viernes, 31 de diciembre de 2010

¡¡¡FELIZ 2011!!!

Si la vida te da mil razones para llorar, demuestra que tienes mil y una para soñar.

Haz de tu vida un sueño y de tu sueño una realidad.

¡¡¡Feliz año nuevo!!!


¡¡¡FELIZ 2011¡¡¡

jueves, 23 de diciembre de 2010

¿Y si Jesús naciera hoy?

Me he encontrado este curioso vídeo realizado por la empresa Excentric sobre como sería la Navidad si ocurriese hoy en día, es decir, una Navidad 2.0


¡¡¡Feliz Navidad!!!

lunes, 13 de diciembre de 2010

Randy Edelman

¿Que tienen en común Los osos amorosos y MacGyver? pues a Randy Edelman. Puede que a mucha gente no le suene este nombre pero seguramente ha formado parte de vuestras vidas incluso sin saberlo.

Randy Edelman es una de las personas que ha puesto banda sonora a nuestros momentos especiales creando melodías infantiles como la de Los osos amorosos o Alvin y las ardillas, temas de series míticas de televisión como MacGyverLas aventuras de Brisco County o incluso algún capítulo de Friends aunque es en el cine donde ha realizado gran parte de sus trabajos como Los gemelos golpean dos veces, Cazafantasmas II, Poli de guardería, Mi primo VinnySu distinguida señoría, Los codiciosos, La máscara, Mientras dormías, Abajo el periscopio, Pánico en el túnel, Seis días y siete noches, Falsas apariencias, La momia... y muchas, muchas otras películas.

En la wikipedia podemos encontrar mucha información de este genial compositor así como datos que me han parecido curiosos como por ejemplo que se casó con Jackie DeShannon, una cantante que se hizo famosa con temas como Put A Little Love in Your Heart que tiempo después versionaron Annie Lennox y Al Green para la película Los fantasmas atacan al jefe donde, si queremos rizar el rizo, se encarga de la música otro genial compositor, Danny Elfman, que también participó como guionista de una de las canciones de Cazafantasmas II.

Gracias por hacernos pasar tan buenos momentos Randy.

domingo, 12 de diciembre de 2010

Procedimientos inseguros en urgencias

Hace poco me toco pasarme por el hospital con un familiar y tras esperar un poco nos pasaron a un Box donde nos atendieron bastante bien pero como es habitual en estos casos, nos dejaron un buen rato solos a la espera de una analítica de forma que me dio tiempo a leerme todos los folios que suelen tener pegados por las paredes y los típicos carteles con información médica pero me llamó la atención un "papelito" que había pegado en la parte superior del monitor donde podía leerse:

Usuario: Box6
Clave: xxxxxxxx (no pongo la clave para que luego nadie proteste)
Dominio: AD

Evidentemente no quise intentar hacer login en el ordenador pero me da a mi que es la clave válida de acceso al sistema.



PD: La foto del Lamborghini simplemente me gustó, ya quisiera yo que nos hubieran llevado en eso.

viernes, 10 de diciembre de 2010

Marcas de ropa curiosas

Una marca bastante curiosa para unos boxers y más aún los lemas publicitarios "comeTlo" y "Chupa-Chupa"


lunes, 6 de diciembre de 2010

Seguridad en web de juguetes

Estamos en época navideña y, por tanto, en época de comprar regalos, sobre todo juguetes para los más pequeños por lo que es normal buscar información sobre las novedades y sobre los que más gustan a los niños ya sea buscando en la tienda, consultando catálogos online o, directamente, en las webs de las propias empresas.

Como un usuario más accedí a la web de una conocida marca de juguetes infantiles y tras consultar su catálogo vi que los parámetros de la url no eran filtrados de forma apropiada y, como resultado de esto, era posible modificar las consultas de base de datos.



Es curioso ver como, en este caso, se puede forzar el error en las consultas de base de datos utilizando tanto una comilla simple como una comilla doble.

Detección del problema: 03/12/2010
Comunicado a la empresa: 06/12/2010
Resolución: --/--/----

sábado, 4 de diciembre de 2010

¿Alguna vez os han "robado" una idea?

¿Os ha pasado alguna vez que se os ha ocurrido alguna idea y pocos días después la habeis visto realizada por otra persona que ni conoceis? No se si esto es algo que le suela pasar a la gente pero a lo largo de mi vida me ha ocurrido en varias ocasiones y, la verdad, llega un punto en el cual la paranoia se apodera de uno. ¿Nos espían? ¿nos roban las ideas?

Hace unos meses un compañero de trabajo y yo nos pusimos a charlar sobre formas de conseguir dinero fácil por Internet. Son las típicas conversaciones donde se van lanzando ideas al aire intentando buscar pros y contras sobre distintas fórmulas para ganar dinero y hablando hablando llegamos a la conclusión que las mejores ideas eran las cosas simples y, a ser posible, con poca inversión (sí, ya se que no hace falta ser un genio para llegar a esta conclusión). El caso es que a raíz de esta conversación salió el tema de "Los chinitos de la suerte", "los tazos", "los tois"... que son cosas bastante simples y que causaron furor hace ya unos cuantos años haciendo ganar bastante dinero a sus creadores.

