Primera HJG
Ultima XJT




Así avanza la obra de Piedras (8) 
Ya va por el 4º piso
Casi 2 pisos por mes es la  velocidad!

Ayer salió en el diario, una nota a un gurú de los medios y las comunicaciones,
Sree Sreenivasan
Acá están los videos de las charlas
http://www.redaccionperiodistica.com/2008/07/entrevista-a-sree-sreenivasan-de-la-universidad-de-columbia.php
y como él apoya todo lo que es compartir conocimientos, lo mismo que
nosotros, el conocimiento universal, colaborativo, libre
siempre conservando los derechos de autor, pero que se conozca...que se
difunda, tal cual lo que hace wikipedia, commons, etc
por ej, trabajamos por mantener las tribus originarias argentinas, mapuches,
quechuas, etc entre otras cosas
grabar sonidos originales, idiomas, costumbres, etc
que son discriminados, como los discapacitados visuales y demases :-(

Y también habla, por eso este post, que se debe poder entrar a todos lados
haya libertad de navegar, a sitios de videos, radios, multimedia
sí, es lo mismo que pienso

Y si hay lugares, empresas, organizaciones donde no se puede entrar, a youtube o lugares de video, y no porque sea controlado o censurado
sino por temas técnicos
por el lado de la comunicación, está perfecto, todos deberíamos tener acceso, pero por el lado técnico, no da el ancho de banda
si todos a la vez bajarían o verían video, no alcanzan los bytes,
la red se volvería lenta, se saturaría y al volverse lenta, no se podría trabajar bien
Es como cuando queres escuchar una radio online y si no te conectas temprano, ya despues no te podes conectar, se satura la conexión.

Bueno, esto lo aclaro, no por trabajar en sector sistemas, sino para todas las personas, como mis amigos, mis alumnos, que no saben bien como funciona internet
No es como decir, "canilla libre", la bebida hay que pagarla
:-)
debe medirse la conexión...las conexiones
En la UTN, universidades, en otras asociaciones, empresas se tiene esto en cuenta.....
se usan proxies de caché, por ejemplo en los ISP

Pero en un medio de comunicaciones, choca más, no??

Los pensamientos del hombre, nuestra imaginación,
la creatividad,
las ideas,
la capacidad de inventiva,
el crecimiento de uso del cerebro, eso sí es infinito

internet no

si fuera la nube internet, como nube puede ser ;-)

Pero para que internet ande, se guarda en computadoras, en servidores
como los que manejamos nosotros
o los servidores/computadoras que guardan este blog...
o las supercomputadoras de hotmail, de google, de IBM
las computadoras se van llenando
se necesita espacio para guardar las páginas web, las imágenes, los videos, las fotos, los posts de los blogs....

es recurso finito

la internet es finita

Por ahora, no puede crecer indefinidamente

o compremos recursos
más recursos
más
;-)
 

Hasta en Malasia, que se está preparando HITBSecConf2008 - Malaysia
se comenta sobre la ekoparty


Se viene para octubre
http://conference.hackinthebox.org/hitbsecconf2008kl/
y por eso algunas personas nos piden disculpas por no venir a Bs As, mucho gasto!!!
es cierto
;-)



Como Francisco estuvo en ShakaCon
que se realizó en junio en Hawaii
hizo propaganda de la eko, vean la foto








Y para ir paladeando la eko 2008
les pongo un link del blog de ulises, con un post con comentarios de las charlas de la edición anterior, 2007
está muy bueno,
para complementar lo que escribí yo el año pasado

Ulises, estamos esperando lo de SSH, v2!!!!!!

Recordar
http://conference.hackinthebox.org/hitbsecconf2008kl/
Hack in The Box (M) Sdn. Bhd.
Kuala Lumpur, Malaysia

http://www.hackinthebox.org
http://forum.hackinthebox.org
http://conference.hackinthebox.org
http://training.hackinthebox.org
http://photos.hackinthebox.org
http://video.hackinthebox.org

La próxima HITB Dubai 09

Bueno, sin querer, como todo descubrimiento que se precie
Newton, cuando le cayó la manzana en la cabeza y pensó en la gravedad......
es más una manzana pesa 1N (newton)
Como el peso es la fuerza que ejerce la gravedad en la superficie de la Tierra, el newton es también una unidad de peso. Una masa de un kilogramo tiene un peso de unos 9,81 N. Un newton es, aproximadamente, el peso de una manzana pequeña, hecho curioso si se tiene en cuenta la historia del descubrimiento de la gravedad de Newton

ojo, es un mito que estaba sentado bajo el árbol y la manzana le cayó en la cabeza, lo demás es cierto
:-)
él vio caer una manzana.....

El ejército de Estados Unidos, probando un generador de alta frecuencia, a Percy Spencer se le derritió el chocolate que tenía en el bolsillo y descubrió las microondas......como aplicarlas a la cocina, porque ya se habían descubierto antes.

bue, ahora, yo que no podía abrir mi correo de hotmail
(igual no lo uso mucho, pero algunas listas viejas me llegan ahi)
gracias al retohacking 8 que había que analizar las tramas capturadas sniffeando un chat de messenger,
analizando las ips que aparecían, probando con nslookup, nmap, dnsstuff y un browser para ver qué eran esas ips, estaban las de hotmail
acá está la sorpresa, yo estaba logueada en el amsn, protocolo msn, tonces.....al poner esa ip en el browser, voilà se me abrió el inbox de hotmail....

chemita no le digas nada a tus amigos de ms

jaja, por eso digo sin querer, un descubrimiento sin querer
porque no se me ocurrió que así iba a poder entrar, pensé que el control era completo, full full :-)
sino ya hubiera buscado las ips :-)

> www.hotmail.com
Server:         200.49.130.20
Address:        200.49.130.20#53

Non-authoritative answer:
www.hotmail.com canonical name = www.hotmail.com.nsatc.net.
www.hotmail.com.nsatc.net       canonical name = www.hotmail.aate.nsatc.net.
Name:   www.hotmail.aate.nsatc.net
Address: 65.59.184.62

segun que momento, te atiende Address: 63.210.62.189

ale@snowy:~$ nslookup
> 64.4.32.7
Server:         200.49.130.20
Address:        200.49.130.20#53

Non-authoritative answer:
7.32.4.64.in-addr.arpa  name = hotmail.de.
7.32.4.64.in-addr.arpa  name = lc1.bay0.hotmail.com.
7.32.4.64.in-addr.arpa  name = hotmail.com.br.
7.32.4.64.in-addr.arpa  name = hotmail.se.
7.32.4.64.in-addr.arpa  name = hotmail.kz.
7.32.4.64.in-addr.arpa  name = hotmail.msn.com.
7.32.4.64.in-addr.arpa  name = hotmail.jp.
7.32.4.64.in-addr.arpa  name = msnhotmail.com.
7.32.4.64.in-addr.arpa  name = www.hotmail.msn.com.
7.32.4.64.in-addr.arpa  name = lc1.bay0.hotmail.passport.com.

