta es la tabla por defecto, permite generar reglas de filtrado. Qué paquetes aceptar, cuales rechazar o cuales paquetes omitir.
- NAT: Permite el enmascaramiento de IP, la cual es muy usada en el paso de una red a otra, a través de varias interfaces de red.
- MANGLE: Permite la modificación del paquete como puede ser TOS (Type of Service), TTL (Time to Live), o mark, lo cual permite marcar el paquete (usado para QOS o Calidad de Servicio)
Cada cadena tiene una acción definida por defecto, debido a que si no existe regla que cumpla con la condición del paquete se ejecuta la acción por defecto.Las acciones pueden ser ACCEPT, REJECT,DROP, MASQUERADE, DNAT, SNAT, LOG.
- ACCEPT: como su nombre lo indica, el paquete es aceptado,
- REJECT: el paquete es rechazado y el emi-sor recibe notificación a través del protocolo
- ICMP,DROP: el paquete es descartado y no se envía ninguna notificación al emisor,
- MASQUERADE: enmascaramiento de la dirección IP origen de forma dinámica (más adelante se explicará),
- DNAT: enmascaramiento de la dirección destino, ideal para re-enrutado de paquetes,
- SNAT: enmascaramiento de la IP origen similar a MASQUERADE pero con IP FIJA.
Sintaxis del comando iptables
El comando iptables tiene un sin número de parámetros, como también comandos. Los comandos indican que vamos hacer algo con las reglas, agregar una nueva regla, modificar una regla existente, insertar, etc. La sintaxis essencilla, pero a medida que necesitamos reglas complejas éstas son más largas.
Explicando un poco los comandos anteriores, quiero resaltar que todo lo que está entre corchetes es opcional. En el caso de [-t tabla] si no se especifica por defecto es filter. Todo lo que aparece posterior a [-t tabla] es el comando a aplicar a iptables, como por ejemplo -A, -I. etc.
Vamos a describir a continuación los comandos:
- -R Reemplazar la regla numero_regla existente en la cadena cadena por los pa-rámetros dados,
- -A Agregar una nueva regla al final de la cadena especificada cadena,
- -I Insertar una nueva regla antes de la regla numero_regla en la cadena cadena por los parámetros dados,
- -D Eliminar la regla numero_regla existente en la cadena cadena,
- -N Crear una nueva cadena con el nombre cadena,
- -X Elimina cadena con el nombre cadena. (No deben existir reglas para poder eliminar una cadena),
- -P Modifica acción por defecto de la cadena cadena,
- -E Modifica el nombre de la cadena nombre-anterior-cadena por nombre-nueva-cadena,
- -L listado de reglas de la cadena cadena. Si no se especifica la cadena listará todas las reglas de todas las cadenas,
- -F eliminar todas las reglas de la cadena cadena. (Si no se especifica la cadena eli-minará todas las reglas de todas las cadenas),
- -Z Colocar en cero los contadores de paquetes y bytes de la cadena. (Si no se especifica la cadena borrará todos los contadores de todas las reglas en todas las cadenas).
Network Switcher, guarda y cambia entre varios perfiles de red
Una de las cosas que odio de Windows es lo pesado que puede resultar hacer ajustes de red que vayan más allá que conectarse a una red y esperar a que te lo den todo hecho.
La red de mi casa usa ips estáticas que hay que meter a mano, cuando salgo y me conecto en algún sitio público la cosa suele ir por DHCP y, claro con aquello de ser un portátil, hay que andar tocando las configuraciones cada 2×3.
Network Switcher es una sencilla aplicación open source para Windows (XP, Vista o 7) con la que podrás guardar diferentes perfiles de conexión y alternar entre ellos de forma rápida y cómoda (igual que ya sucede en otros sistemas operativos sin necesidad de aplicaciones de terceros).
Network Switcher: http://wiki.ricardoamaral.net/en/network-switcher
AJAX COOKBOOK....receta de cocina
Ajax Cookbook es un sitio web creado por Bret Taylor en el que piensa recopilar pequeños fragmentos reusables de código Javascript, HTML y CSS que son generalmente útiles para los desarrolladores de AJAX.
En contraposición a otros recursos de la red AJAX Cookbook pretende ser un sitio de referencia con material válido tanto para pequeños proyectos como grandes aplicaciones web, independiente de cualquier framework y tomando como principio el no dar por supuestas tus necesidades, tratando de crear una solución universal que sirva para todos.
Sin duda un sitio para tener en el lector de feeds.