Pues bien, poco después de esa conversación reaparecieron "los tois" de Bollycao ¿casualidad?, posiblemente, pero raro también es un rato, más que nada porque la idea de "los tois" ha estado durmiendo desde los 80 y... ¿precisamente tenian que volver ahora?. En fin, será una casualidad.


Lo extraño es que no es un caso aislado y es que a principios de octubre nos volvio a pasar con "MyGifs". La idea de "MyGifs" fue a raíz de otra de estas conversaciones de intercambio de ideas con uno de mis compañeros de trabajo y consistía en crear una aplicación para facebook donde los usuarios pudieran recomendar productos de forma que al final la aplicación pudiera sugerir posibles regalos para tus contactos. La idea nos pareció buena y original e incluso creamos varios documentos definiendo la base de datos y las ideas generales de la aplicación pero recien me acaba de comentar mi amigo que se ha encontrado con la aplicación "MyProducts" que es bastante similar a nuestra idea de "MyGifts" y que, casualmente, ha visto la luz recientemente.

Hay teorías que dicen que las ideas no son más que el fruto de una sucesión de hechos en el tiempo y cuando llega el momento de algo es fácil que muchas personas estén pensando en esa misma cosa ya que habrá mucha gente que se haya dado cuenta que es el momento de ponerla en práctica. Carl Sagan lo explicaba mucho mejor que yo con el ejemplo del descubrimiento de América. Si alguien pudiera viajar en el tiempo y evitase que Cristóbal Colon descubriese América eso no evitaría que América fuese descubierta, simplemente evitaría que fuera Cristóbal Colon su descubridor y, seguramente, cambiarían algunas cosas de la historia pero finalmente habría sido otra persona quien descubriese América en esa época porque había muchos factores que hacían posible ese viaje en ese preciso momento y seguramente había más gente pensando en llevarlo a cabo. Simplemente Cristóbal Colon fue la primera persona pero sino hubiera sido cualquier otra.

Esta teoría explica esos "robos" de idas pero igualmente fastidia je je.

Seguro que mi amigo Gustavo puede recordarme otras muchas ocasiones donde hemos vivido esta sensación e inDigeniCa también tiene mucho que decir.

miércoles, 1 de diciembre de 2010

Luces de Navidad para decorar la casa

En eso de poner luces en las casas cuando llega la Navidad los americanos están a años luz de nosotros o sino mirar este vídeo donde las luces parpadean al ritmo de la música y todo aquel que quiera puede escucharla sintonizando el 91.7 de la FM. ¿Alguien se anima a hacerlo en su casa?

Ahora si es Navidad

Ya ha comenzado el mes de diciembre y Papá Noel inicia los preparativos para su viaje por todo el mundo.

Un año más, gracias a la web del NORAD, niños y mayores, podremos disfrutar de las noticias relacionadas con Papá Noel, divertirnos con algunos juegos navideños y ver los vídeos de algunos de sus paseos en trineo.


La web se actualiza con cierta frecuencia hasta que, por fin, el día 24, podremos seguir a Papá Noel en directo, repartiendo regalos por el mundo.

Bizcocho para microondas

Esta receta es una adaptación personal del bizcocho de manzana que vanediabla publicó en mundorecetas.com. Por simplificar yo lo hago sin manzana.


Ingredientes:
1 yogur de limón
1 medida de yogur de aceite oliva
2 medidas de yogur de harina
3 huevos
2 medidas de yogur de azúcar
1 sobre de levadura
un poco de mantequilla

Preparación:
Echar todos los ingredientes en un bol grande y mezclar todo muy bien hasta que quede una masa uniforme.
Untar con mantequilla un molde apto para el microondas y poner en él la mezcla anterior.
Meterlo en el microondas 6 minutos a 800w y después 2 minutos más a 800w con el grill simultáneo.

 

lunes, 29 de noviembre de 2010

Muere Leslie Nielsen

Ayer (esta madrugada hora española) falleció Leslie Nielsen a los 84 años.

Se va uno de los grandes del cine con el que tan buenos momentos hemos pasado pero nos deja grandes películas

Aterriza como puedas
Agárralo como puedas
Espía como puedas...

y un largo etc.

domingo, 28 de noviembre de 2010

Back to the future!

Recientemente se ha cumplido el 25 aniversario de la película Regreso al futuro. Y se celebró a lo grande: Del pasado 5 al 12 de Noviembre, en Burbank, California hubo una macroquedada donde se pudo disfrutar de una visita a los estudios donde se rodó la película, localizaciones, charlas, por supuesto fotos con el famoso Delorean MC 12 de la película...

