Jorge Alberto Mussuto Sr.

Jorge Alberto Mussuto Sr.
Somewhere in Massachusetts ®

Friday, April 2, 2010

The Muppets Celebrate Eastern


The Muppets are at it again — they’re out with a new video, this one featuring Big Mean Carl and bunch of bunnies covering Ben E. King’s “Stand By Me.” I think it’s supposed to be celebrating Easter. Or cannibalism. Either one.
The Muppets have been tearing up the Internet of late, with covers of “Bohemian Rhapsody,”“Ringing the Bells,” as well as their own iPhone app and Beaker’s musical take on YouTube commenters. And, from the looks of things, these furry icons are showing no signs of slowing down.


Facebook reveló ayer las direcciones de correo privadas a todo el mundo


 Noticias de Seguridad Informática4/1/10 12:06 PMnoreply@blogger.com (- Raúl -)privacidad redes sociales errores
Ayer parece ser que los señores de Facebook, más conocido como Skynet, tuvieron lo que podría ser un “problema”, siempre que realmente no lo hicieran aposta, claro. Porque durante unos 30 minutos se revelaron direcciones de correo privadas (sí, esas que supuestamente solo pueden ver tus amigos, o amigos de amigos). A cualquier extraño. ¿Sospechoso, justo cuando quieren cambiar su política de privacidad? Podéis leer más después del salto.

Lo curioso del asunto es que, además de mostrar las direcciones de e-mail privadas de millones de personas a cualquier extraño, el Caralibro (sí, una vez lo oí y lo llamo así) tampoco permitió borrar esos datos. Efectivamente: cualquiera veía tus cuentas de correo y no podías hacer nada para evitarlo. Los usuarios mostraron su descontecto en el propio Caralibro y en otras redes sociales:

“No puedo creer esta mier**. En los últimos 30 minutos el correo de todo el mundo se ha hecho público. Voy a mi perfil y no puedo borrarlo. Dios, cómo odio el jod**o FB!! ¿Cuándo aprenderán?”
Y perlas similares.

Facebook tiene intención de cambiar su política de privacidad, pudiendo mostrar información a terceros sin el consentimiento del usuario. Pero esto no parecía entrar dentro de sus planes. ¿O sí?

Fuente en inglés [Gawker]
Autor: Javier G. Pereda
Fuente: Gizmodo

Un Hacker consigue ejecutar código en un PDF sin explotar ninguna vulnerabilidad


 Noticias de Seguridad Informática4/1/10 3:54 PMnoreply@blogger.com (- Raúl -)vulnerabilidades atacantes
Por si no fuera poco la  larga lista de vulnerabilidades que se explotan actualmente en los visualizadores de documentos PDF, que pueden comprometer la seguridad de nuestros sistemas, ahora un hacker ha creado un archivo de  prueba de concepto PDF, que permite ejecutar un ejecutable incrustado sin explotar ninguna vulnerabilidad de seguridad. Esta nueva técnica de PDF Hack combinada con ingeniería social puede permitir la ejecución de código cuando un usuario abre un documento PDF manipulado.

El investigador Didier Stevens comenta en su blog:
Yo uso el lanzamiento de una acción desencadenada para la apertura de mi PoC de PDF. Con Adobe Reader, el usuario recibe un aviso solicitando la aprobación para iniciar la acción, pero  yo puedo controlar (parcialmente) el mensaje mostrado por el cuadro de diálogo. Foxit Reader  no muestra ninguna advertencia en absoluto, la acción es ejecutado sin necesidad de interacción del usuario.
Aunque programas de lectura de documentos  PDF como Adobe Reader Foxit Reader no permiten  a los ejecutables incrustados  (como los binarios y secuencias de comandos), ser extraídos y ejecutados, Stevens descubrió otra manera de lanzar un comando (/ Lanzamiento / acción)  que finalmente podría ejecutar un archivo ejecutable incrustado utilizando una técnica especial.

Así que utilizando técnicas de ingenería social se podría engañar a un usuario para que acepte la ejecución del ejecutable cuando Adobe Reader lo bloquee, mientras que en Foxit Reader el usuario ni si quiera recibiría ningún aviso.

Para evitar estos problemas de seguridad en documentos PDF siempre se recomendaba deshabilitar JavaScript, pero es este caso este método es ineficaz, ya que este investigador no utiliza Java Script es su prueba de concepto. Además parchear Adobe con las últimas actualizaciones de seguridad tampoco resuelve el problema, porque como hemos comentado al principio no se explota ninguna vulnerabilidad.