Ajax Cookbook: http://ajaxcookbook.org
martes, 23 de noviembre de 2010
The Ultimate jQuery List, todo lo que necesitas para aprender y usar jQuery en una sola página
A todos los que usamos librerias para agilizar nuestro código creo que nos viene estupendamente tener un sitio donde ir a consultar si existe un plugin que haga eso que necesitamos antes de ponernos a programarlo por nosotros mismos ¿no?
The Ultimate jQuery List es un sitio donde poder ir a buscar plugins y tutoriales de jQuery de una forma cómoda y conveniente, en una sola página.
Los contenidos están divididos por categorías que incluyen validación de formularios, AJAX, Tooltips etc.
The Ultimate jQuery List: http://jquerylist.com/
Vía Xyberneticos
CRACKING WIFI UN SUEÑO QUIZAS POSIBLE
¿Deseas comprobar si la red WiFi que tienes montada en tu casa es realmente segura? ¿En tu escuela saben que eres un hacha en esto de la informática y te han pedido que realices una auditoría de su red inalámbrica? ¿O simplemente no puedes costearte una conexión ADSL puesto que tus recursos son limitados y tienes la suerte de tener a tu alcance la red wireless que tu vecino ha instalado hace apenas unos meses? Cualquiera que sea tu situación, el objetivo de este artículo es la recopilación de todos los métodos conocidos hasta la actualidad para lograr descubrir la contraseña de todas aquellas redes wifi que puedes alcanzar con tu tarjeta inalámbrica. Si lo que haces es legal o no, es responsabilidad tuya.
Introducción
¿Qué tiene este artículo que lo diferencia con cualquier otro que puedas encontrar en la red? Fácil. Casi todos los artículos o reseñas que puedas encontrar a lo largo de Internet sólo se centran en un método para hacer cierta tarea y casi siempre se resume a lo siguiente:
• Utiliza airodump(-ng) para capturar paquetes.
• Utiliza aircrack(-ng) para romper la clave.
Quizás con un posible: Utiliza aireplay(-ng) para inyectar paquetes. ¿Pero qué pasa cuando te encuentras en una situación en que no todo sale como debería? Cuando una red apenas produce paquetes, cuando no tiene clientes conectados o un sin fin de inconvenientes que limitan tus armas…
Pues aquí te mostraremos diversas formas de seguir consiguiendo contraseñas aun a pesar de enfrentarte a todas estas dificultades. Aquí reuniremos todo aquello que se puede encontrar en los foros más dispersos de la telaraña global, y agregaremos todos los links necesarios a cualquier herramienta que sea mencionada.
Este artículo se centra sobre el sistema operativo Linux, aunque haremos referencias en su momento al resto. Normalmente todos los programas o scripts presentados, salvo contadas excepciones, pueden ser ejecutados en ambos sistemas. Recuerda que un ejecutable de Windows puede correr bajo Linux por medio de Wine.
Romper WEP
Tras la puerta de este protócolo, realmente quien se encuentra es otro mucho más conocido llamado: RC4. Que resulta ser un algoritmo de cifrado de flujo. Podríamos decir que RC4 convierte una contraseña cualquiera en una tirada de bits pseudoaleatorios mucho más larga que la original. Esta cadena puede ser utilizada posteriormente para aplicarse al texto plano en el proceso de cifrado real.
Pero WEP pretendía implantar una medida adicional de seguridad. Y para ello utilizo lo que muchos conocemos como IV’s (Vectores de Inicialización). En realidad no es más que una cadena de 24 bits que se añade a la clave antes de pasar por RC4.
En resumen WEP realiza lo siguiente (extraído de la referencia que se cita al final de sección):
• Se calcula un CRC de 32 bits de los datos. Este CRC-32 es el método que propone WEP para garantizar la integridad de los mensajes (ICV, Integrity Check Value).
• Se concatena la clave secreta a continuación del IV formado el seed.
• El PRNG (Pseudo-Random Number Generator) de RC4 genera una secuencia de carácteres pseudoaleatorios (keystream), a partir del seed, de la misma longitud que los bits obtenidos en el punto 1.
• Se calcula la O exclusiva (XOR) de los caracteres del punto 1 con los del punto 3. El resultado es el mensaje cifrado.
• Se envía el IV (sin cifrar) y el mensaje cifrado dentro del campo de datos (frame body) de la trama IEEE 802.11
• El problema radica en estos dos puntos:
• La ridícula longitud del IV (24 bits)
• La pésima implementación de los fabricantes a la hora de aplicar aleatoriedad a estos Vectores de Inicialización.