Authoritative answers can be found from:
32.4.64.in-addr.arpa    nameserver = ns3.msft.net.
32.4.64.in-addr.arpa    nameserver = ns5.msft.net.
32.4.64.in-addr.arpa    nameserver = ns4.msft.net.
32.4.64.in-addr.arpa    nameserver = ns1.msft.net.
32.4.64.in-addr.arpa    nameserver = ns2.msft.net.
ns4.msft.net    internet address = 207.46.66.126
ns5.msft.net    internet address = 65.55.238.126
ns1.msft.net    internet address = 207.68.160.190
ns2.msft.net    internet address = 65.54.240.126
ns3.msft.net    internet address = 213.199.161.77
>

Bueno, se ve que todas las ips no las controla, o depende de como maneja los links en las pag webs, los href a donde van...

uff, y ahora, veo que
www.hotmai.com también está registrado

Non-authoritative answer:
Name:   www.hotmai.com
Address: 65.74.135.110
>
mmmm, abre una busqueda de live.hotmail, llegará el correo que mandé allí?

noo, me volvió rebotado......

ufff, todo mal

Ya sabemos que no me llevo bien con windows y/o ms
no me quiere
mirá lo que me hizo ahora.....despues de cagarme con el filesystem......

Si uso windows, uso programas libres, dentro de lo posible........salvo en mi trabajo, que hay cosas propietarias de HP, o de herramientas de backup, o de storage.....
no uso messenger, sino el de Alvaro, amsn......
pero sí, tengo una cuenta de hotmail, añeja :-)
y que me sirve para algunas cosas
bue, como todo me sale mal
ahora me tira este error
En el amsn, te avisa cuando tenés correos nuevos, le das click y va a tu inbox de hotmail
Y no me los muestra, sino actualizo mi browser...


uf, que se mete?, que le importa lo que quiero usar?

como siempre ms, en vez de acercar a la gente, la aleja, la obliga a usar solo lo suyo, como cuando te manda los cursos de technet, para que los veas, esos webcasts, que todavía al mexicano se le cuelgan las máquinas virtuales, y entonces terminó el webcast, así en la nada....nos dejó...
solo se ve con explorer y tal programa que se baja de ellos
ufff, por qué no son más abiertos????

estos son mis días de "YO, CONTRA EL MUNDO"
me quiero ir de mi casa, de mi trabajo, de mi ciudad, de mi país
no tengo ganas de abrir mis cuentas de correo
no tengo ganas de hacer mis compromisos
quiero hacer lo que tengo ganas.....
en Marte descubrieron hielo, quizá pueda ir a allí no?
a patinar, esquiar y cagarme de frío en soledad......
Será verdad esta foto??, o como lo del viaje a la luna. Discovery está dando una serie estreno sobre el viaje a la luna
GRANDES MISIONES DE LA NASA
:-)

Gracias
hay gente buena en la ciudad.......
Mariana, del bar Carlitos en Recoleta
lo retuvo a mi viejo, hasta que llegué a buscarlo......
muchas horas por ahí, desde el mediodía
hasta que me llamaron a las 20 hs.....

y los polis, también
pobre me vio tan mal, que hasta me dio plata para el taxi....
se la devolví
no la quiso agarrar, los policías tampoco, me la tiró adentro del taxi
mañana voy a devolverle...después de lo que hicieron...

ufff, gracias a mi gente, que me acompañan, me apoyan...
y ya sabés, lo escribo acá, es una descarga
no es frivolidad, es no decirlo de mi boca
si te tengo que contar, me pongo a llorar
tonces no lo hablo, es un nudo......

bue, y pienso....
si tenés más de 40 años no tengas hijos....
antes pensaba lo contrario, pero ahora que veo lo que se sufre con esto....
falta una generación en el medio....

y antes decía que lo único que no tiene solución es la muerte......
no
esto tampoco tiene solución, no hay mejora, no hay cura
cada vez es peor.......
no hay solución

otra cosa sin solución

Domingo con pá
Nos levantamos tarde, y no se quería levantar.....durmió bien
y dormimos todos :-)
uff, la noche anterior, nos acostamos a las 5!

Después de desayunar, a ver en qué lo puedo interesar.....
En las noticias, vimos el glaciar Perito Moreno
que se está por romper, increible, en invierno, estas cosas pasan en verano y maso cada 4 años.....
Qué estamos haciendo con nuestro mundo!!!
me contaba Beatrice, que en el Polo Norte, ya no hay hielo, se podría cruzar en barco transpolar directo
Bea, subí las fotos!

Ya se aburre, no presta más atención, cambiemos:
carreras de bicicletas, siempre le gustaron
por nuestros parientes que corrían
Galdeano, Vidaurreta y más vascos.
Estaba la tour de france, había un equipo vasco
de color naranja, Euskaltel Euskadi y tiene página en la wikipedia

hoy va la 3º etapa

otro cambio de tema
vimos San Fermín, cuando lanzan el cohete desde el Ayuntamiento
el chupinazo
7 de julio, San Fermín

Ayer después jugamos a las cartas
la escoba, sumar 15, mmmmmmm, no
chinchón muy difícil para él, 7 cartas
Mejor, la casita robada, son 3 cartas en la mano
le expliqué como era, prestaba atención...
Al ppio jugaba yo casi por él, despues aprendió
aprender, re aprender, él sabía, lo olvidó
:-(
ya se cansó
contar las cartas

lo afeité
no quería
me vio con los implementos y pensó que él me iba a afeitar a mí...
él de chico era barbero y peluquero
bue, no les dije, para él soy un hombre, me ve como su hermano menor.....
así que, ya aprendía afeitar.......quien quiere?