Me habría encantado asistir pero estaba un poco lejos... Siempre podremos quedarnos con la fabulosa aventura gráfica que Telltale games nos está preparando. Los personajes tienen casi el mismo aspecto que en la película y aparentemente está muy conseguido. Sigue la misma estela de las historias de Monkey Island que crearon el año anterior y que tuvieron tanto éxito haciendo las delicias de los que jugábamos en aquellos tiempos del 80286 con tarjeta gráfica EGA de 16 colores. Una serie de cinco capítulos que espero sean, como los que vendrán para la serie de Regreso al futuro.

Sin embargo, para quien quiera tener más cerca aún un ejemplar del coche de regreso al futuro para usar en sus quehaceres diarios (a ver si tenemos suerte y podemos trasladarnos en el tiempo), tiene disponible un disco duro externo de 500 GB por un módico precio en esta web. Quién dijo que viajar en el tiempo no era sencillo por unos pocos Euros?

Procedimientos inseguros del BBVA

A principios de semana fui a mi oficina del BBVA para realizar unas gestiones y la verdad es que en esta ocasión me atendieron de maravilla y encima sin esperas ni nada pero, como ya os imaginareis, si estoy escribiendo estas líneas es porque debe haber algo que llamó mi atención...

Resulta que mientras una chica consultaba mis operaciones en la pantalla del ordenador pude fijarme en un post-it que había sobre el teclado.
En el post-it podía leerse:

Clave de usuario: xxxx
Clave de operaciones: xxxx
Fecha de validez: 24/11/2010

Por suerte la validez de esas claves solo era de un par de días pero aún así pienso que no deberían estar en un sitio tan visible.

Os dejo una foto del post-it pero lamentablemente mi móvil no tiene la calidad suficiente como para que se vea lo que hay escrito.


Por cierto, si hay alguien que trabaje en C.S.I. y pueda distinguir lo que aparece en la pantalla del ordenador que me avise para que lo difumine.

miércoles, 24 de noviembre de 2010

Y hablando de telefonía... algunos trucos

Bueno, pues después de ver a Fossie, me ha entrado el gusanillo por contar algún truquillo para cuando estamos en casa y vemos que no tenemos línea de teléfono.

Lo primero de todo, si tenemos ADSL y no tenemos un splitter de ADSL en casa, sino un PTR (Punto Terminal de Red) de toda la vida, o si estamos en una casa moderna y no tenemos nada de eso debemos pensar que para el router, éste irá directamente a la entrada de teléfono de la pared y cada teléfono ira con un microfiltro.

Si solo tenemos teléfono en casa y vemos que no funciona correctamente. Podemos tener los siguientes problemas:

- Coges el teléfono y no hay señal: En este caso, el problema más común es que los cables se estén tocando en algún punto de tu casa y la central o, como no, que el cable esté cortado. Los dos cables llegan desde tu casa a la central que te corresponda y son únicos para tí. Los cables tienen una tensión de 49 y -49 voltios, por lo que si se tocan será de 0 y por eso no se escucha nada. Prueba a encontrar por si el problema lo tienes en tu casa. Intenta aislar el cable que entra de la calle (acometida, que suele ser en casas antiguas o rurales por donde entra el cable (de color negro) hacia tu casa por la ventana y va a un PTR. El PTR tiene una toma de teléfono que se habilita cuando subes la pestaña del PTR aislando de esa forma la parte de la línea que entra por la ventana de la de dentro de la casa. Si en algún momento los cables, a lo largo de la línea, se tocan, se inhabilita toda la línea, por lo que normal es hacer pruebas "seccionando" la línea. En este caso, si tienes la suerte de disponer de PTR es más fácil, colocas tu teléfono (sabiendo que éste funciona bien y no es el que está provocando el "corto") en esta roseta de pruebas y si tenemos línea el problema es de nuestra casa, si no suena nada, el problema es "de fuera" y habría que llamar a la compañía para dar parte.

- Suena el teléfono pero solo una vez y ya no suena más: Eso suele ser debido a que los cables, en algún punto están sulfatados. Los cables, son de cobre y cuando en algún punto están a la intemperie o mojados, reciben el primer impulso de la llamada pero dejan de funcionar. Comprueba con el método anterior si tienes línea desde tu casa hacia fuera usando el PTR. Si es así, el problema lo tienes dentro. Comprueba tu teléfono, también puede ser el culpable. Si funciona bien entonces céntrate dentro de la casa. Puede que haya alguna pared por la que pase en su interior el cable y esta esté húmeda por los bajos. La idea es aislar el cable o limpiarlo de tal manera que el posible sulfato desaparezca del cable para tener de nuevo la línea funcionando correctamente. Cuando se escuchan ruidos en la línea también suele ser problema de sulfatos, se pela el cable para limpiar la zona sulfatada y listos.

Seguiremos informando. Espero que este mini-brico-consejo telefonil os haya servido para algo.

viernes, 19 de noviembre de 2010

Los insistentes comerciales de Jazztel

El sábado pasado parece que empezó una nueva campaña de captación de clientes por parte de la compañía Jazztel porque sino no se explica que me llamaran en cuatro ocasiones para ofrecerme sus servicios.

