Acción ==> Reacción
En menos de un día los competentes trabajadores del FSIRT han modificado el aviso de seguridad FrSIRT/ADV-2007-4021 para incluir mi nombre en los creditos de la vulnerabilidad:
Sigo esperando una rectificación por parte de KJ.
Hasta los WEBS
Es increible, la degeneración desde el software libre al imperialismo personalista de los que creen ya no que las herramientas son de su propiedad, sino que utilizan el conocimiento de los demás para ponerse medallas que no merecen.
Estoy hablando del BUG de BASE que llevo mareando desde hace dos meses. Ese bug que YO, DANIEL MEDIANERO GARCÍA, meleagro, m313 descubrí, ese bug que no reporté publiamente hasta ver que no lo tomaban en serio, y que a raiz de su publicación ha sido corregido recientemente en la nueva release de BASE 1.3.9 (anne).
Claro que si entras en el CHANGELOG de BASE no verás mención alguna hacia mi persona en relación con el bug de seguridad por Cross Site Scripting, aunque en BUGTRACK pueda verse claramente que la persona que descubrió el bug es la persona que hizo el documento sobre BASE+Snort en Slackware( osea yo mismo), y esto esté admitido en el CVS del documento en cuestión e incluso en el propio CHANGELOG de BASE:
Puede pensarse que esto es una cuestión de ego. En efecto, lo es.
Pero también tengo que decir que no puede arrebatarseme lo que es mio, agradezco a Kevin Johnson( lider del proyecto BASE, en adelante KJ ) su trabajo en la aplicación pero no puedo pasar por alto este grave fallo y así se lo he hecho saber por correo electrónico.
Desde que descubrí el fallo he estado a su completa disposición, y he aportado documentación para resolverlo a la mayor brevedad posible.
Pero es muy facil adjudicarse el trabajo ajeno y aparecer en la foto.
Hoy veo que el FSIRT(French Security Incident Response Team) se hace eco de esta vulnerabilidad y la ha publicado, por supuesto y dado que desde el proyecto BASE se ningunea mi trabajo podemos ver que en los creditos del bug no hay mención alguna hacia mi persona:
Se lo he hecho saber al FSIRT y también a KJ. Del FSIRT aún no he recibido respuesta y del intercambio de correos con KJ solo veo por su parte lo doloroso que le es dedicar su tiempo libre a un proyecto OpenSource, bla bla bla.
Si KJ, sé lo que es dedicar tiempo a actividades que no repercutirán directamente sobre tu bolsillo. Dedico bastante tiempo a participar en la comunidad Slackware, a proveerla de documentación, paquetes, intervengo en foros, canales de IRC, He participado en la creación de proyectos como Open-Eslack, comunidad de la que sigo formando parte e incluso creo mis propios proyectos como XSSnortRules o "Embajadores Slackware", que estoy madurando antes de darle el escopetazo definitivo.
Además de todo eso KJ, también le dedico mi tiempo a buscar fallos de seguridad en aplicaciones de mi interés, tal es el caso de BASE.
Pero no te preocupes KJ, lo bueno de las licencias OpenSource es que aunque te adjudiques mi trabajo, el código es libre y por tanto puede crearse un fork de BASE facilmente.
Así son las cosas y así se las hemos contado.
Nueva Fedora 8
Recientemente ha salido la versión 8 de Fedora con muchas novedades y una gran expectación.No es nada sorprenderse que Red Hat de un nuevo y mayor impulso a su distribución "libre" viendo lo que se viene encima.
El crecimiento de Ubuntu entra la comunidad de usuarios está haciendo temblar a los rpm's.
Personalmente nunca me he sentido atraido por Ubuntu aunque haya usado Debian durante un tiempo. Lo más parecido a un tgz es un rpm, la cabra tira al monte y quiza sea por ello que siento bastante aprecio por la comunidad de Fedora.
He estado probando la nueva release y en general estoy bastante satisfecho.
Desde el punto de vista funcional una de las grandes mejoras es el mejor funcionamiento de yum, especialmente desde el modo grafico:
Ha ganado en velocidad y se agradece. Por otro lado las interfaces gráficas de configuración para SElinux me parecen muy mejoradas, más funcionales y también ligeras( se nota que opino que el nuevo Fedora corre mas ¿no? ).
Para los amantes del mundo grafico tenemos a un solo click disponer de compiz. Personalmente no lo uso y siempre que lo pongo acabo quitándolo rapidamente pero hay que destacar que funciona muy bien. Esta captura de pantalla es de compiz en Fedora bajo una ATI( y desde la Live KDE de Fedora ):
Respecto a la detección de hardware me parece muy correcta, detecta los dispositivos usb y los monta automáticamente. Integración plena con Java, virtualización con KVM y XEN, etc.
Como nota negativa señalo que siguen sin admitir por defecto formatos como el mp3 y que aunque presumen de que en esta ocasión ante el intento de reproducción de este tipo de ficheros ofrecen una miniguia para configurarlo correctamente sobre Fedora esto en la practica no es así, al menos intentando abrir un mp3 usando amarok.
En conjunto he quedado gratamente sorprendido por esta nueva release y aunque no vamos a compararla con Slackware puedo decir que el nivel de mi segunda distro esta subiendo notablemente versión tras versión.
Nikto 2.0
Mucho tiempo ha pasado desde el 27 de Diciembre del 2001, día en que salió nikto 1.10, la primera versión estable de éste web scanner.
Algunos podíamos pensar que el proyecto andaba muy parado, sin embargo hoy acabo de ver en la web oficial que ha salido a la luz la nueva serie 2.0.
Como es de esperar tra importantes novedades que no voy a traducir, creo que es más util consultar el changelog.
En la web se dispone también de un manual breve pero muy util.
Google Traductor
Muchas veces nos encontramos trabajando en terminales de texto sin acceso a entorno grafico.
Los que como yo no sois expertos en el idioma de Shakespeare alguna vez habréis echado en falta traducir un pequeño texto o una palabra. Googletrad surge como la respuesta a este problema, en forma de un pequeño script escrito en perl que he desarrollado y que utiliza el traductor de google, porporcionandonos un rapido y cómodo traductor del inglés al español en modo texto.
Aqui tenemos un ejemplo de uso:
El script puede descargarse desde este enlace.
Más información en esta web.
Otra racción de ego por favor
Nuevamente hablo de mi libro, y aún a riesgo de ser pesado( que lo soy ) vuelvo a contar la misma película pero con diferentes protagonistas. Un interesante remake.
En esta ocasión el escenario no cambia: internet, repite parte del reparto con m313( yo mismo ) y mi libro( la guia de Snort ) y hay nuevos actores en escena: Sourcefire, o lo que es lo mismo: la empresa propietaria de Snort.
La trama es la ya conocida, han publicado mi guia en la web oficial !!!! :D
Seguimos en la cresta de la ola