El sábado Lu me trajo la 3º parte de Criptonomicón
al fin, ya extrañaba no leerlo

Y me contó algunas cosas, mientras ibamos en el debianmovil al wikiencuentro

ya me dí cuenta con lo que me dijiste que Root no murió
"es ficción"
y seguro es root@eruditorum.org, el que manda los mails a Randy
http://en.wikipedia.org/wiki/Enoch_Root
no quiero leer esto, porque recien voy a empezar Criptonomicón 3, "El código Aretusa"
y me puedo enterar de cosas, que no es el momento
hablamos de qué partes son históricas y cuales ficticias
hablamos de partes, cosas que ya sabía, a mi me gusta y vigilo en wikipedia los artículos de Criptografía, de la 2º Guerra Mundial, claro que existió Yamamoto
Goto Dengo, no sé, creo que es inventado
que en la época moderna tiene una empresa de excavaciones
esa parte me quedó un poco colgada, sigue ahora
en el anterior, Criptonomicón 2, Goto Dengo trabajó donde se guardó todo el oro japonés, del imperio, para rescatarlo cuando ganaran la guerra
cosa que no sucedió
que cae en esa isla donde había una tribu de caníbales, existirá esa isla?


volví al juego de cartas, porque la 3º parte incluye un algoritmo del solitario, escrito por Bruce Schneier
y donde la clave es el mazo de cartas, o sea, el orden del mazo

también hablamos del reto hacking
justo que me encanta ver las tramas con el wireshark
las miré asi nomas, por el horario, cuando se abrió el reto8 yo estaba trabajando
pero vi algo del messenger, del live
y me imaginé que ahí sacabas la clave, te conectabas como malo malote
aparte ver a chx online, ya era la señal que había que ponerse online
y cada uno que se conecta, tenés un ciclo for para asignar numeros, malo1, malo2, malo3, cada uno te aparece y te pasa un santo y seña? una contraseña, un salvoconducto, como dicen en las pelis
bue, esto lo digo yo
no digo que sea así, algo del estilo
lástima, no pude participar
y para colmo, se veía mal, mmmmmmmmmmmmmmmmm
de firefox, y de epiphany ni te cuento
y la basura, que me haga un script de perl...se ve que en win se ve bien, sin basura...
Lu me confirmó alguna parte, pero bue, ya fue.....


En el wikiencuentro, como siempre salieron temas......
de Argentina
wikimania
Alejandría
accesibilidad web
preguntas como "vos, sobre qué escribís en la wikipedia?"


algunos están mal como yo
qué era esa sangre?
fresca....

Luego de muchas charlas, idas y vueltas presentamos:
"Packetwars Wargame"
Con gente que viene especialmente de Alemania y de Estados Unidos, antes de la Day-con
Traen el software y el hardware, el servidor de juegos!!

"PacketWars® is a sport like nothing you have ever experienced!
Games known as Battles pit individual players and teams against each other in a race against time to achieve predefined objectives, win prizes and attain FAME.
Operating in the shadows of the Internet beyond the rule of TCP/IP and devoid of compassion, a secret war rages.
Sometimes spilling over into the “real” world, digital battles are waged to advance the will of the combatants. The combatants are as varied as their skills and motivation.
Every engagement is unique. It is our duty to chronicle these events. Join us as we open a portal to extreme hacking.
Do you have what it takes to survive?"


Ya se encuentran publicados en la Web los temarios de los primeros 5 trainings de la ekoparty 2008:

- Descubrimiento y Explotación de Vulnerabilidades Web - Andrés Riancho, CYBSEC 
- Unethical Hacking - Pablo Solé, IMMUNITY
- Stack Overflows - Damian Gómez, IMMUNITY
- Hacking and Defending Oracle Databases - Esteban Martínez Fayó, ARGENISS
- Unnoficial CEH Fast Review, Juan Manuel García, ETEK

Estos trainings son una oportunidad única para tomarlos a un precio 3 veces menor a lo que generalmente se encuentran.

La inscripción anticipada (con descuento) es hasta el 31 de Agosto.

Los Trainings INCLUYEN la entrada a la Conferencia!

Descuentos para grupos, de lugs, universidades, otros grupos de usuarios!

Pronto más novedades...

 

Estamos preparando la eko, la 4º edición!!!

ekoparty Security Conference

2008

Buenos Aires

Fecha:

Setiembre 30 martes
Octubre 1 miércoles
Octubre 2 jueves 
Octubre 3 viernes

Está abierto el llamado a las charlas, los call for papers

*Donde mandar las charlas*
Las charlas deben ser enviadas como attachs al siguiente mail: charlas@ekoparty.com.ar
Se recibirán charlas hasta el 1ro de septiembre inclusive.

*Como enviar las charlas*
La siguiente información debe estar incluida en la propuesta:

** Título
**Autor(es): nombre y apellido, una descripción personal corta, domicilio, asociación, organización, compañia a la que pertenece.
** Duración estimada: las charlas normalmente duran 45 minutos. En el caso de que se necesite más o menos tiempo será tenido en cuenta por el comité de evaluación.
** Resumen de la charla: uno o dos párrafos describiendo en forma clara el contenido de la charla.
**Nivel de los oyentes de la charla: clasificar como: newbie(rookie)/intermedio/avanzado/experto.
** Conocimientos previos: especificar los conocimientos previos que deben tener los oyentes.
** Tema: tema general al cual pertenece la charla (Network Security, Forensic, Secure Programming, 0day attacks, Wireless Security, etc).
** Número de teléfono del autor.
** Dirección de la casa del autor.

Fechas importantes:
* 1ro de Septiembre - Cierre de recepción de charlas
* 5 de Septiembre - Anuncio de los EKO Trainings
* 30 de Septiembre - Primer EKO Training day
* 1ro de Octubre 1st - Segundo EKO Training day
* 2 de Octubre - ekoparty security conference día uno
* 3 de Octubre - ekoparty security conference día dos

Para ver, la conferencia del año pasado, los temas de las charlas, las presentaciones y más info: www.ekoparty.com.ar

Los trainings, o cursos, incluyen entre otros temas:
Hacking and Defending Oracle Databases, w3af, Unethical Hacking, Stack Overflows

Esperamos más charlas o trainings o ideas, o sponsors ;-)

modsecurity, es un fw + ids open source a nivel de aplicaciones web del lado servidor.
Lo desarrollo Iván Ristic , participa en owasp, líder del capitulo londres

escribió este libro

Lo que sigue, lo que saqué de este blog

http://www.emezeta.com/articulos/mod-security-mas-seguridad-en-tu-web
igual too seguí los pasos del manual de modsecurity

1. Instalación del módulo: detener el Apache para permitirnos hacer la instalación del módulo, make install. Se habrá creado un módulo en la carpeta modules de la ruta top_dir del punto 3, llamado mod_security2.so.

2. Configuración del apache: cargar los módulos en nuestro servidor web. Para ello vamos al fichero de configuración  httpd.conf o apache2.conf y buscamos las lineas con las instrucciones LoadModule. Si hemos instalado el libxml2 añadimos la línea
   LoadFile /usr/lib/libxml2.so
   posteriormente la linea LoadModule security2_module modules/mod_security2.so.

3. Comprobar mod_unique_id: ModSecurity también necesita tener cargado el módulo mod_unique_id, que en muchos casos viene instalado pero no activo. Para ello también añadimos (si no está) la linea LoadModule unique_id_module modules/mod_unique_id.so antes de las anteriores.

