El bashocalipsis ha llegado

Para aquellos que no se han enterado, desde ayer todos los sysadmin del mundo estamos tratando de parchar todos los servers bajo nuestra supervisión debido a una vulnerabilidad muy grave de bash reportada por Stéphane Chazelas que afecta a todo sistema Unix/Linux, podría permitir en teoría a cualquier atacante remoto ejecutar programas en el shell desde scripts CGI y usando vulnerabilidades locales escalar privilegios hasta root, con lo cual el servidor queda expuesto por completo a los hackers. Arstechnica reportó hace pocos minutos que ya existe un gusano que está explotando esta vulnerabilidad.

Por favor todos a parchar los servidores, especialmente si usan control panel como CPanel, Plesk o ISPConfig, ya que todos estos paneles de control ofrecen acceso a CGI.

Cómo se si mi sistema es vulnerable, pues básicamente si ejecutas este comando en el shell:

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

Y obtienes esta respuesta:

vulnerable
this is a test

Si tu sistema no es vulnerable obtendras esta respuesta:

bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
this is a test

El parche para los sistemas con RedHat/Centos es básicamente hacer un "yum upgrade bash". Para Ubuntu todo se resuelve con un "sudo apt-get update && sudo apt-get upgrade". Lamentablemente para Debian, sólo existe un parche para Wheezy (Debian 7.0), si aún usas Squeeze (Debian 6.0) la única manera de parcharlo es agregando el repositorio squeeze-lts (aún experimental), pero la única alternativa por el momento.

Si tu sistema usa Debian 6.0 (Squeeze), aquí está lo que debes de tipear para parcharlo:

apt-get install debian-keyring debian-archive-keyring

echo "deb http://http.debian.net/debian/ squeeze-lts main contrib non-free" >> /etc/apt/sources.list.d/security.sources.list

echo "deb-src http://http.debian.net/debian/ squeeze-lts main contrib non-free" >> /etc/apt/sources.list.d/security.sources.list

apt-get update

apt-get upgrade

Espero que esta información les sea de utilidad.

UPDATE: Si quieren comprobar si el servidor web donde hostean su web es vulnerable a un ataque de este tipo purden usar esta herramienta:

http://shellshock.brandonpotter.com/

 

El poco valor de un título universitario en TIC

Educación TICCasi todas las universidades en el Perú tienen al menos una facultad de Ingeniería de Sistemas, Informática, Computación o Ciencias de la Computación, si no ha sido posible que las universidades se pongan de acuerdo en el nombre de la carrera profesional, mucho menos fue posible que estas se pongan de acuerdo en los contenidos. Es más existen universidades en donde el mismo perfil profesional tiene dos nombres diferentes, un caso que conozco de primera mano porque estudié alli es la Universidad Nacional Pedro Ruiz Gallo de la ciudad de Lambayeque en donde existe una carrera profesional de Ingeniería de Sistemas y otra de Computación e Informática. Sin embargo a pesar de la casi omniprescencia de esta carrera profesional y la iniciativa de Una Laptop por Niño OLCP en la cual el Perú es el país con más laptops de menos de $100 compradas en latinoamérica, el país sigue sin mostrar ningun cambio en su estructura productiva o su productividad. Y la única opción laboral que tienen estos jóvenes profesionales es el freelancing para empresas extranjeras, ya que las empresas peruanas son incapaces de absorber a todos los profesionales que las universidades producen de manera masiva cada año.

El día de ayer leí un interesante artículo titulado «Facultades de Ciencias de la Computación, sus títulos no son tan valiosos como Uds. creen«, un dato que llamó mi atención fue el hecho de que casi la mitad de los que ejercen el oficio de desarrollador de software en los Estados Unidos de América, no posee un título universitario. Es más hay una porción de ellos que incluso no ha terminado secundaria (High School). Por ejemplo en esta conferencia dada por Woz sobre los incios de Apple comenta que el trabajaba en HP diseñando calculadoras científicas mientras aún estudiaba en la Universidad (lo hacia para reunir el dinero necesario para pagar el mismo sus estudios) y que luego dejo HP para dedicarse de lleno a la creación de Apple Computers. En dicho video Woz comenta el hecho de que la gente que lo contrató en HP no le importaba que tuviera un título profesional o no, sino que fuera capaz de resolver los problemas de diseño.

Sigue leyendo

¿Se acaba o no la crisis?

Acabo de encontrar este video de un programa español «Por Fin Viernes» de la televisión vasca en el cual entrevistan al economista Santiago Niño Becerra y le preguntan de diversas formas como hacer para volver  a como las cosas eran antes. A lo cual él siempre responde sin perder la compostura de que nunca más se volverá a lo de antes porque el modelo de crecimiento general (keynesiano) se acabó y ahora estamos en un nuevo modelo en el cual sólo habrá recuperación en aquellas zonas que tengan posibilidades. En este blog ya hemos comentado otros videos del economista catalán y sus predicciones sobre la evolución de la crisis en España y el mundo han sido de las más acertadas hasta ahora.

Para aquellos que nunca lo han escuchado les recomiendo que dediquen 50 minutos de su vida para ver este video que resume y explica (como a un niño de 5 años) cuál es el verdadero problema y que sencillamente no hay forma de resolver la crisis y que el nuevo modelo económico recien lo estaremos viendo implementado entre el 2020 y el 2023:

 

Timberman implementado en Arduino UNO

Aquí les dejo mi último video tutorial sobre como implementar un juego sencillo como Timberman en un Arduino UNO R3, usando una pantalla LCD Nokia 5110 monocromática y un par de botones. El código completo puede ser decargado desde mi repositorio público en github.

Timberman, es un sencillo juego que puede ser implementado como un juego de turnos. Aunque el juego disponible en Google Play implementa un tiempo de pocos segundos para permitir al usuario decidir si moverse a la izquierda o derecha, la versión que hemos implementado no tiene tal limitación aunque puede ser implementado si se desea, en todo caso lo dejo como un ejercicio.

La presentación en formato PDF puede ser descargada desde aquí.

Quedo a la espera de sus preguntas o comentarios que siempre son bienvenidos.

Aquí está el video tutorial de hoy:

Sigue leyendo

Explicando el mapa de bits

En este video explico como es que se generan los caracteres en base a un mapa de bits almacenado en un matriz. Espero que este video clarifique aquello que no se entendió del video anterior. Además explico también como generar nuevos caracteres no incluídos en la librería original reemplazando caracteres que no usamos.

 

 

Aquí se puede descargar la presentación en PDF.

Espero que este post les sea de utilidad y quedo a la espera de sus comentarios para poder seguir mejorando esta serie de videos sobre Arduino.