La cuestión es que, aun desconociendo la clave, los IV’s se repiten en multitud de ocasiones, provocando que distintos textos planos se cifren multitud de veces con el mismo seed (casi igual que decir que se cifra con la misma clave).
Si se consigue una cantidad de textos cifrados considerable en los que se repita el Vector de Inicialización, entonces podrían iniciarse ataques estadísticos para deducir el texto en claro. Pero resulta que gracias a la aplicación del XOR, existe una propiedad que dice que se se puede obtener el seed aplicado a un texto cifrado, realizando el XOR entre un texto plano y un texto cifrado con este mismo seed. Entonces el problema se reduce a encontrar un texto plano cifrado con la misma cadena. Y es más sencillo de lo que parece, porque existen tráficos predecibles o bien, podemos provocarlos nosotros (mensajes ICMP de solicitud y respuesta de eco, confirmaciones de TCP, etc.).
Con todo esto es posible ya descifrar tráfico generado por una red que utilice en protocolo WEP como método de seguridad. Pero este método no es suficiente para obtener la clave. Para ello se han descubierto otras vulnerabilidades implícitas en el protocolo RC4 que facilitan esta tarea. Para más información mejor consulten en este lugar
Protocolos de seguridad en redes inalámbricas
http://www.saulo..../inv/SegWiFi-art.htm
Aircrack-ptw
Tal cual se anunció en Kriptopolis y otros lugares en su momento: Investigadores alemanes han anunciado un nuevo ataque que reduciría a una décima parte el volumen de trafico cifrado WEP necesario para crackear la clave utilizada en una comunicación inalámbrica. En la práctica, el anuncio viene a significar que las comunicaciones WEP a 128 bit podrían ser crackeadas en menos de un minuto utilizando un equipo informático común. La herramienta aircrack-ptw fue creada por los mismos investigadores como prueba de concepto para esta vulnerabilidad, aunque hoy en día la ultima versión de aircrack-ng ya implementa este ataque (si bien puede ser desactivado a petición en la linea de comandos). Por último recordar que existen muchas otras herramientas que nos permiten capturar tráfico. Algunas de ellas tienen nombres tan conocidos como:
• Wireshark (ethereal)
• AirSnort
• Kismet
Lo que ocurre es que la suite Aircrack(-ng) está especialmente diseñada para dedicarse a una única tarea. Y es por ello que nos hace la vida mucho más fácil.
Introducción
¿Qué tiene este artículo que lo diferencia con cualquier otro que puedas encontrar en la red? Fácil. Casi todos los artículos o reseñas que puedas encontrar a lo largo de Internet sólo se centran en un método para hacer cierta tarea y casi siempre se resume a lo siguiente:
• Utiliza airodump(-ng) para capturar paquetes.
• Utiliza aircrack(-ng) para romper la clave.
Quizás con un posible: Utiliza aireplay(-ng) para inyectar paquetes. ¿Pero qué pasa cuando te encuentras en una situación en que no todo sale como debería? Cuando una red apenas produce paquetes, cuando no tiene clientes conectados o un sin fin de inconvenientes que limitan tus armas…
Pues aquí te mostraremos diversas formas de seguir consiguiendo contraseñas aun a pesar de enfrentarte a todas estas dificultades. Aquí reuniremos todo aquello que se puede encontrar en los foros más dispersos de la telaraña global, y agregaremos todos los links necesarios a cualquier herramienta que sea mencionada.
Este artículo se centra sobre el sistema operativo Linux, aunque haremos referencias en su momento al resto. Normalmente todos los programas o scripts presentados, salvo contadas excepciones, pueden ser ejecutados en ambos sistemas. Recuerda que un ejecutable de Windows puede correr bajo Linux por medio de Wine.
Romper WEP
Tras la puerta de este protócolo, realmente quien se encuentra es otro mucho más conocido llamado: RC4. Que resulta ser un algoritmo de cifrado de flujo. Podríamos decir que RC4 convierte una contraseña cualquiera en una tirada de bits pseudoaleatorios mucho más larga que la original. Esta cadena puede ser utilizada posteriormente para aplicarse al texto plano en el proceso de cifrado real.
Pero WEP pretendía implantar una medida adicional de seguridad. Y para ello utilizo lo que muchos conocemos como IV’s (Vectores de Inicialización). En realidad no es más que una cadena de 24 bits que se añade a la clave antes de pasar por RC4.
En resumen WEP realiza lo siguiente (extraído de la referencia que se cita al final de sección):
• Se calcula un CRC de 32 bits de los datos. Este CRC-32 es el método que propone WEP para garantizar la integridad de los mensajes (ICV, Integrity Check Value).