Era bastante curioso porque me llamaba un comercial, me explicaba la oferta y con tal que conseguia convencerle de que no me interesaba, colgaba y a los 15 minutos volvía a sonar el teléfono. Era Jazztel otra vez, aunque eso si, otro comercial.

Esto me pasó hasta en cuatro ocasiones el sábado día 13 y el domingo me llamaron dos veces más pero la cosa no quedó ahí, el lunes volvieron a llamar y también el miércoles y hace escasos 10 minutos me han vuelto a llamar. Están batiendo un record conmigo ¿acaso no tienen una agenda comercial a quienes les ofrecen sus servicios?.

Parece ser que son varias empresas subcontratadas las que se encargan de captar clientes y no deben tener contacto entre ellas porque al parecer no saben a que teléfonos han llamado y a cuales no. Pienso que esto deberían corregirlo ya que lo único que consiguen es cansar a los posibles clientes dañando así la imagen de la marca además de que no hacen bien su trabajo ya que con tal de venderte el servicio mienten sin ningún tipo de problemas y la verdad es que es muy fácil pillares en esas mentiras pero claro te cuentan el rollo de que han ampliado la cobertura de ADSL en tu zona y bla bla bla vamos que son capaces de ofrecerte 20megas y garantizarte 17 pero eso si, cuando les preguntas que significa para ellos eso de "garantizar" ya no lo tienen tan claro porque siempre les pido que me lo den por escrito (por correo tradicional) y me vienen con el cuento de que no es posible ya que no es la política de la empresa...

No me parece una forma muy normal de contratar los servicios de telefonía. Creo que cuando alguien ve un anuncio que cree que puede interesarle lo normal es ir a la tienda en cuestión, informarse y si realmente interesa, contratar el servicio pero hacerlo por teléfono es sumamente arriesgado ya que realmente no sabemos si la persona que llama en nombre de una empresa es realmente trabajadora de dicha empresa y, en caso de serlo, tampoco podemos estar seguros que el servicio contratado sea el que nos han dicho ya que no tenemos un contrato por escrito.

Imaginemos por un momento que otras empresas utilizaran el sistema de que usan las compañias de telefonía para vender sus servicios. ¿Seria lógico que el televisor nos informase cada dos por tres de los nuevos modelos disponibles por si queremos cambiar de tele? ¿y si el microondas cada vez que vamos a calentar un vaso de leche nos preguntara si queremos comprar un modelo superior? Pienso que cada uno debe ser libre de poder decidir cuando ha llegado la hora de cambiar de servicios y que no estén bombardeandote cada dos por tres.

La única nota positiva que puedo dar de los comerciales de Jazztel fué hace dos meses más o menos. Me llamó una chica casi a las diez de la noche, creo que se llamaba María aunque reconozco que tengo muy mala memoria para los nombres. Me explicó lo mismo de siempre, que habían mejorado la cobertura de ADSL en mi zona y que podían ofrecerme mejores condiciones que mi operadora actual así que le expliqué mi situación, que me di de baja de Telefonica hace tiempo porque solo me daba un mega y no me podía ofrecer más ya que según sus técnicos la línea no soportaba conexiones de 3 megas. Aún así tiempo después contraté con Orange ya que me prometieron 6 megas porque según ellos su centralita tenía más calidad que la de Telefonica pero al final nada de nada, no me llegan ni 3 y todas las promesas de Orange quedaron en el aire así que estoy bastante escarmentado.

El caso es que me sorprendió que esta chica no me intentase convencer para que contratase Jazztel y le pregunté el motivo porque realmente ya estaba mosqueado de que todos los que llamaban me intentasen vender la moto si o si. Pero ella, muy amablemente me dijo que si la línea no soportaba 3 megas era tontería contratar 20 porque solo me llegarían las que la línea puede soportar, es decir 3, y para eso mejor me quedaba como estaba.

Es de la única persona de la que me fiaría a la hora de contratar este tipo de servicios así que si algún día lees esto y hay alguna oferta que crees que me pueda interesar tienes permiso para llamarme sin problemas no como el resto de tus compañeros que parece ser que lo único que les interesa es cobrar sus comisiones aunque no den un buen servicio al cliente.

¡Bien por María!, mal por Jazztel que permite estas prácticas.

Actualización 22/11/2010
Hoy han llamado tres veces más desde los teléfonos 911820600, 914000150 y 917285067.

Actualización 24/11/2010
Una nueva llamada el día de hoy en nombre de Jazztel desde el teléfono 985666430 que, curiosamente, pertenece a Alque Europe S.L., una empresa de telemarketing de Oviedo.

Actualización 26/11/2010
Nueva llamadita, esta vez por la mañana y con número oculto.

Actualización 29/11/2010
Vuelven a la carga, nueva llamada con número oculto sobre las cinco de la tarde.

Actualización 02/12/2010
Llamada de Jazztel desde el teléfono 985666430 a las nueve de la noche.

Actualización 03/12/2010
Llamada de Jazztel a las dos de la tarde.

Total, 17 llamadas, ¡¡¡que insistentes estos muchachos!!!

sábado, 6 de noviembre de 2010

¿Ya es Navidad?