Este investigador ha probado su Hack PDF en Adobe Reader 9.3.1 (Windows XP SP3 y Windows 7).

Aunque Didier Stevens no ha publicado su prueba de concepto ha informado al equipo de Adobe.

Fuente: Cnet

Fuente: Software Zone

Securizando nuestra DMZ


Security Art Work4/2/10 9:43 AMJose L. VillalónGeneralComments
(N.d.E. Para aquellos que no pueden vivir sin Internet durante las vacaciones —aquellos que las tengan—, aquí va una entrada sobre la securización de DMZ)
Generalmente, la arquitectura de seguridad de red en pequeñas empresas se basa en un elemento central de filtrado, habitualmente un firewall, y distintos segmentos de red conectados a él, principalmente, un segmento de red interna y un segmento DMZ para alojar servidores corporativos. En el caso de una empresa de tamaño medio o grande, la situación es bastante similar: uno o varios firewalls en alta disponibilidad separando distintos segmentos de red, aunque disponen de otros controles como NIDS, IPS, sistemas de monitorizacion, etc, y técnicos dedicados a la gestion de la seguridad.
Un problema habitual en este tipo de arquitecturas hace que siempre nos preguntemos: ¿que sucede si comprometen uno de mis servidores ubicados en la DMZ? Bien sea por un Zero-day, una mala configuracion del sistema, un exploit sin firma actualizada en nuestro IDS, etc., la respuesta suele ser siempre la misma: una vez comprometido un servidor del segmento, el atacante podria comprometernos el resto de los servidores puesto que la comunicacion entre los servidores ya no atraviesa el firewall central.
Para resolver este problema existen distintas soluciones, las cuales se basan entre otras en implantar HIDS o firewalls en los propios servidores, con el problema añadido de la complejidad de la gestion de la seguridad para los administradores o del consumo de recursos, aunque mínimo, de los sistemas implicados.
Un control de seguridad adicional para este tipo de situaciones es posible configurarlo a nivel de red, en concreto en los propios switches, y es lo que se conoce como Private Virtual Lan (PVLAN), una tecnologia (al parecer) ideada por Cisco Systems, aunque soportada por distintos fabricantes.
Habitualmente, una VLAN forma un unico dominio de broadcast donde todos los hosts conectados a ella pueden conectarse entre sí. Por el contrario, una Private VLAN permite una segmentacion en la capa 2 del modelo OSI, limitando el dominio de broadcast, de forma que es posible permitir conexiones de cada host con su gateway, denegando la comunicacion entre hosts, obteniendo el resultado deseado, de modo que si un host se ve comprometido, el resto de equipos podría mantenerse a salvo.
En arquitecturas basadas en PVLAN, cada puerto del switch puede configurarse de tres maneras distintas:
  • Promiscuous: el puerto es capaz de enviar y recibir tráfico a cualquier puerto de la misma PVLAN.
  • Community: el puerto puede enviar y recibir tráfico a un puerto configurado como promiscuo o a otros puertos de la misma comunidad.
  • Isolated: el puerto solo puede enviar y recibir tráfico a un puerto configurado como promiscuo.
De esta forma, una PVLAN solo puede tener un puerto configurado como promiscuous (primary vlan) pero varios declarados como community o isolated (secondary vlan).
En la red DMZ que usamos como ejemplo, el puerto conectado al firewall seria declarado como promiscuous y los puertos que conectan los servidores serian declarados como isolated, siempre que no necesiten conectividad entre ellos, o community en caso de que la requieran. Por ejemplo, un servidor de aplicaciones que accede a un servidor de base de datos.
De esta forma, conseguiríamos un nivel de seguridad más para nuestras redes, en la línea de lo exigido por la ISO 27002 (A.10.6.1, Controles de red), y reduciendo los riesgos para un segmento especialmente expuesto a ataques y amenazas.
(Diagrama de Tech Republic. Pasen un buen y largo fin de semana y nos vemos el martes que viene, en el mismo sitio. Tengan cuidado con la carretera.)

ABC and CBS Bring Streaming TV Shows to iPad


uno de los mejores magazines de apple4/2/10 7:42 AMJ.R. BookwalterNews ABC ipad iPad Applications streaming videoComments
ABC Player for iPadIf you’re a television nut who also happens to have an iPad fetish, you’ll be happy to know that two of the four major TV networks are now available on your device.