Qué es mod_unique_id
Assigns a unique ID to each HTTP request for tracking purposes. Again, a neat module, but not only is it seldom used, it also occasionally causes esoteric problems in default installations. I'll leave the details to another time, but in most cases you're better off just removing it.

4. Conjunto de reglas: En la ruta donde se encuentra el fichero httpd.conf (o apache2.conf) hacemos un mkdir modsecurity y editamos de nuevo el fichero httpd.conf, para incluir al final la linea: Include modsecurity/*.conf. Sólo haría falta copiar los ficheros de reglas deseados (o crearlos) dentro de modsecurity.

agregué el unique_id_module

LoadModule unique_id_module modules/mod_unique_id.so

ahora la libxml2, la compilo

compilé la última, pero tiró error
LoadFile /usr/libxml2-2.6.32/.libs/libxml2.so

asi que, la saco, y pongo la de 64 bits

LoadFile /usr/lib64/libxml2.so

instalo lua
lua es un lenguaje de scripting "embebeable" en la aplicación, digamos
lo usa nmap, Wireshark -(ethereal)
por ej
[root@alakran lua-5.1.3]# make linux
make linux install para crear la lib

LoadFile /usr/local/lib/liblua.a

esto tira error
Cannot load /usr/local/lib/liblua.a into server: /usr/local/lib/liblua.a: invalid ELF header
y es por la arquitectura, tonces:
bajo el rpm, para 64 bits, igual raro porque el otro lo compilé en la arquitectura ya
LoadFile /usr/lib64/liblua.so.5.0
LoadFile /usr/lib64/liblualib.so.5.0

las agregué al apache y levantó al fin
pero son viejas, habrá problemas?

necesito las apx para modsecurity console, (no hace falta, no son para eso, quien las usa?) son para compilar modsecurity desde el fuente, creo...
bajarlas de la pag de redhat
httpd-devel-2.0.52-22.ent.x86_64.rpm
este necesita
    apr-devel-0.9.4-24.5.x86_64.rpm
    apr-util-devel-0.9.4-21.x86_64.rpm
    pcre-devel-4.5-3.2.RHEL4.x86_64.rpm

ahora sí, compilo modsecurity
[root@alakran apache2]# ./configure --with-apx=/usr/sbin/apxs

make
make test

make test, hace tests de validación, por ej, validateUtf8Encoding
base64Decode
escapeSeqDecode
hexDecode, html, js, url decodes
trim, length
md5, sha1
los pasó, todos, son 17

make mlogc, se crea en la carpeta tools el binario
y los logs, se crea la carpeta /usr/modsecurity-apache_2.5.5/apache2/mlogc-src

make mlogc
make[1]: Entering directory `/usr/modsecurity-apache_2.5.5/apache2/mlogc-src'
Building dynamically linked mlogc...
Build finished.  Please follow the INSTALL instructions to complete the install.
mlogc-src/INSTALL

leer por las dudas INSTALL y hacer make install

[root@alakran apache2]# make install
build/apxs-wrapper -i mod_security2.la
/usr/lib64/httpd/build/instdso.sh SH_LIBTOOL='/bin/sh /usr/lib64/apr/build/libtool' mod_security2.la /usr/lib64/httpd/modules
/bin/sh /usr/lib64/apr/build/libtool --mode=install cp mod_security2.la /usr/lib64/httpd/modules/
cp .libs/mod_security2.so /usr/lib64/httpd/modules/mod_security2.so
cp .libs/mod_security2.lai /usr/lib64/httpd/modules/mod_security2.la
cp .libs/mod_security2.a /usr/lib64/httpd/modules/mod_security2.a
ranlib /usr/lib64/httpd/modules/mod_security2.a
chmod 644 /usr/lib64/httpd/modules/mod_security2.a
PATH="$PATH:/sbin" ldconfig -n /usr/lib64/httpd/modules
----------------------------------------------------------------------
Libraries have been installed in:
   /usr/lib64/httpd/modules

If you ever happen to want to link against installed libraries
in a given directory, LIBDIR, you must either use libtool, and
specify the full pathname of the library, or use the `-LLIBDIR'
flag during linking and do at least one of the following:
   - add LIBDIR to the `LD_LIBRARY_PATH' environment variable
     during execution
   - add LIBDIR to the `LD_RUN_PATH' environment variable
     during linking
   - use the `-Wl,--rpath -Wl,LIBDIR' linker flag
   - have your system administrator add LIBDIR to `/etc/ld.so.conf'

See any operating system documentation about shared libraries for
more information, such as the ld(1) and ld.so(8) manual pages.
----------------------------------------------------------------------
chmod 755 /usr/lib64/httpd/modules/mod_security2.so


fin


[root@alakran modsecurity-apache_2.5.5]# ls
apache2  CHANGES  doc  LICENSE  modsecurity.conf-minimal  README.TXT  rules  tools
-------------------------------------------------------------------------------------------------------------------------

Igualmente puedo tener logs de auditoría, mientras no me anda el servidor mlogc
poniendo en vez de
SecAuditLog "|/usr/modsecurity-apache_2.5.5/apache2/mlogc-src/ /usr/modsecurity-apache_2.5.5/apache2/mlogc-src/mlogc.conf"

así
SecAuditLog logs/audit_log

y poner el motor en On
SecAuditEngine On

Lo tenía en
SecAuditEngine RelevantOnly

y así RelevantOnly es el default. Only log transactions that have triggered a warning or an error, or
          have a status code that is considered to be relevant (see SecAuditLogRelevantStatus).
 
Al final adentro de httpd.conf quedó
#agrego modsecurity
#
#<IfModule mod_security.c>
SecRuleEngine On
SecAuditEngine On
SecAuditLog logs/audit_log
#SecAuditLog "|/usr/modsecurity-apache_2.5.5/apache2/mlogc-src/ /usr/modsecurity-apache_2.5.5/apache2/mlogc-src/mlogc.conf"
#SecDefaultAction "deny,log,status:500,phase:2"
SecDefaultAction log,auditlog,deny,status:403,phase:2,t:none
#</IfModule>

En el archivo 
/usr/modsecurity-apache_2.5.5/apache2/mlogc-src/mlogc.conf
es donde le digo en qué host guardo los logs

