Archivos para julio, 2008

La resaca de emprende web

Posted in Eventos with tags , , , on 29 julio, 2008 by febrer

Esta interesante y curiosa iniciativa de Asier Marqués y Javier Jiménez, consiguió retrasar mis mini-vacaciones. No fue buena fecha (jueves previo a un puente), pero me anime. Me gusta la marcha.

Fue muy gratificante hablar con verdaderos profesionales de la informática. Para algunos puede que fuera una reunión muy técnica, pero supongo que como yo, algo aprenderían. Se trataron temas muy interesantes como la programación Ágil, Framework MVC, RubyOnRailsScrum, Web 2.0, redes sociales, etc,etc.

Apuntes sobre la reunión

Yo (como jefe, comercial, secretaria, programador … de mi propia empresa), hablé de la forma que tengo para desarrollar aplicaciones con ASP.NET. Os dejo un video que realicé para que os hagáis una idea de su funcionamiento. No tiene nada que envidiar a DotNetNuke, jeje.

FSPortal – editor de contenidos online

En septiembre repetiremos la experiencia y desde aquí os animo a participar.

– Web oficial emprende web

Por cierto, aprovecho también para informaros de la tercera edición del Asegúr@IT que se realizará en Bilbao. Un evento se seguridad organizado por Microsoft. Más información en el blog de Maligno.

Ataques por inyección de código en URL

Posted in Programación with tags , , on 24 julio, 2008 by febrer

¿Quién no está sufriendo últimamente ataques de Inyección de SQL en URL?

Si te ha pasado como a mí, que tienes desarrollos antiguos en ASP contra SQL Server, y has sufrido alguna inyección del tipo: http://www.mitxatxidominio.com/mipaginitamalprogramada.asp?miparam=23;DECLARE%20@S%20VARCHAR(4000);SET%20@S=CAST(0x4445434C41524520405420564152434…txurro que te crio. Y si encima has tenido la mala suerte de no hacer un cast del request con cint y te la han colao ….., te habrás encontrado con código basura en todos los campos de texto de la base de datos.

Para limpiar la “mierda” de tu servidor, este es el procedimiento almacenado que he utilizado (es un procedimiento para realizar sustituciones de cadenas en todos los campos de texto de todas las tablas de tu BD) (USALO CON PRECAUCIÓN, Y RECETA MÉDICA):

CREATE PROC SearchAndReplace
(
@SearchStr nvarchar(100),
@ReplaceStr nvarchar(100)
)
AS
BEGIN

— Copyright 2002 Narayana Vyas Kondreddi. All rights reserved.
— Purpose: To search all columns of all tables for a given search string and replace it with another string
— Written by: Narayana Vyas Kondreddi
— Modificación: Juan Carlos Febrer
— Site: http://vyaskn.tripod.com
— Tested on: SQL Server 7.0 and SQL Server 2000 and SQL Server 2005
— Date modified: 2nd November 2002 13:50 GMT 

SET NOCOUNT ON

DECLARE @TableName nvarchar(256), @ColumnName nvarchar(128), @SearchStr2 nvarchar(110), @SQL nvarchar(4000), @RCTR int
SET @TableName = ”
SET @SearchStr2 = QUOTENAME(‘%’ + @SearchStr + ‘%’,””)
SET @RCTR = 0

WHILE @TableName IS NOT NULL
BEGIN
SET @ColumnName = ”
SET @TableName =
(
SELECT MIN(QUOTENAME(TABLE_SCHEMA) + ‘.’ + QUOTENAME(TABLE_NAME))
FROM INFORMATION_SCHEMA.TABLES
WHERE TABLE_TYPE = ‘BASE TABLE’
AND QUOTENAME(TABLE_SCHEMA) + ‘.’ + QUOTENAME(TABLE_NAME) > @TableName
AND OBJECTPROPERTY(
OBJECT_ID(
QUOTENAME(TABLE_SCHEMA) + ‘.’ + QUOTENAME(TABLE_NAME)
), ‘IsMSShipped’
) = 0
)