• Se concatena la clave secreta a continuación del IV formado el seed.
• El PRNG (Pseudo-Random Number Generator) de RC4 genera una secuencia de carácteres pseudoaleatorios (keystream), a partir del seed, de la misma longitud que los bits obtenidos en el punto 1.
• Se calcula la O exclusiva (XOR) de los caracteres del punto 1 con los del punto 3. El resultado es el mensaje cifrado.
• Se envía el IV (sin cifrar) y el mensaje cifrado dentro del campo de datos (frame body) de la trama IEEE 802.11
• El problema radica en estos dos puntos:
• La ridícula longitud del IV (24 bits)
• La pésima implementación de los fabricantes a la hora de aplicar aleatoriedad a estos Vectores de Inicialización.
La cuestión es que, aun desconociendo la clave, los IV’s se repiten en multitud de ocasiones, provocando que distintos textos planos se cifren multitud de veces con el mismo seed (casi igual que decir que se cifra con la misma clave).
Si se consigue una cantidad de textos cifrados considerable en los que se repita el Vector de Inicialización, entonces podrían iniciarse ataques estadísticos para deducir el texto en claro. Pero resulta que gracias a la aplicación del XOR, existe una propiedad que dice que se se puede obtener el seed aplicado a un texto cifrado, realizando el XOR entre un texto plano y un texto cifrado con este mismo seed. Entonces el problema se reduce a encontrar un texto plano cifrado con la misma cadena. Y es más sencillo de lo que parece, porque existen tráficos predecibles o bien, podemos provocarlos nosotros (mensajes ICMP de solicitud y respuesta de eco, confirmaciones de TCP, etc.).
Con todo esto es posible ya descifrar tráfico generado por una red que utilice en protocolo WEP como método de seguridad. Pero este método no es suficiente para obtener la clave. Para ello se han descubierto otras vulnerabilidades implícitas en el protocolo RC4 que facilitan esta tarea. Para más información mejor consulten en este lugar
Protocolos de seguridad en redes inalámbricas
http://www.saulo..../inv/SegWiFi-art.htm
Aircrack-ptw
Tal cual se anunció en Kriptopolis y otros lugares en su momento: Investigadores alemanes han anunciado un nuevo ataque que reduciría a una décima parte el volumen de trafico cifrado WEP necesario para crackear la clave utilizada en una comunicación inalámbrica. En la práctica, el anuncio viene a significar que las comunicaciones WEP a 128 bit podrían ser crackeadas en menos de un minuto utilizando un equipo informático común. La herramienta aircrack-ptw fue creada por los mismos investigadores como prueba de concepto para esta vulnerabilidad, aunque hoy en día la ultima versión de aircrack-ng ya implementa este ataque (si bien puede ser desactivado a petición en la linea de comandos). Por último recordar que existen muchas otras herramientas que nos permiten capturar tráfico. Algunas de ellas tienen nombres tan conocidos como:
• Wireshark (ethereal)
• AirSnort
• Kismet
Lo que ocurre es que la suite Aircrack(-ng) está especialmente diseñada para dedicarse a una única tarea. Y es por ello que nos hace la vida mucho más fácil.
IXEDIT diseño WEB para flojos
Una de las fases que más tiempo pueden llevarnos del diseño de una aplicación para web es la de comprobar las interacciones con el usuario y los efectos que empleamos.
Hay muchas cosas que sobre el papel parecen fantásticas pero una vez en marcha no funcionan y para comprobarlo, generalmente, hace falta meterse a picar código y hacer pruebas.
IxEdit es un cómodo editor escrito en javascript y que irá embebido en tus prototipos. Con él cualquiera, con un mínimo de conocimiento, podrá ir probando diferentes comportamientos y efectos al vuelo.
IxEdit genera código javascript automáticamente con los parámetros que especifiques y se apoya en jQuery. Además podrás almacenar tus prototipos en una base de datos local con Google Gears.
IxEdit: http://www.ixedit.com/
CSS 3, please! Un generador de propiedades CSS3 crossbrowser
CSS3, please! es un generador de propiedades CSS3 para todos los navegadores. Al entrar se nos presenta una hoja de estilo que podremos editar para adaptar a nuestras necesidades y ver los cambios aplicados a un cuadrado resaltado. Incluso incluye propiedades para Internet Explorer en los casos que la transformación esté soportada mediante filtros.
No deja de ser un fastidio y flojera informática tener que duplicar o triplicar una regla de estilo para que funcione en casi todos los navegadores pero, por lo menos, ahora es más rápido.
