martes, julio 28, 2009

Es difícil...

Ya hace un par de meses atrás se me dió la noticia de que nuestro mayor cliente en la mina ya no renovaría su contrato debido a la crisis y lógicamente están viendo como recortan gastos (ya habían dejado de trabajar con sus contratistas, cerrado una planta, recortado personal en otras... y parece que hay planes de cerrar otra planta mas).

En ese entonces, debido a que no tenía mayor información ni autorización de comentar al respecto, me fué realmente difícil poner buena cara ante el shock de la noticia.

No pasó mucho tiempo para que rumores y comentarios se estuvieran dando en el medio y llegaran a oídos de las personas que trabajan con nosotros, asi que llegó el momento en que consideramos era justo para todos hacer pública la noticia.

Fue dificil realmente, pero me parece que fué lo mejor.... la mina se ha portado excelente con nosotros y aún hoy se les avisa a todos con anticipación para poder, con un poco mas de tiempo, buscar nuevos rumbos.

Hoy, es difícil mantener el buen ánimo de todos, se que Dios tiene control de cada situación, pero esto es algo que no todos comprenden.

Aún no se sabe cuales son los planes de este cliente, así que hay una comitiva que está viniendo a la empresa, se le está enseñando nuestros procedimientos, sistemas, etc. pero queda esa sensación rara de estarle enseñando todo... y luego nos quedaremos sin mayor cosa.

Hay rumores que la mina seguirá (a un nivel mas pequeño, claro está), pero no son mas que eso: rumores. No tenemos información certera, así que por el momento mi futuro laboral está incierto, ya ando repartiendo curriculums con algunos conocidos, pensando y pidiendo a Dios que guie el rumbo que deba tomar, asi que si saben de algo, avisen!!!

lunes, julio 27, 2009

Mi fin de semana...

Después de dar el aviso de la demo de SQL Injection, por IRC se armó la mini-reunión el día viernes y debido a que por estar travesiando cosas que no debía me había tirado el apache/mysql le pedí a vostorga que llevara su laptop con una instalación LAMP por default, así que el viernes estuvimos un rato reunidos con elsimio y vostorga, no fue una demo porque la gente de la bolsa tiene como "medida de seguridad...???" apagar el server me parece que los fines de semana... asi que el viernes que nos reunimos no se pudo... pero como todo boy scout me había preparado unos .php para ver el codigo y demostrar lo que pasa con los querys cuando se inyectan, asi que hicimos uso de ellos para poder hablar un poco sobre el tema, cabe aclarar que no soy experto en el tema, solo compartí lo poco que se... SQL Injection es un tema bastante extenso y con miles de variantes, pero ya que esto era bastante básico me decidí a hablar un poco sobre ello, espero en unos días publicar lo hablado.

Por otra parte, el domingo estuvimos reunidas las diferentes comunidades de linux y software libre del pais debatiendo un poco sobre la futura creación/modificación de una Asociación de Software Libre de El Salvador que englobe a las otras comunidades y así podamos tener presencia formal para diferentes proyectos, así que veremos que hacemos.

saludos!

miércoles, julio 22, 2009

SQL Injection Demo... se me ocurre hacerla en vivo

Pues lo del titulo, antes de publicar la vulnerabilidad sql injection del sitio mencionado anteriormente y dado que el sitio aún sigue de alta... porque no hacerlo en "vivo" y directo? podríamos aprovechar de armar un pequeño taller para hablar un poco sobre el tema...

Les dejo la idea por si alguien se apunta, sino... luego publico el paper!

Saludos,

[update]
Tentativamente se acaba de armar para hacerla en algún bar con internet en San Salvador el día viernes (dependerá de como este de liado en la mina) o sino veremos si armamos algo para el domingo despues de la reunion con las comunidades de software libre.
El que quiera mas información... anótese y pendiente!

viernes, julio 17, 2009

Jugando a las inyecciones...

Despues de estar un rato meditando sobre si hacerlo o no hacerlo, me decidí a publicar este post sobre el sitio al que en enero le avisé que era vulnerable a inyeccion SQL, pero el caso es que el ejemplo está bonito para probar y aprender ;) además, si desde enero estan sabedores que tienen este problema y ellos no se preocupan por arreglarlo... porque me voy a preocupar yo por publicarlo? asi que, aprovechando que ya desde hace tiempo no publico nada, les dejo primero el sitio para que hagan sus pruebas y vean si pueden encontrar el/los (si, son varias secciones) agujeros... pero a ser buenos, no arruinen la pagina, se trata nada mas de aprender, luego publicaré los respectivos screenshots y explicación.

El sitio en cuestion:
http://www.bves.com.sv

Vulnerabilidad:
SQL injection que permite luego ingresar como administrador/es del sitio.

Saludos!