Recién estamos comenzando el mes de noviembre pero hace un par de semanas que se pueden comprar todo tipo de dulces navideños en casi todos los supermercados pero ese no es el único síntoma de la "inminente" llegada de la Navidad sino que ya se empiezan a ver anuncios relacionados con estas fechas tan especiales, sobre todo anuncios de juguetes y es que debe ser que los niños son los primeros en querer que lleguen las Navidades y se apresuran a prepararles los catálogos para que puedan elegir los regalos que les debe traer Santa Claus.

Toys 'R' Us ya tiene su catálogo de Navidad en la calle aunque es curioso ya que es válido hasta el 12 de diciembre así que técnicamente no es el catálogo de Navidad pero en fin, el caso es que compremos todos los juguetes que podamos y, cuando realmente llegue Navidad, pues ya compraremos más.


Ya puestos a adelantar la llegada de la Navidad también debemos estar pendientes de la llegada de Santa Claus, Papa Noel, San Nicolás... o como lo queráis llamar, para ello se creó el proyecto NORAD, encargado de seguirlo en tiempo real en su viaje por todo el mundo aunque eso sí, parece que Santa Claus si espera a que, por lo menos, sea diciembre para empezar su viaje.

Por cierto, este post los estoy escribiendo mientras en Cuatro están poniendo la película Un padre en apuros que es una película típica navideña...

Estofado Alacid


Ingredientes:
6 trozos de patata por persona
150 gramos de carne de ternera por persona
1 chorrito de vino
2 pellizcos grandes de sal
1 pizca de pimienta
1 cabeza de ajo (entera sin pelar)
1 cebolla pequeña (entera sin pelar)
4 hojas de laurel

Preparación en olla a presión:
Sofreir la cabeza de ajo, laurel y la carne.
Poner 1.5 litros de agua en la olla y echar la cabeza de ajo, el laurel y la carne previamente sofritos.
Añadir la cebolla a la olla, la sal, la pimienta y el chorrito de vino.
Dejarlo 20 minutos hasta que la carne este hecha
Después poner las patatas y dejarlo 15 minutos más.

PD: Gracias mamá.

viernes, 5 de noviembre de 2010

244.444 kilómetros

Con 15 años a sus espaldas mi pequeño Citroen Saxo sigue portándose como un campeón, este fin de semana pasado pasó la ITV sin ningún problema y hoy ha llegado a la bonita cifra de 244.444 kilómetros.

jueves, 4 de noviembre de 2010

Datos ocultos en el Teletexto de TVE

Hace ya mucho tiempo que existe el servicio de Teletexto y muchos opinan que, en breve, será sustituido por aplicaciones MHP de los receptores de TDT pero, a día de hoy, el Teletexto sigue existiendo en practicamente todos los televisores y receptores de TDT existentes (por no decir todos) por lo que parece que aún le queda algo de vida.

Es cierto que la tecnología empleada ha quedado algo desfasada y que seguramente, necesitase una actualización pero, pese a todo, es un servicio que nos sigue permitiendo disfrutar de las últimas noticias, la programación, subtitulos, pasatiempos... ¿pasatiempos? recuerdo que existía una sección de pasatiempos pero llevo unos días buscándola y no la he encontrado en el Teletexto de TVE. Se trataba de pasatiempos sencillos, pequeños acertijos que nos hacian pasar un rato entretenido como cuando se resolvían los crucigramas del periódico (después vino el boom de los sudokus).

Recuerdo que el mando de mi televisión tenía un botón con el dibujo de una interrogación y dicho botón servia para revelar el resultado del acertijo propuesto pero es curioso ver como este botón ha ido desapareciendo y en ninguno de mis mandos actuales (TDT, TV, etc) encuentro un botón con dicha funcionalidad.

Todo esto viene a cuento porque quería comentar como el Teletexto podía (¿puede?) enviar información oculta al receptor de televisión y el usuario revelar esta información en el momento que lo considerase oportuno. Pues bien, esta "tecnología" era utilizada por TVE para enviar información de interés a sus centros territoriales mediante una página no listada en el indice del teletexto. No recuerdo el número de la página, han pasado muchos años desde que mi hermano y yo "jugabamos" con el teletexto pero si recuerdo que al visualizarse simplemente se veía la pantalla en negro y al pulsar el botón de revelado se mostraban una serie de datos que resultaron ser la información sobre las desconexiones territoriales de ese día, es decir, hora de inicio, duración, etc. Por ejemplo, un dia cualquiera podia verse 14:00 - 45min, 19:32 - 5min y 22:43 - 5,12min. Si esperabamos a esas horas veiamos como coincidia con los cortes que hacia TVE para conectar con sus centros territoriales, bien para poner anuncios locales o para sus informativos territoriales.

Esto que puede parecer una tonteria o simplemente un dato curioso fué todo un descubrimiento para nosotros y lo utilizábamos bastante ya que muchas veces grababamos la película de las diez de la noche y, de esta forma, podiamos saber cuando había un corte publicitario y la duración del mismo.