Está instalado, ahora hay que configurarlo, mediente reglas.
Con estas reglas, como en iptables, vamos aponer condiciones para detectar ataques sql, XSS, spam, exploits, vulnerabilidades de php, etc.
mod_security se configura por reglas, estas vienen en archivos independientes dentro del directorio rules. Todos los archivos tienen un numerito que se usa para indicar el orden de preferencia, ya que estas se van a ejecutar de menor a mayor. Es decir, si una petición de URL coincide con dos reglas se disparará la que primero se encuentre, ya sea de permitir o de denegar el acceso de esa petición.
Ojo, esto no es la panacea, pero aumento la seguridad de mi apache

http://www.modsecurity.org/blog/archives/2008/01/sql_injection_a.html

ver lo de modrewrite de apache que dijeron en el comentario de blog de chema, de inyectar por ahi
mmmmmmmmmmmmmmmmmmm

Lunes 23 de junio 2008
19:30 hs
UBA, Exactas Ciudad Universitaria

Fui con Lu, nos encontramos en el bar de la facu, con un amigo de Lu y con Pablo

Estaba Scolnik, pero la charla la dio Armando Catarralá
Gobernancia ITS e implementación de Infraestructura de Clave Pública (PKI)

La tecnología PKI permite a los usuarios autenticarse frente a otros usuarios y usar la información de los certificados de identidad (por ejemplo, las claves públicas de otros usuarios) para cifrar y descifrar mensajes, firmar digitalmente información, garantizar el no repudio de un envío, y otros usos.

En una operación criptográfica que use infraestructura PKI, intervienen conceptualmente como mínimo las siguientes partes:

• Un usuario iniciador de la operación
• Unos sistemas servidores que dan fe de la ocurrencia de la operación y garantizan la validez de los certificados implicados en la operación (autoridad de certificación, Autoridad de registro y sistema de Sellado de tiempo)
• Un destinatario de los datos cifrados/firmados/enviados garantizados por parte del usuario iniciador de la operación (puede ser él mismo).

PKCS

PKCS#11, Define un API genérico de acceso a dispositivos criptográficos, como token y hardware HSM
y 2 cosas más

PKCS#12, define extensiones de archivo usados comúnmente para almacenar claves privadas con su certificado de clave pública protegido mediante clave simétrica.

.pfx (MS)
.p12 (firefox)

la cryptoapi, que quisieron diseñar, tuvieron problemas, con ms, casi 1 año para que les de los códigos para hacer los certificados

ya me había olvidado, lo contó hecht en clase de cripto

http://en.wikipedia.org/wiki/Cryptographic_API

le faltó documentación
tuvieron que hacer un monitor de sistema operativo
otros de la uba, le debugearon para ver como estaba programada, hicieron ingeniería inversa
y la documentación decía que hacía una cosa, y en verdad, hacía otra, o en realidad, una cosa que decía que hacía, no la hacía

La cryptoapi tiene un módulo que firman MS junto con los de la NSA
Las claves que generaba windows, estaban hechas por la NSA
tracearon las variables
y podían ver el nombre, porque tenían el código de debug

oh!! casualidad, encontraron una variable llamada NSA_KEY
dijeron que fue una elección desafortunada del nombre
dio especulación que windows, oculta cosas

Scolnik, dijo, vean la peli “Mentiras arriesgadas”.....Mentiras verdaderas
la teoria de la conspiración de MS, que nos vigila, con su código cerrado

aunque ahora, Lu, despues de lo de openSSL en debian, dice que no es garantía de seguridad, tener el código abierto, él tuvo ese código durante 2 años viéndolo y no vio el error

http://www.debian.org/security/2008/dsa-1571

lo descubrió haciendo pruebas de generación de claves, por las claves que le daba, miró con detalle el código....

un espacio de claves de 2 a la 15 generaba, pequeño, no?

Antes era cryptoapi I, ahora es cryptoapi II, más parecida a la de linux ;-)

como dice alguien que conozco, que bueno el sw libre, todos los copian, lo usan, que buenos que son los del sw libre!!

http://es.wikipedia.org/wiki/Autoridad_de_certificaci%C3%B3n#Modo_de_funcionamiento

Fallo en Microsoft Crypto API revela información y facilita ataques y spam.

Un fallo de diseño en la validación remota de certificados X.509 posibilita a un atacante obtener información relevante sobre el usuario que abre un email o un documento con Microsoft Office 2007, Microsoft Outlook 2007 y Microsoft Windows Live Mail 2008. No se descarta que otros productos de Microsoft que utilicen la misma API criptográfica puedan estar también afectados.

El problema ha sido descubierto por el investigador alemán Alexander Klink, y puede ser explotado por un atacante para generar peticiones HTTP a hosts y puertos arbitrarios sin que el usuario tenga conocimiento ni se le presente la opción de evitarlo. De esta manera un ’spammer’ puede comprobar si una dirección email existe y cuándo es abierto un correo firmado con S/MIME y desde qué IP. También es posible saber cuándo y desde qué IP se abre un determinado documento mediante Office. El atacante puede también acceder así a otras máquinas y redes desde la máquina de la víctima o incluso a otras máquinas ocultas dentro de su propia red…

La Crypto API permite la conexión a las URIs y puertos indicados en el propio certificado para obtener los certificados intermedios de la cadena de validación, sin tener en cuenta que las peticiones pueden ser maliciosas (un aspecto que debería probablemente haber sido especificado en el RFC correspondiente, evitando así implementaciones como la que nos ocupa). Las conexiones se desencadenan tan pronto como se abre el documento (en Outlook basta con el panel de vista previa) y además no se solicita permiso al usuario. Para colmo, las conexiones dirigidas a intentar validar el certificado ocurren aunque la firma S/MIME no sea válida, y se repiten a intervalos de tiempo indeterminados.

El impacto real de esta vulnerabilidad reside en que puede utilizarse como mecanismo de control sobre quién (qué IP) abre qué cosas y cuándo. Heise habla abiertamente del “retorno de los Web Bugs” y nos recuerda que el FBI ha utilizado mecanismos semejantes y podría también utilizar éste, dando así pábulo a las teorías conspiranoicas.

Microsoft no ha proporcionado ningún parche por el momento para resolver la vulnerabilidad aunque se afirma que el problema está siendo investigado. Como contramedida, se podría filtrar a nivel de proxy las peticiones HTTP con user-agent 'Microsoft-CryptoAPI*' pues las peticiones se harían con ese valor.