According to AppleInsider
, both CBS and Walt Disney’s ABC are betting big on Apple’s new iPad.The Wall Street Journal is reporting that both networks will be offering streaming episodes of TV shows -- CBS through its website, and ABC through a free, iPad-only app that’s already available for download.

"Putting streaming video on the iPad would sidestep Apple's iTunes content store, where Apple has been trying to juice anemic sales of TV episodes in advance of the iPad launch," the report reads. "So far, several media companies have rejected Apple's push to lower the price for downloading shows from iTunes to 99 cents each, according to people familiar with the talks."

Only last week, MacRumors reported that CBS.com had been switching some of its content from Adobe Flash to iPad-friendly HTML5. Those alternate pages were discovered while visiting the site using the iPad SDK simulator. The revised site will be live in time for Saturday’s launch, although initial offerings are expected to be limited at first.

ABC has taken a more proactive approach, creating a free, dedicated iPad-only app that’s already available for download. It promises to let you watch full-length episodes of your favorite shows, including Lost, Grey’s Anatomy, Modern Family, Desperate Housewives and more.

The 1.5MB ABC Player app also features a full schedule for the network and the ability to pause an episode and come right back to the same place later on. The only downside is that it requires a Wi-Fi connection for now, but since there are no 3G iPads available at the moment, that shouldn’t be too much of a dealbreaker.

hr-Bigband feat. Roberta Gambarini: „Tribute to Ella“ - live at Rheingau Musik Festival July 2009



Roberta Gambarini, voc
Örjan Fahlström, ld
hr-Big Band (Frankfurt Radio Big Band):
Martin Auer, Axel Schlosser, Thomas Vogel: trumpets
Heinz-Dieter Sauerborn, Oliver Leicht, Tony Lakatos, Julian Argüelles, Rainer Heute: reeds
Günter Bullmann, Peter Feil, Manfred Hornetschläger, Christian Jaksjø: trombones
Peter Reiter, piano; Martin Scales, guitar; Thomas Heidepriem, bass; Paul Hochstädter, drums

recorded live at Schloss Johannisberg, Geisenheim July 5, 2009

1. When Lights Are Low
2. Please Don´t Talk About Me
3. Daydream
4. Honeysuckle Rose
5. Stardust
6. Just One Of Those Things
7. Manha da Carneval
8. Oh, Lady Be Good
9. This Autumn
10. Lover Come Back To Me
11. Round Midnight
12. Cotton Tail Part I
13. Cotton Tail Part II
14. I Hadn´t Anyone Until You

The Frankfurt Radio Bigband is one of the most innovative German jazz ensembles of our times. Its imaginative programmes, quality musicians and high-profile projects have raised the Big Band of the Hessischer Rundfunk (German Public Radio of Hessen) to the Champions League of large ensemble jazz music and have set new musical standards. From swing to the avant-garde, it covers the entire spectrum of jazz, as well as crossing over into classical, pop and world music.

Celebrated throughout the world by fans, critics and many of the world’s greatest musicians,Roberta Gambarini became a fast-rising star. The Boston Globe named Roberta as the “true successor to Ella Fitzgerald, Sarah Vaughan, and Carmen McRae.” Roberta’s new album, ‘So In Love,’ out on August 25, 2009, is a stunning affirmation of her status as one of the most important vocal artists performing today.

Paul Klee 4tet - Philip Glass Quartets


AvaxHome RSS:/music/classical4/2/10 7:42 AMtrackballMusic, Lossless (wav, ape, flac ...), +Classical, YEAR 2009, 1950 - 2000 Contemporary

Paul Klee 4tet - Philip Glass Quartets
Classical | Easy CD-DA, FLAC tracks, No CUE, No Log | 1 CD, Cover, HQ | 374 MB
CD Date: 24 April 2009 | Blue Serge

April 3rd, 2010


Mandatory Attendance4/1/10 12:35 PMmandatoryattendanceDaily HitsComments

Jazzblog.ca4/1/10 12:12 AMphumYouTube jazz treat Jazz Oddities Jean-Michel Pilc Matt Penman Ari HoenigComments
Check this out: the great Jean Michel Pilc at the piano, and great Ari Hoenig drumming and the great Matt Penman playing bass... or are they?



"That was really awesome, that was really cool," as the man says. Here's the source video:



Nice overdub, dude. Happy April Fool's Day! (h/t to Jon McCaslin for hipping me to the first video.)

Blog Archive

Quilts

Where am I?