En la actualidad siguen existiendo desconexiones territoriales pero no he conseguido encontrar la página en cuestión (es posible que ya no exista) aunque si he encontrado una página "rara" que imagino que será una especie de test.


Como decía, es posible que el teletexto esté desfasado pero gracias a él aparecieron los botones de colores en nuestros mandos y, aunque algún día desapareciera, creo que estos botones perdurarán a modo de legado.

lunes, 25 de octubre de 2010

Derecho al olvido

El "derecho al olvido" en Internet aún no es un derecho propiamente dicho pero se trabaja en ello. Se trata de que los usuarios de Internet puedan ejercer su derecho de eliminar cierta información bien por ser errónea o perjudicial.

Es sorprendente ver la cantidad de información que hay en Internet y aunque no nos damos cuenta, cada vez hay más datos nuestros enlazados en los buscadores. Existen multitud de servicios públicos que vuelcan sus bases de datos en Internet y muchas de ellas son accesibles desde cualquier buscador así que si ponemos nuestro nombre o el D.N.I. en Google tal vez nos encontremos con la sorpresa de encontrarnos con alguna multa, con las notas de las pruebas de acceso a la universidad, impagos, etc.

En mi caso, encontré que mis datos (nombre, apellidos y D.N.I.) aparecen en un Boletín Oficial del año 2005. En este boletín se da la lista de personas que abandonaron un vehículo en la vía pública y, curiosamente, "yo" soy una de esas personas, mis datos aparecen asociados a la matrícula de uno de los coches, más concretamente un BMW que, dicho sea de paso, si hubiera sido mio seguro que no lo habría abandonado. El caso es que esta información es errónea ya que nunca he abandonado un coche (y menos un BMW) así que me puse en contacto con la gente que gestiona el boletín y me remitieron al ayuntamiento ya que ellos son los que envían ese tipo de notificaciones y, por tanto, son ellos los que deben enviar la rectificación. El ayuntamiento le pasó la pelota a la policía local y estos, pese a que me confirmaron que se trataba de un error, le volvieron a pasar la pelota al ayuntamiento.

Después de unos cuantos correos me dijeron que aunque el ayuntamiento enviase una nota donde se rectificase la información no era posible modificar el Boletín Oficial sino que dicha nota de rectificación saldría publicada en un próximo boletín lo cual tampoco es que me solucione la papeleta ya que en Internet seguiré apareciendo como el "abandona coches".
Bien es cierto que si me comentaron que era posible "bloquear" esos datos en el motor de búsqueda de su web pero eso si, los datos seguirían estando allí.

El caso es que el tiempo va corriendo y sigo apareciendo como "abandona coches". Confío que eliminen esa información del boletín ya que creo que tengo derecho a ello pero es posible que pasen del tema y entonces no me dejan muchas opciones, o paso yo también del tema o voy por la vía legal... en fin, tiempo al tiempo.

Para quien quiera informarse un poco más sobre el tema del "derecho al olvido" aquí os dejo algunos artículos relacionados:
Y a todo esto, ni que decir tiene que cualquier persona que quiera desaparecer de este blog solo tiene que decirlo dejando un comentario y pondré mi granito de arena para que todos tengamos derecho al olvido.

jueves, 21 de octubre de 2010

Inyección SQL en la web del metro de Madrid (2/2)

Hace algo más de un mes os comentaba sobre una vulnerabilidad de inyección de código SQL en la web del metro de Madrid, pues bien, recientemente se han puesto en contacto conmigo para indicarme que ya estaba resuelto el problema aunque tengo mis dudas al respecto.

La vulnerabilidad se encontraba en la parte de la web encargada de mostrar los planos de las estaciones.


Al acceder al plano de una estación se abre una nueva ventana en cuya url hay una serie de parámetros (tipo, idParada e idioma)


En este caso el parámetro vulnerable era idParada que se concatena a la sentencia SQL sin ningún tipo de filtro por lo que al añadirle la típica comilla simple se producia un error de SQL que era mostrado en pantalla, lo cual tampoco debería ocurrir pero parece esta activado el modo debug.


En el mensaje de error se puede ver como esta construida la consulta SQL por lo que es facil modificarla para añadir la información que nos interese. También aparece la ruta completa del fichero que ha producido el error (full path disclosure) que como ya he comentado en alguna ocasión puede ser de gran utilidad con vistas a llegar a tener acceso al fichero.

Para modificar la consulta y añadir la información que deseada es posible utilizar UNION, por ejemplo http://prs.metromadrid.es/metro/metronet/mapa.aspx?tipo=ESTACION&idParada=-1 union select 1,1,'Nombre'&idioma=es es decir, añadir un registro con coordenadas 1,1 y con el texto Nombre como nombre de la supuesta estación. También se establece idParada a -1 para conseguir que la consulta solo devuelva un registro, el nuestro, con lo que se pretende que en el mapa solo se visualizase nuestra estación falsa.