PANEL DE LOGIN OCULTABLE
En Web-kreation han compartido un panel de login ocultable, muy útil para los sitios donde se disponga de poco espacio en el diseño. Está disponible tanto para Mootools 1.2 como para jQuery.
Puedes ver una demo en Web-kreation o descargar los ficheros para implementarlo. Es muy sencillo de adaptar a nuestras necesidades, y lo mejor es que se encuentra disponible para los dos principales frameworks Javascript.
Algunos ya lo han aprovechado para crear plugins para WordPress a partir de este código:
- Sliding Panel: WordPress Plugin por Justin Tadlock.
- SuperSlider-Login por Twincascos.
lunes, 22 de noviembre de 2010
UN COMPUTADOR A CERO GRADOS, O TRABAJAMOS EN EL INTERIOR DEL REFRIGERADOR
En varias ocasiones he mencionado lo importante que es contar con una refrigeración adecuada en nuestros computadores, especialmente si el overclocking es una práctica frecuente y no quremos quemar nuestros preciados elementos. Hemos visto diferentes tipos de sistemas, desde circuitos de agua hasta el vertido directo de nitrógeno líquido. Algunos fabricantes ya han adoptado estos sistemas alternativos para ofrecer, además de las evidentes mejoras en refrigeración, un aspecto más "extremo" para sus productos. La gente de Digital Storm ha presentado un ordenador que, además de alcanzar un alto nivel de overclocking, puede operar a temperaturas por debajo de los cero grados
Cualquiera que haya hecho overclocking en su computador sabe que de la noche a la mañana puede encontrarse con una sorpresa. Un día con más calor de lo normal puede ser la diferencia entre un sistema estable y media docena de pantallazos azules. Pero la refrigeración no solo es importante para el usuario extremo, sino también para el que requiere de una terminal confiable y eficiente. Una vieja regla que algunos usuarios todavía obedecen dice que cuanto más "propietario" es el diseño de un ordenador, mayores son las posibilidades de que sufra problemas de refrigeración. Carcasas especiales, sistemas pasivos y una ventilación reducida representan un cóctel perfecto para colgar a cualquier sistema. Sin embargo, existen fabricantes y ensambladores que se toman la refrigeración y el overclocking muy en serio, tanto que ofrecen sistemas completos, funcionando al límite desde el comienzo.
La gente de Digital Storm, empresa estacionada en California y dedicada a la venta de ordenadores personalizados, ha presentado a su "Sub-Zero Liquid Chilled System", un sistema de refrigeración que permite a un ordenador operar a temperaturas inferiores a cero grados aún con un alto nivel de overclocking. El ordenador es el "Black-Ops Hailstorm", con una configuración que puede ir desde un procesador Core i7-950 hasta el monstruoso Core i7-980X de seis núcleos. Según la empresa, este procesador combinado con el Sub-Zero puede alcanzar un overclocking estable de 4.6 Ghz, una velocidad 1.3 Ghz superior a su reloj por defecto.
Por supuesto, la gran pregunta es cómo se alcanza dicha temperatura. El fabricante ha explicado que el Sub-Zero es una combinación entre un sistema de refrigeración líquida y refrigeración termoeléctrica, lo que en la jerga conocemos como "coolers Peltier". A temperaturas tan bajas, la condensación se convierte en un problema muy serio, pero en Digital Storm evitan esto al aislar por completo el zócalo del CPU. El costo de la configuración "base" para el Hailstorm supera los 3.900 dólares, mientras que una personalización más elaborada puede llevar el costo final a unos escalofriantes siete mil dólares. Aunque cualquier entusiasta podría alcanzar el mismo efecto con una suma mucho menor (y tendría razón), cualquiera que desee un sistema "high-end" con lo último en refrigeración y sin preocuparse por el presupuesto, ya puede obtenerlo sin siquiera apretar un tornillo. Mañana mismco cambio el IMPREZA GTX por este computador......nadie lo creerá???
Cualquiera que haya hecho overclocking en su computador sabe que de la noche a la mañana puede encontrarse con una sorpresa. Un día con más calor de lo normal puede ser la diferencia entre un sistema estable y media docena de pantallazos azules. Pero la refrigeración no solo es importante para el usuario extremo, sino también para el que requiere de una terminal confiable y eficiente. Una vieja regla que algunos usuarios todavía obedecen dice que cuanto más "propietario" es el diseño de un ordenador, mayores son las posibilidades de que sufra problemas de refrigeración. Carcasas especiales, sistemas pasivos y una ventilación reducida representan un cóctel perfecto para colgar a cualquier sistema. Sin embargo, existen fabricantes y ensambladores que se toman la refrigeración y el overclocking muy en serio, tanto que ofrecen sistemas completos, funcionando al límite desde el comienzo.