WHILE (@TableName IS NOT NULL) AND (@ColumnName IS NOT NULL)
BEGIN
SET @ColumnName =
(
SELECT MIN(QUOTENAME(COLUMN_NAME))
FROM INFORMATION_SCHEMA.COLUMNS
WHERE TABLE_SCHEMA = PARSENAME(@TableName, 2)
AND TABLE_NAME = PARSENAME(@TableName, 1)
AND DATA_TYPE IN (‘char’, ‘varchar’, ‘nchar’, ‘nvarchar’, ‘ntext’, ‘text’)
AND QUOTENAME(COLUMN_NAME) > @ColumnName
)

IF @ColumnName IS NOT NULL
BEGIN
SET @SQL= ‘UPDATE ‘ + @TableName +
‘ SET ‘ + @ColumnName
+ ‘ = REPLACE(cast(‘ + @ColumnName + ‘ as varchar(8000)), ‘
+ QUOTENAME(@SearchStr, ””) + ‘, ‘ + QUOTENAME(@ReplaceStr, ””) +
‘) WHERE ‘ + @ColumnName + ‘ LIKE ‘ + @SearchStr2
EXEC (@SQL)
SET @RCTR = @RCTR + @@ROWCOUNT
END
END
END

SELECT ‘Replaced ‘ + CAST(@RCTR AS varchar) + ‘ occurence(s)’ AS ‘Outcome’
END

 

Esta es una versión modificada de la realizada por Narayana Vyas Kondreddi que permite buscar y sustituir también en los campos “ntext” y “text” (memo).

Si deseas más información sobre este tipo de ataques, te recomiendo:

-Técnicas avanzadas en ataques Blind SQL Inyección (Chema Alonso)
-Protegerse de las inyecciones SQL por URL (Rodrigo Corral)
-Gustavo Velez (SkunkWorks)

Tiempo de cambios

Posted in Eventos, Personal with tags , , on 24 julio, 2008 by febrer

Bueno, ya llega el día. Hoy es la 1ª reunión de emprendeweb.org una interesante iniciativa de Javier Jiménez y Asier Marqués.

Hoy voy a conocer gente autónoma y emprendedora “como yo”. Gente con ilusión y ganas de comerse el mundo … comerse un mundo tan difícil como el informático, un mundo en el que lo de ayer, ya no vale. Desde aquí les doy todo mi apoyo.

Hoy, precisamente hoy, cuando he firmado un contrato con una empresa de 1ª división como es Sisteplant (y digo de primera división, por que trabaja gente de 1ª como son Rodrigo Corral (MVP de Microsoft) y Gorka Elexgaray).

Lo que son las cosas, después de casi cinco años de freelance,  tengo que tirar la toalla, precisamente hoy.

Han sido cinco años muy fructíferos, llenos de alegrías e ilusiones. Las primeras y más importantes, el nacimiento de mis dos hijos (Iune e Ion), ellos, que son lo más importante de este mundo. Besos a mi mujer por el aguante que tiene, principalmente conmigo.

Desde este post, también quiero despedirme de todos mis compañeros de Robotiker (TRENDS, proyecto en el que he estado trabajando estos últimos 6 meses), especialmente de Angel, Arantza, Aritz, Artzai, Alberto, Alex,  y de todos los compañeros del coffee :-). Gracias por vuestro apoyo y comprensión.

Autoregulación Internet

Posted in Trabajos with tags , on 18 julio, 2008 by febrer

Este proyecto lo realice en el 2007 subcontratado, por una importante empresa vasca. Consistía en un sistema para regular el uso que los empleados hacían de Internet. Cada usuario, dependiendo del perfil, disponía de un tiempo limitado para navegar.

El funcionamiento era bien sencillo. El sistema, consultaba los logs del proxy para determinar la cantidad de tiempo utilizado en internet. Evidentemente, los tiempos no eran exactos, pero servían para establecer una medida.

Los usuarios disponían en su “traybar” de la aplicación, que mostraba los tiempos utilizados. Mediante códigos de colores, el usuario sabia en todo momento de la utilización que estaba haciendo de Internet.