Efectivamente, se consigue que se muestre una única estación en las coordenadas 1,1 pero no se muestra el texto "Nombre" tal y como se había pensado lo cual es un problema ya que pese a que existía inyección sql no se podía mostrar información en pantalla... ¿o si?

Una de las curiosidades de SQL es que cuando se produce un error de tipos SQL informa de que el valor "x" no se puede convertir al tipo "y", por ejemplo, si intentamos convertir el texto "Prueba" a un número SQL mostrará un error diciendo que "Prueba" no se puede convertir a int ¿como podemos aprovechar esto? La consulta original devuelve las coordenadas x e y de la estación indicada, estos valores son numéricos por lo que si intentamos mostrar un valor de tipo texto en cualquiera de estos campos se producirá un error de tipos y nos mostrará el texto que ha producido el error, por ejemplo, la URL http://prs.metromadrid.es/metro/metronet/mapa.aspx?tipo=ESTACION&idParada=-1 union select 'Forzar error',1,'Nombre'&idioma=es intenta asignar como coordenada x el valor "Forzar error" lo que produce el siguiente mensaje de error.


Aqui podemos ver que se muestra el texto "Forzar error" que es lo que hemos especificado en la consulta sql inyectada por lo que ya tenemos una forma de devolver información. Por ejemplo, si quisieramos saber que versión de SQL se esta utilizando podriamos utilizar la siguiente url http://prs.metromadrid.es/metro/metronet/mapa.aspx?tipo=ESTACION&idParada=-1 union select @@version,1,'Nombre'&idioma=es


Como era de suponer se trata de SQL Server 2005. Es curioso que SQL, en su afan de ayudar, muestra los mensajes de error de forma muy detallada pero, en este caso, toda esa información se puede volver en su contra y permite acceder a información que no deberia ser visualizada.

Para conocer las bases de datos existentes en el servidor podemos acceder a la tabla sysdatabases que se encuentra en la base de datos master de SQL Server. Para ello accederemos a la URL http://prs.metromadrid.es/metro/metronet/mapa.aspx?tipo=ESTACION&idParada=-1 union select NAME,1,'Nombre' from master..sysdatabases&idioma=es y nuevamente se muestra el mensaje de error de conversión de tipos donde podemos ver el nombre de una de las bases de datos existentes.



Aunque en este caso no nos sirve de mucho ya que la base de datos que se muestra es master que ya sabiamos que existía. El problema es que solo se muestra el primer registro que produce el error así que, o bien añadimos una clausula WHERE para evitar la base de datos con nombre master y volvemos a ejecutar la consulta o buscamos una forma alternativa de mostrar la información de varios registros en un único campo y como es de suponer, me inclino por esta última opción.

Vamos a aprovechar la potencia del lenguaje XML. SQL Server incluye la posibilidad de devolver la información de una consulta como XML en texto plano, es decir, devolver un único registro con un único campo de tipo texto que contendrá el XML resultante. Para indicarle a SQL que nos devuelva el resultado en XML solo hay que incluir FOR XML RAW al final de la sentencia SELECT.
En nuestro caso queremos que uno de nuestros campos que supuestamente debe devolver la coordenada de la estación devuelva un XML con la información de las bases de datos existentes así que la URL resultante seria: http://prs.metromadrid.es/metro/metronet/mapa.aspx?tipo=ESTACION&idParada=-1 union select (select NAME from master..sysdatabases FOR XML RAW),1,'Nombre'&idioma=es


Podemos ver como se devuelve el texto en formato XML y que se muestra el nombre de varias bases de datos (master, tempdb, model, msdb, metromadridmetromadridBack) aunque la mayor parte son propias de SQL Server y las únicas "interesantes" son metromadrid y metromadridBack, esta última tiene pinta de ser una copia de seguridad.

Una vez hecho esto es facil acceder a las tablas existentes en el servidor (mediante sysobjects) así como a la información de las mismas. También se podria pensar en utilizar xp_cmdshell para ejecutar comandos en el servidor pero parece que eso si esta bloqueado y el usuario de base de datos no se tiene permiso para ejecutar ese tipo de procedimientos.

Como podeis ver es una forma curiosa de acceder a la información pero igualmente válida que puede darle muchos dolores de cabeza a los administradores de la web si alguien mal intencionado modificase la información del servidor.


Detección del problema: 04/09/2010
Comunicado a la empresa: 04/09/2010
Resolución: 18/10/2010

sábado, 16 de octubre de 2010

Best Buy Easy Home Combo REC

Tras un par de semanas probando un i-Joy Jenas DVD+TDTR decidí devolverlo por los problemas que ya comenté y acto seguido compre un Best Buy Easy Home Combo REC que, además, era más económico, solo 39.95€ en Eroski.

Una de las primeras cosas que llama la atención es que en la caja no se indica si este modelo lee DivX/xVid, solo hay un pequeño logo con las siglas CVF (Compressed Video Files) lo que da que pensar que si es posible leer este tipo de archivos pero aún así quise confirmarlo y le pregunté a uno de los chicos que había por allí. Según él si leía DivX/xVid pero no lo ponía en la caja para no pagar derechos por el uso del logo de DivX. La respuesta la verdad es que no me dejó muy convencido pero igualmente me lo lleve a casa para probarlo y ver que, efectivamente, si lee DivX/xVid.