La gente de Digital Storm, empresa estacionada en California y dedicada a la venta de ordenadores personalizados, ha presentado a su "Sub-Zero Liquid Chilled System", un sistema de refrigeración que permite a un ordenador operar a temperaturas inferiores a cero grados aún con un alto nivel de overclocking. El ordenador es el "Black-Ops Hailstorm", con una configuración que puede ir desde un procesador Core i7-950 hasta el monstruoso Core i7-980X de seis núcleos. Según la empresa, este procesador combinado con el Sub-Zero puede alcanzar un overclocking estable de 4.6 Ghz, una velocidad 1.3 Ghz superior a su reloj por defecto.
Después de operar un rato la CPU generó escarcha
(podrían haber sido cubitos de hielo para un Vodka..cierto??)
domingo, 21 de noviembre de 2010
YO QUERIA SER HACKER, PERO ME ALCANZO PARA PROFESOR
Aunque el título es en cierta medida denostador, no dice más que los periódicos que alguna vez publicaron páginas enteras colocando a los hackers a la misma altura que un traficante de drogas o un asesino. El cine no dudó en utilizarlos para películas más o menos decentes ("WarGames") y otras en verdad espantosas ("Hackers"). La literatura también hace uso y abuso de ellos cada vez que se necesita justificar a un personaje experto en tecnología. Y ni siquiera hablemos de las autoridades, que los persigue más por miedo que por otra cosa. Por suerte, las competencias han contribuido de forma notable a modificar esta reputación. Una de las que más se ha mencionado entre la prensa es "Pwn2Own", en la cual los participantes deben derrotar la seguridad de cierto programa o servicio, y como premio adquieren el ordenador o el dispositivo en cuestión, junto con una suma de dinero.
Bryan Fite, también conocido como "Angus Blitter", decidió crear una competencia en la que los hackers pueden poner a prueba sus habilidades de forma legal. Lo que básicamente realiza PacketWars es quitarle al "hacking" toda la ilegalidad que le ha sido asociada. Las reglas de PacketWars están bien definidas, y de la misma forma en la que un cazador de talentos puede ir a ver a un pequeño en un juego de fútbol, empresas de seguridad, desarrolladores de software e incluso miembros de oficinas gubernamentales podrían llegar a conocer por anticipado las habilidades de sus futuros empleados. Los organizadores, aunque limitados por cuestiones de tiempo y presupuesto, están tratando de organizar cada vez más eventos.
Desde cierto punto de vista se podría interpretar a PacketWars como una especie de "RPG para hackers". Pueden competir de forma individual pero el trabajo en equipo es alentado y recomendado. Fite cree que para llevar a PacketWars al siguiente nivel, necesita de otra clase de atención, y es la del público general. Como ejemplo, menciona que no es necesario conducir a toda velocidad para disfrutar de la Fórmula 1, y de la misma forma, cualquier usuario de ordenador que no tenga los conocimientos técnicos de los competidores pueda disfrutar de los eventos, y aprender en ellos
Bryan Fite, también conocido como "Angus Blitter", decidió crear una competencia en la que los hackers pueden poner a prueba sus habilidades de forma legal. Lo que básicamente realiza PacketWars es quitarle al "hacking" toda la ilegalidad que le ha sido asociada. Las reglas de PacketWars están bien definidas, y de la misma forma en la que un cazador de talentos puede ir a ver a un pequeño en un juego de fútbol, empresas de seguridad, desarrolladores de software e incluso miembros de oficinas gubernamentales podrían llegar a conocer por anticipado las habilidades de sus futuros empleados. Los organizadores, aunque limitados por cuestiones de tiempo y presupuesto, están tratando de organizar cada vez más eventos.
Desde cierto punto de vista se podría interpretar a PacketWars como una especie de "RPG para hackers". Pueden competir de forma individual pero el trabajo en equipo es alentado y recomendado. Fite cree que para llevar a PacketWars al siguiente nivel, necesita de otra clase de atención, y es la del público general. Como ejemplo, menciona que no es necesario conducir a toda velocidad para disfrutar de la Fórmula 1, y de la misma forma, cualquier usuario de ordenador que no tenga los conocimientos técnicos de los competidores pueda disfrutar de los eventos, y aprender en ellos
domingo, 7 de noviembre de 2010
TECNOLOGIA RAID
Presentación de la tecnología RAID
La tecnología RAID (sigla que significa Redundant Array of Inexpensive Disks, conjunto redundante de discos de bajo costo, o en algunos casos Redundant Array of Independent Disks, conjunto redundante de discos independientes) permite al usuario formar una unidad de almacenamiento a partir de varios discos rígidos. Por tanto, la unidad creada (denominada clúster) es altamente tolerante a los errores (disponibilidad alta) o posee una mayor capacidad/velocidad de escritura. La distribución de datos en varios discos rígidos proporciona una mayor seguridad de los datos y servicios asociados más fiables.