Una pequeña falla de explorer
un error que tenía, no controlaba la altura de las AC (autoridad certificante)

explorer
|
ac
|
ac
|
ac
|
ac
|

dejaba que una ac dejara crear certificados para abajo, terrible, no?
Era por el 2002
El fallo se seguridad se encuentra en que CryptoAPI no comprueba el parámetro del certificado digital denominado “Basic Constraints” que sirve para validar las cadenas del certificado, es decir, la jerarquía de seguridad que deriva de las autoridades máximas de certificación como, por ejemplo, VeriSign.
Acá está bien explicado

Gracias Lu, por las soluciones extras para mi home perdido, pero la solucion que me diste el lunes será la que haremos, creo

forensia del disco, recuperar la info escrita, pisada por la nueva instalacion
no es que ella info se borra totalmente despues de 16 formateadas?
así se aseguran de borrar todo

Fallo de OpenSSL en debian, qué hizo Certisur, por ej,
user de apache, el 30 %
pero no sabemos si todos esos apaches son debian
Lu lo necesita como estadística, para el paper, y para info para llevar a la defcon y a blackhat
él ya sacó una, y mas o menos coincide
el 5%

Preguntó lu a los certisur, ellos enseguida revocaron los certificados y los creaon nuevamente, avisando a los clientes

eso habrán hecho todas las empresas que se dedican a hacer certificados.

Corren un script para verificarlos
Aunque las CA revoquen los certficados queda una ventana de tiempo, hasta que se publicó la CRL

es como la época de las tarjetas de crédito, Scolnik puso ese ejemplo, cuando ibas a comprar con tarjeta, Visa por ej, y no había postnet, me fijaba en el boletín de visa si esa tarjeta tenía validez o estaba rechazada, pero el boletín salía una vez por semana, entonces esa ventana de tiempo es la que me caga

como todo, el peligro está cuando se hace el cambio

en la sala de servidores, mientras ponen el sistema de access control, hay días que está abierto

los antivirus y las firmas de 0 day

el problema es el tiempo entre boletines, parches, soluciones, etc, etc

lo importante igual es lo que hace el browser
si no chequea la CRL
ahora si, explorer lo hace y firefox también

snifff
snifff

mi home, mis datos, mi /home

:-(
:-(

No es demasiado, ya, lo que me está pasando, para ahora sufrir este percance
:-(
para que vea que siempre se puede estar peor......
:-(

mi home, mis datos, mi /home

Por arreglar una cosa, se me desarregló otra......y mucho peor
:-(
Como se dice en Seguridad de la información, y en Análisis de riesgos, una base de datos vale x$$$, pero una base de datos, llena de datos, tiene un valor incalculable, según el negocio....

Bueno, yo perdí mi home, lleno de la info de varios años.....
digamos que la música y las pelis, mal que mal se consiguen, pero los docus que yo escribí, mis estudios, mis tesis, mis borradores de tesis ;-)
mis apuntes y libros de cripto, de matemática, de teoría de números, de cibsi, del postgrado, de ceh, de cissp, de  linux, de seguridad, de wikipedia, de física, energías alternativas, pilas, de experimentos, de fotos, de textos creados, mis borradores, mis desarrollos en php, correcciones, diagramas de trabajos de empresas, de clientes.....

aparte de cosas que no me acuerdo
uffff
estuve llorando domingo y hasta hoy lunes en el trabajo
menos mal, mis compañeros pensaban que estaba resfriada, pensarían que estaba loca, llorar por la compu....
uds me entienden, no perdí la compu, perdí parte de la vida, horas de trabajo, días de trabajo, meses

Todo empezó cuando migré mi debian viejito, me quise actualizar
de sarge a etch
de xfree a xorg, y este era el problema, que al migrar las X, algunas cosas no anden
y tal cual
no me reconocía el mouse como device, aunque andaba, /dev/input/mice, no lo veía como dev
(es un mouse usb), entre otras cosas y fallas

Al final me cansé, y aunque usaba las consolas, con un amigo dijimos de reinstalar
instalamos etch de cero, en esa partición

primero les cuento como está mi disco:

sda1  winXP
sda2  /boot                  de SuSE
sda3  /                         de SuSE
sda4  extendida :-)
sda5  /usr                    de SuSE
sda6  /home                de SuSE
sda7  /tmp                   de SuSE
sda8  swap
sda9  /                         todo debian

Tonces hicimos un backup del /root y del /home/alexa del debian
tar.gz en ext3

ya verán porque aclaro el fs

Hicimos los backups de lo que me interesaba resguardar, y los movimos a otra partición
------------------------------- a ver detectives ----------
a la de windows!

confiada, no solo en mi, sino en mi amigo, no revisé el backup
listo
instalemos etch del dvd

todo bien, chiche bombón, con kde
mientras comiamos alfajorcitos con cafe rico capuchino, afuera frío de sábado tarde noche de invierno

Llegó el momento de volver los backups......
/root, perfecto eran 700 megas
/home ..............................mmmm.....error de fin de archivo
lo hacemos con gzip, o sea, solo descomprimir...................... el mismo error
lo hacemos con solo mirar, sin descomprimir ni tarear,
con tar -vtf archivo................tampoco, se frena en el mismo lugar, descomprime 6 carpetas, hasta la letra c, y tira el error nuevamente
va en orden alfabético destareando

mmmmmm, este archivo, es de 4G, mayor al tamaño del fs

ya lo descomprimimos con gzip
con gzrecover, un programa que escribió un estadounidense, texasdrifter

Ya estaba tan mal a la noche cuando iba recordando lo que tenía, que lo llamé a Luciano, y si le ocurría alguna idea, me llame a cualquier hora.
A la madrugada Lu me mandó un sms, que en mi correo había una corrreción de gzrecover
gzrt, no anda, solo con cpio
esto dice Texasdrifter
Once compiled, I lauched it against my corrupted backup
./gzrecover backup2.tar.gz

This made a file called backup2.tar.recover. Since tar doesn't work agianst bad files I used cpio to extract the data.
cpio -F backup2.tar.recovered -ivd

el domingo a la mañana lo probé, tampoco
probé desde win, con winzip y winrar, tampoco
ellos tienen una opción "Reparar", pero solo reparan formatos zip y rar

Ese fue el problema, pasarlo a windows, ni me pregunté por el fs de win, si hubiera sido ntfs, soportaba archivos grandes, pero mi XP estaba en vfat, o sea, el tamaño de fs es de 4G
y justo mi backup ocupaba un poquito más de 4 Gb........

Lo que me falta probar, es hacerlo desde SuSE, donde tengo filesystem reiserfs

y lo que tendría que conseguir es un programa que corte el tar.gz, como el hacha, el hoz, pero que nos los rearme, los deje en tar chiquititos
cada uno los descomprima, y pueda recuperar algo, de las carpetitas......
existirá ese programa?
no encontré nada
tendré que ponerme a hacerlo??

Por primera vez, un navegador de Internet entrará en el Libro Guinness

Se trata de Firefox 3, la última versión de este navegador gratuito. La fundación Mozilla había organizado en la web el Día de la Descarga para tratar de batir un récord. Más de 6 millones de usuarios de todo el mundo ayudaron a cumplirlo en un solo día.