Características:

  • TDT / USB
    • Sintonizador estandar (no HD)
    • Menú multilenguaje (Español, Ingles, Frances, Italiano, Portugues y Aleman)
    • Guía de programación electrónica (EPG)
    • Teletexto
    • Subtítulos (mediante el estandar TDT o por teletexto)
    • Permite grabación directa, programada y en modo TimeShift en dispositivos USB (formatos MPG y DVR)
    • Permite la programación desde el EPG y crear "eventos" para que cambie automáticamente de canal.
    • Reproduce archivos MPG y DVR desde el usb.
    • Dispositivos USB 2.0. en FAT32. Discos duros, llaves usb, etc.
  • DVD / USB
    • Menú multilenguaje (Español, Ingles e Italiano)
    • Reproduce MPEG-1, MPEG-2, MPEG-4 (DivX, xVID), SVCD, VCD, MP3, JPEG, FOTO CD, DVD, CD-R, CD-RW, DVD±R y DVD±RW
    • Multilenguaje en subtítulos y sonido
    • Dispositivos USB 2.0. en FAT32. Discos duros, llaves usb, etc.
    • Subtítulos en formato .srt con el mismo nombre que el archivo (acepta varios idiomas).
  • Firmware
    • Receptor: Easy Home Combo REC
    • Hardware: MPEG-109
    • Software: EasyHCR_M3101D_100803_001 (es decir, actualizado el 03/08/2010)
    • Firma: MAY 22 2009 22:10:00
    • Mando a distancia: GK-B001


Puntos débiles:
En el apartado de conexiones está bastante limitado ya que solo dispone de un euroconector y la correspondiente entrada y salida de antena.
También se echa en falta un display en el cual se pueda ver el canal seleccionado en el TDT o el número de pista que se esta reproduciendo en el DVD. Es curioso ya que el número de pista tampoco aparece en el menú en pantalla del DVD.

Se trata de dos equipos distintos, el TDT por un lado y el DVD por otro por lo que existen dos firmwares distintos siendo bastante peor el del DVD, por lo menos en lo que se trata de los menús ya que están algo menos cuidados que los del TDT, por ejemplo, cuando se introduce un disco con varios archivos, si no caben todos en pantalla no nos muestra la típica flecha de scroll indicando que hay más archivos de los que se ven pero es un mal menor porque de todos modos si se baja pulsando las flechas del mando si van apareciendo archivos.


Al tratarse de dos equipos diferentes y siendo el DVD el único que reproduce archivos de vídeo comprimido nos vemos obligados a cambiar a modo DVD para reproducir un archivo comprimido. La reproducción de archivos mpg desde el TDT está limitada al modo PVR por lo que los archivos mpg deben estar en la carpeta correspondiente del USB.

Puntos fuertes:
El firmware utilizado para el TDT está bastante depurado y da muchas facilidades a la hora de manejar el aparato, por ejemplo, la tediosa labor de ordenar los canales del TDT está bastante bien realizada ya que hasta se dispone de un buscador para no tener que ir desplazándose por los más de 50 canales existentes.


El EPG funciona de forma correcta y permite seleccionar los programas que deseamos grabar en el dispositivo USB. También nos facilita la creación de "eventos" de forma que podemos marcar uno o varios programas y cuando llegue su hora de emisión se cambiará automáticamente a ese canal de forma que no nos perderemos nuestras series favoritas por un despiste.


La función grabador permite grabar tanto en modo normal como en TimeShift, es decir, dando la posibilidad de pausar el programa actual y retrocederlo mientras se sigue grabando. Esto es últil por ejemplo si llega alguna visita mientras estamos viendo una película en el TDT ya que podremos pausarla, atender la visita y cuando se vayan continuar por donde nos habíamos quedado y lo mejor es que no tenemos que esperar a que termine la película para empezar a verla (como en el caso de una grabación normal) sino que podemos verla mientras se graba el final de la misma y podremos saltarnos los anuncios. Es decir, al final seria como si repartiésemos el tiempo que hemos estado con la visita con el tiempo de los anuncios de forma que seria como si hubiéramos atendido la visita mientras emitían los anuncios.


Otra opción interesante de la grabación es que permite grabar tanto en formato PS, es decir, MPG (compatible con cualquier ordenador y reproductor de DVD) como en formato TS (DRV) que tiene la característica de grabar todas las pistas de audio y los subtítulos de forma que una película  que hayan emitido en dual y subtitulada, podríamos reproducirla y seleccionar tanto el audio como los subtítulos.

El mando a distancia tiene los botones bien distribuidos y agrupados según su funcionalidad, diferenciándose en forma y tamaño lo que facilita su uso.
Se puede utilizar incluso apuntando en sentido contrario al receptor lo cual es bastante cómodo y evita tener que estar buscando el ángulo correcto.

Más imágenes:
Modo TDT



Modo DVD