Esta tecnología fue desarrollada en 1987 por tres investigadores (Patterson, Gibson y Katz) en la Universidad de California (Berkeley). Desde 1992, la junta consultiva para el uso de sistemas RAID (RAID Advisory Board) ha administrado estas especificaciones. Estas consisten en la formación de una unidad con gran capacidad (y por lo tanto costosa) a partir de unidades más pequeñas y económicas (es decir, unidades en las que el MTBF, Mean Time Between Failure [tiempo medio entre fallos], sea corto).
Con la tecnología RAID, los discos unidos pueden utilizarse de maneras diferentes, denominadas niveles RAID. La Universidad de California ha definido 5 niveles, a los que se han agregado los niveles 0 y 6. Cada uno de estos niveles describe la forma en la que se distribuyen los datos en las unidades:
- Nivel 0: denominado configuración en bandas (striping)
- Nivel 1: Nivel 1: denominado réplica (mirroring), emulación (shadowing) o duplicación (duplexing)
- Nivel 2: Nivel 2: denominado configuración en bandas con paridad (obsoleto)
- Nivel 3: Nivel 3: denominado conjunto de discos con datos entrelazados en bits
- Nivel 4: Nivel 4: denominado conjunto de discos con datos entrelazados en bloques
- Nivel 5: Nivel 5: denominado conjunto de discos con paridad distribuida de entrelazado de bloques
- Nivel 6: Nivel 5: denominado conjunto de discos con paridad distribuida de entrelazado de bloques
Cada uno de estos niveles constituye una forma de utilizar el clúster, según:
- el rendimiento
- el costo
- el acceso a los discos.
Nivel 0
El nivel RAID-0, denominado de configuración en bandas (striping, concepto al que a veces se denomina erróneamente stripping) consiste en almacenar datos distribuyéndolos en todas las unidades de clúster. Este nivel no tiene redundancia alguna y por tanto no tolera errores. De hecho, si falla una de las unidades, los datos divididos y distribuidos por todas las unidades se perderán.
Sin embargo, dado que cada unidad del clúster posee su propio controlador, esta solución ofrece una velocidad de transferencia elevada.
El RAID-0 supone la yuxtaposición lógica (agregación) de varios discos rígidos físicos. En el modo RAID-0, los datos se anotan en bandas (traducción del término inglés "stripes"):
|
|
|
El término "striping" se utiliza para caracterizar el tamaño relativo de los fragmentos (bandas) almacenadas en cada unidad física. La salida promedio depende de este factor (cuanto más cortas sean las bandas, mejor serán las salidas)
Si alguno de los elementos del clúster es más grande que el resto, el sistema que se usa para almacenar datos en las unidades se bloqueará cuando el disco más pequeño se llene. Por tanto, el tamaño final equivale al doble de la capacidad del más pequeño de los dos discos:
- dos unidades de 20 GB equivalen a una unidad lógica de 40 GB
- si una unidad de 10 GB se utiliza junto con una unidad de 27 Gb, se creará una unidad lógica de 20 Gb (17 GB de la segunda unidad quedarán entonces inutilizados)
 | Se recomienda utilizar dos discos del mismo tamaño para el RAID-0; de lo contrario, no se podrá explotar al máximo la unidad con mayor capacidad. |
Nivel 1
El objetivo del nivel 1 es duplicar la información y almacenarla en varias unidades. Los términos réplica (mirroring) o emulación (shadowing) se utilizan para describir este procedimiento.
|
|
|
El nivel 1 brinda una mayor seguridad de datos, ya que si una de las unidades falla los datos se guardan en la otra. Asimismo, la lectura de los datos puede ser mucho más rápida cuando ambos discos están en funcionamiento. Por último, dado que cada unidad tiene su propio controlador, el servidor puede continuar funcionando aún cuando una de las unidades falle, de la misma manera en que un camión puede seguir en movimiento si uno de sus neumáticos revienta, ya que posee varios neumáticos en cada eje.
Por el contrario, la tecnología RAID-1 es muy costosa si se tiene en cuenta que sólo se aprovecha la mitad de la capacidad de almacenamiento.