Sacado de  Diario Clarin


AL ROJO VIVO. El mapa de Firefox muestra en qué países hubo más descargas. (Spreadfirefox)




Se sabe que los programas gratuitos causan furor en Internet, pero la fiebre despertada por el navegador Firefox 3 no tiene precedentes. Más de 6 millones de usuarios de todo el mundo se bajaron en un solo día la última versión de este navegador gratuito. Y gracias a ellos, por primera vez, un programa pasará a formar parte del Libro Guinness de los Récords.

En vísperas de su lanzamiento, la fundación Mozilla, desarrolladora de Firefox, organizó el Download Day o Día de la Descarga para que la mayor cantidad de personas pudiesen bajarse gratis de Internet la última versión de este navegador alternativo y entrar así al Guinness.

Para lograrlo, Mozilla montó una serie de webs que permitieron seguir de cerca el fenómeno: un mapa online donde ver la cantidad de descargas país por país y una web con varios contadores en los que se acumulan las descargas totales que ya suman más de 8 millones y medio.

Fanáticos por pasión pero también porque saben apreciar las ventajas, los usuarios de Firefox 3 fueron presas de su propia desesperación: durante unos minutos los contadores de descargas colapsaron, pero fueron rápidamente reestablecidos por Mozilla.

Estados Unidos es, con más de 2,6 millones de descargas, el país que lidera el ranking de seguidores de Firefox, que ofrece más de 15.000 mejoras respecto de su antecesor. Le siguen Alemania, con más de 690.000 flamantes usuarios, Japón con más de 404.000 y el Reino Unido con más de 300.000.
En Argentina ya se lo bajaron 62.600 personas.

Mozilla esperaba lograr 5 millones de descargas durante el Download Day, pero sus expectativas se vieron altamente superadas. En menos de 17 horas, Firefox 3 ya había logrado esa cifra y había entrado oficialmente en el mundo de los récords mundiales. Para llegar a las más de 8 millones de descargas, colaboraron desde 2 habitantes de Chad o 6 de Sierra Leona hasta 260.000 de Irán o 140.000 de un país del tamaño de Holanda.

Mozilla es una fundación sin fines de lucro que ofrece a los internautas tecnologías libres y de código abierto. Con esta iniciativa, supera ampliamente así el número de descargas de Firefox 2 el día de su lanzamiento, que fueron 1,6 millones. Desde 2004, Firefox se ha enfrentado al gigante informático de Bill Gates, Microsoft, y ha ido ganando más adeptos hasta alcanzar los 175 millones de usuarios. Casi el 20 %  de usuarios de Internet usa Firefox en comparación con el 74 % del mercado que prefiere, todavía, el Explorer.

La nueva versión de Firefox es un verdadero desafío para Microsoft que deberá esforzarse muchísimo para lograr equiparar en calidad al navegador gratuito, que ya se distribuye en más de 45 idiomas y cuenta con más de 5.000 pequeñas herramientas que permiten mejorar el uso del navegador. Para el Wall Street Journal, Firefox es "el mejor navegador que existe ahora mismo" y supera ampliamente "a las versiones más avanzadas del Internet Explorer y de Safari, de Macintosh, tanto en velocidad, como en funciones y en seguridad".

Agosto 2-7 Blackhat  Las Vegas // Va Lu, como speaker alternativo
lo bueno, si vas a BH, te dan entrada para Defcon......con lo que sale BH!!

Agosto 7-10 Defcon Las Vegas //  Van Lu y Chema con Parada

Agosto 10-16 Debconf Bs As
Agosto 18 Debian day en Bs As

Agosto 20-22 8vas Jornadas Regionales de Software Libre en Bs As

Setiembre 31 BA-con
Octubre 1 BA-con

Setiembre 30 ekoparty training
Octubre 1 ekoparty.com.ar/ training
Octubre 2-3 ekoparty conference

Primera HIJ
Ultima XJT



Así está Piedras (7), un piso más

Maipú y Tucumán, la esquina donde habmía un estacionamiento bastante grande, donde una vez habían puesto una bomba en el baúl de un auto, en la época de los atentados, hace como 10 años... o más...
ya están haciendo los subsuelos, los pozos, mucha gente trabajando..

Av San Martín al 4800, y Artigas, lo que era hasta hace poquísimo el restaurant El cantinón, que siempre había gente...bue, está tapiado, así que.......nos espera otro edificio.....

Este post es parecido al anterior
pero cambié las fotos
le taché los datos, nro teléfono, email
Este estaba antes:












Me dijo Ariel de campus que encontró otros carteles de Gerardo, que también reparaba impresoras

y el martes fui a la facu a buscar especialmente estos carteles

si alguno ve por ahi, plis, ya sabe, sacarlos!
que no los había visto...

saqué como 20
recorrí todos los pisos

estaban medio escondidos algunos, ya tapados por otras propagandas
justo el día anterior había ido a pegar los carteles me dijo la madre, y que los destruya todos, que no se vea más el nro de teléfono
así más nadie los llama





Y justo ayer también era el fin de la 4°  temporada de Dr House
un capítulo, donde él tiene un accidente y la chica que viaja con él, la dra Amber, queda malherida, grave
y sin remedio, por culpa de la amantadina que tomó para su gripe.
ver acá, al final donde habla del personaje de la Dra Amber

En un momento  dice House:
"la muerte no debería ser aleatoria"

(cuantos lo dijimos) :-(

"un drogadicto solitario, si
una chica enamorada que va a buscar a su amor no"

esperar que se muera en tus brazos
o esperar que se muera ante tus ojos
porque no hay otra cosa que hacer
no hay remedio
no hay vuelta atras
es inevitable el fin
que no se despierte
y si se despierta, ya su cerebro está muerto
vivo todo lo demás
una persona joven es fuerte

esperamos un milagro?
el cerebro despertará?

y quedar vivo en estado vegetativo?
sacamos el respirador?
le sacamos los órganos?
hacemos un bien a otros?
por suerte algunos órganos sirvieron, otros, por culpa de burocracia, pasó el tiempo de ablación
para sacarle los órganos, el cuerpo debe estar vivo
para algunos órganos
para otros, puede estar muerto ya, como las córneas
uffff
bueno, todo empezó por grabar un dvd
menos mal que mi mamá no lee esto
no quiero que se ponga así

Esperemos se hayan solucionado algunas incompatibilidades que tenía la beta

suerte!!