Esta es una captura de la aplicación (local):

Tambien se desarrollo una herramienta de administración para gestionar los usuarios, roles, tiempos y estadísticas.

El proyecto no tuvo mucho éxito. Me imagino que entre otros problemas, estaría la negativa de los usuarios a ser controlados.

Engaños cibernéticos

Posted in Tecnología with tags , , on 10 julio, 2008 by febrer

¿Quien no ha recibido un correo con ofertas de trabajo increíbles del tipo: “gane de 300€ a 500 € a la semana” o de empresas que quieren vender sus productos en españa, pantallas de grandes marcas como LG, Sony, Phillips, etc. Que necesitan vender sus productos aquí, etc,etc.

Este es un ejemplo de correo:

¡Buenos días! ¿Qué tal?
Vendemos los televisores de plasma y las pantallas de plasma de tales marcas como Samsung, LG, Sony, Philips y otras.

Ahora necesitamos los socios en su país. Hoy en día tenemos solo 15 puestos libres. Si Usted está metido en colaboración, le explicaremos con mucho gusto que hacer. Según el horario elegido, va Usted a ganar de 350 a 600 EURO por la semana. Tendrá que consultar a nuestros clientes por teléfono o por vía e-mail.

Así, comuníquenos su información personal para empezar nuestra colaboración. Envíenos una carta Manuel.Ramirez.25@gmail..com

1. Su nombre y apellido
2. Lugar y año de nacimiento
3. ¿Está dispuesto a trabajar 4 ó 8 horas por día?

Por favor, tenga prisa con su respuesta, si nuestra oferta le interesa. Le enviaremos las instrucciones dentro de unos días Esperando nuestra colaboración próxima

Hasta pronto. Director de recursos laborales

Ese es el gancho, grandes cantidades de dinero por pocos requisitos. No te piden ni CV, ni referencias, ni na dena.
CUIDADO!!! Son estafadores.

¿Cual es su funcionamiento? Lo que hacen es buscar una presa (mulero) a la cual lo único que le piden es que tenga una cuenta bancaria donde ingresar dinero ilícito. Ellos te ingresan grandes cantidades de dinero, tu lo retiras y se lo entregas, previamente descuentas tu comisión, y listo. Este es todo el trabajo que hay que realizar.

Al día siguiente tienes a la policía en tu casa y condenado por blanqueo de dinero.

El dinero puede provenir de muchos sucios negocios, pero el que más me llama la atención es el de utilizar troyanos para acceder a tus cuentas bancarias. Piensas que estas totalmente protegido con los sistemas de seguridad del banco, ssl, teclados en pantalla con cambios de posición, etc … y resulta que los malos malísimos, diseñan herramientas para acceder a los movimientos de ratón, zonas que pulsas en la pantalla, capturas de pantalla, etc,etc. Lo tienen todo, nadie esta a salvo.

Chema Alonso a realizado un estupendo trabajo de investigación sobre estos temas. Este es el link.

Que díos nos pille confesados.

Lumidigm Venus

Posted in Programación with tags , , on 7 julio, 2008 by febrer

Lumidigm, dispone de un producto muy interesante llamado “Venus”. Es un escáner de huellas digitales. Dispone de un SDK que permite su fácil utilización en diferentes entornos. Yo lo he utilizado en .NET con c# y me ha parecido muy fácil de usar. Para facilitarme las cosas, he creado un UserControl con las funciones básicas y un proyecto demo.

A continuación os facilito un sencillo ejemplo para facilitaros el desarrollo.

Ejemplo c#

Debes instalar el SDK v2.31 que viene con el producto. Si lo instalas en una dirección diferente de C:\Archivos de programa\Lumidigm\SDKv2.31 , deberás cambiar el path en el SDK Helper.

Nota: La versión de SDK Helper que os facilito es una versión propia, que corrige un problema con el Score y Spoof. Es un problema muy sencillo que supongo en versiones superiores la corrijan.