Nivel 2
Actualmente el nivel RAID-2 es obsoleto, ya que utiliza un código Hamming para la corrección de errores (códigos ECC - Error Correction Code (código de corrección de errores). En la actualidad, el código Hamming se encuentra directamente integrado dentro de los controladores de los discos rígidos.
Esta tecnología consiste en el almacenamiento de datos bajo el mismo principio que se aplica al RAID-0, aunque la escritura de bits de verificación ECC se realiza en una unidad aparte (normalmente se utilizan 3 unidades ECC para 4 unidades de datos).
Nivel 3
La tecnología del nivel 3 RAID almacena datos en bytes en cada unidad y utiliza una de las unidades para almacenar un bit de paridad.
|
|
|
|
Nivel 4
La tecnología RAID 4 es muy similar a la del nivel 3. La diferencia reside en el nivel de paridad: El nivel 4 utiliza striping a nivel de bloque con un disco de paridad dedicado, mientras que el nivel 3 utiliza striping a nivel de byte. Más precisamente, esto significa que el striping es diferente al del RAID 3.
|
|
|
|
Para leer una cantidad reducida de bloques, no es necesario que el sistema acceda a unidades físicas múltiples, sino solamente a aquéllas en las que los datos están realmente almacenados. Por el contrario, la unidad que posee los datos de control debe tener un tiempo de acceso equivalente a la suma del tiempo de acceso de los demás discos para no limitar el rendimiento del conjunto.
Nivel 5
El nivel 5 es similar al nivel 4, es decir que la paridad se calcula a nivel del bloque pero se distribuye en todas las unidades del clúster.
|
|
|
|
De esta manera, el RAID 5 mejora en gran medida el acceso a los datos (tanto en escritura como en lectura) ya que el acceso a los bits de paridad se distribuye en las diferentes unidades del clúster.
RAID-5 brinda rendimientos muy similares a los obtenidos en RAID-0 al tiempo que asegura una alta tolerancia de errores. Por este motivo, es uno de los mejores modos RAID en términos de rendimiento y confiabilidad.
| Ya que el espacio utilizable de unidad en un clúster de n unidades equivale a n-1 unidades, se recomienda contar con un gran número de unidades para lograr que el RAID 5 sea más "rentable". |
Nivel 6
Se agregó el nivel 6 a los niveles definidos por los investigadores de Berkeley. Se define el uso de dos funciones de paridad y su almacenamiento en dos unidades dedicadas. Este nivel asegura redundancia en caso de que ambas unidades se dañen simultáneamente. Esto significa que se necesitan al menos 4 unidades para implementar el sistema RAID-6.
Comparación
Las soluciones RAID que generalmente se utilizan son los niveles 1 y 5.
La elección de una solución RAID depende de tres criterios:
- seguridad: Tanto el RAID 1 como el 5 ofrecen un alto nivel de seguridad. Sin embargo, el método de reconstrucción de unidades es diferente en cada solución. Si el sistema falla, el RAID 5 reconstruye la unidad que falta con la información almacenada en las otras unidades, mientras que RAID 1 proporciona una copia en cada unidad.
- Rendimiento: El RAID 1 ofrece un mayor rendimiento que el RAID 5 en términos de lectura, pero su rendimiento es menor en términos de escritura.
- Costo: el costo está directamente vinculado a la capacidad de almacenamiento que debe implementarse para tener una capacidad efectiva específica. La solución RAID 5 ofrece un volumen utilizable que representa entre el 80 y el 90% del volumen asignado. (el resto se utiliza para la corrección de errores). Por otro lado, el volumen disponible de la solución RAID 1 constituye sólo el 50% del volumen total (si se tiene en cuenta que la información se duplica).
Cómo implementar la solución RAID
Hay diferentes maneras de implementar una solución RAID en un servidor.
- RAID basado en software: Generalmente, aquí se necesita un driver en el nivel del sistema operativodel ordenador que sea capaz de crear un volumen lógico con varias unidades (SCSI o IDE).
- RAID basado en hardware:
- con los DASD (Direct Access Storage Device, dispositivo de almacenamiento de acceso directo): unidades de almacenamiento externo con fuente de alimentación propia. Además, estos dispositivos cuentan con conectores que permiten el cambio de unidades mientras se encuentran encendidos (dichas unidades son "intercambiables en caliente"). Estos dispositivos administran sus unidades en forma automática, por lo que se los reconoce como unidades SCSI estándares.
- con controladores RAID: tarjetas que se colocan en ranuras de expansión PCI o ISA y que permiten el control de varios discos rígidos.
Suscribirse a:
Entradas (Atom)