Necesito cambiar de formato un video a dvd
VHS a DVD

Anduve averiguando varios lados, hasta que el lunes pasado pasado encontré esta propaganda en las carteleras de la facu, en Medrano

La semana pasada, lo llamo al teléfono que aparece, aparte Villa del Parque, me queda a mano.
Me atiende un hombre
pregunto por Gerardo
"no, no está", me dice, pero noté un tono raro, entonces como para no molestar, le dije
lo llamo después, no importa"
"o le mando un mail"

"no", me dice, "yo soy el papá de Gerardo"
"el 24 de mayo mi hijo tuvo un accidente......y falleció...."
:-(
ayyyy, pobre, mal momento...

y tantos recuerdos de cuando me preguntaban a mí por Marce....
revivir esa situación......uffff


Bueno, yo le prometí a ese padre que iba a sacar todos los carteles que encontrara
Me comprometí con medrano y le dije que no se preocupara que iba a encontrar algun compañero que fuera a campus.


Por favor, alguien que ande por allá. podría despegar estos carteles de la cartelera, plis??


Acá dejo la imagen del afiche

Muchas gracias.....
Si me avisan por favor cuando lo hagan o si ven que no están??

asi le aviso a este padre triste

:-(

NOTA: este blog no es accesible, no cumple con los estandares W3C-WAI , por tal motivo, abrí uno en otro servidor de blogs
http://alexav8.wordpress.com/2008/06/11/jornada-de-isoc/
de a poco iré migrando estos temas

Jornada Accesibilidad Web

Me invitó la gente de ISOC-AR
Se hizo en Cancillería, Esmeralda 1212 Ciudad de Bs As, en el auditorio ISEN
Martes 10 de junio 2008

Esto lo decía en la invitación

¿QUE ES LA ACCESIBILIDAD WEB?

Un sitio web es accesible si se han tenido en cuenta los requisitos para que pueda ser usado por personas con algún tipo de discapacidad. Esto significa que su contenido pueda ser utilizado y recibido de múltiples modos.

Al diseñar y desarrollar una página web debe tenerse en cuenta que muchos usuarios intentarán usarla en una variedad de contextos. Que algunos de ellos puede que no vean, no oigan o no se muevan con facilidad, o no estén en condiciones de usar un teclado o un mouse, que sus pantallas pueden ser de tamaño pequeño o que sólo permitan visualizar texto, o que su conexión a Internet sea lenta, o que tengan hardware o software desactualizados.

Por ejemplo: si todas las imágenes van acompañadas por un texto alternativo, ese texto puede presentarse al usuario como voz sintetizada o en un periférico braille o como texto exhibido en pantalla. Cada uno de estas tres vías trabaja con un sentido diferente, haciendo que la información sea accesible para grupos con una diversidad de capacidades sensoriales.

Si se considera que aproximadamente un 10 por ciento de las personas poseen algún tipo de discapacidad, es evidente su doble importancia, tanto desde el punto de vista de los derechos de un sector de la población como por constituir un sector del mercado al cual llegar.

Cada vez más países dictan leyes que obligan a los sitios Web estatales a ser accesibles, esto ya está establecido en la mayoría de los países desarrollados.

Estas decisiones influencian la evaluación de calidad en los mercados de los países avanzados, que cada vez mas exigen la accesibilidad de los productos, con lo cual el tema adquiere  localmente gran relevancia en el marco de las iniciativas de exportación de software.

Las recomendaciones del W3C-WAI (Web Accessibility Initiative del World Wide Web Consortium) constituyen la referencia en cuanto a normas de accesibilidad

Tener en cuenta la accesibilidad en el desarrollo web no incrementa su costo ni limita las posibilidades artísticas del diseñador.

Ahora sigo yo:

Volviendo a temas sobre accesibilidad web, sobre todo para ciegos, o no videntes, o  discapacitados visuales, fui a la charla de la tarde, del Ing Plano, Segovia y Baldasarre, que se llamaba "Principios tecnológicos para la accesibildad web"
También estaba Roberto Asensio, el ayudante de Plano en la UTN, en la materia Tecnología y discapacidad

Siempre, ocupandome de las minorías, los que nadie les da bola, nadie, en el sentido de empresa, de los que ponen plata para comprar equipamiento, para desarrollar, para investigar, para ocupar tiempo en esto que nos encanta, porque mientras, tenemos que trabajar. No podemos dejar de trabajar...

Vamos a un ejemplo que ya hablamos
Una de las directivas para que las páginas de la wikipedia o de cualquier site, sean accesibles es agregar texto alternativo a las fotos que aparecen en la enciclopedia, una tarea quizá pobre, mecánica y sin mucho desarrollo, pero de mucha utilidad para mucha gente

Las personas que tienen discapacidad visual y usan software para "leer" la wikipedia, si quieren saber de qué es la foto que aparece en el artículo, debe tener texto alternativo, dentro del código que enmarca la foto
Ejemplos
Esta página tiene una foto, y un texto alternativo, que dice solo qué es....
http://es.wikipedia.org/wiki/Sai_%28arma%29
Este es un artículo que tiene varias fotos, y en todas hay una explicación, de qué trata la foto
http://es.wikipedia.org/wiki/Aikido
Los artículos que contengan fotos y no tengan texto alternativo no serán "vistas"
Las pruebas la hago con esta herramienta, examinator
hecha en php y pidiendo voluntarios

bueno, en este evento estaba presente el creador de examinator, que es el mismo que creó Hera, y es argentino, se llama Carlos Benavidez
(lástima no me pude quedar a su charla, me hubiera encantado, pero tenía que volver al trabajo)

Cuando llegué, como la charla era después del almuerzo, se atrasó
Me encontré con los panelistas al llegar, los saludé
y de paso, me senté en el escritorio a registrar a la gente, a ayudar.....

Como saqué fotos, y hablaba como que sabía ;-) se me acercó mucha gente a preguntarme, a dejarme tarjetas y sus datos, obviamente, en lo que pueda ayudar, me meto de cabeza
:-)
raro, no??
yo??

Estuve hablando con Jorge de Inadi, con gente de Penitenciaría
con todos quedamos en volver a vernos por estos temas que nos interesan a todos, y tenemos que enseñar a la sociedad, que no todos ven bien, no todos tienen máquinas modernas y poderosas, no todos tienen banda ancha...

Tiene que vercon el post de la brecha digital, que escribí la semana pasada.

La sociedad es la discapacitante, que frase se mandó Morgado, muy buena!!!

En otros paises del primer mundo hay leyes para que las páginas gubernamentales sean accesibles, acá debería haberla
Morgado dijo que los que quieran ser escuchados, pueden ir a las reuniones en el edificio Anexo del Congreso, Riobamba 25

El panel, donde vemos a Shadi Abou-Zahra
Claudio Segovia, clarísimo para expresar el tema, Martín Baldasarre, también de Sidar, igual que el ing Jorge Plano, y el diputado Claudio Morgado, y el ing Roberto Asensio.

La presentación es accesible, es html + css
El navegador lo muestra como diapositivas, hay 2 productos que hacen esto
y se puede ver sin Office