Since the bug warning of KLog 0.5.3 I have released once each two months.

KLog 0.5.4 came during March as you can see in the announce of KLog 0.5.4.

It was mainly a bug-fixing release as you can see the the changelog:


March-2010 0.5.4
- Small fix to initialize a variable before using it.(realTimeLog in klog.cpp)
- Fixed a bug that caused KLog to crash of no cty.dat file was found (bug #016917)(TNX KA6MAL)


During April I released KLog 0.5.5 with a two interesting features (yes, the changelog shows three but for the user it would seem as just two):


April-2010 0.5.5
- New feature: If cty.dat file is not found, KLog offers to download from the web.
- New feature: New tool to update the update the cty.dat file from the web.
- New feature: QRZ font color changes to red if has been worked previously. (Proposed by KE7TDY)


I think it will improve the easy of use of KLog. Next phase would be to check if there is a new version of the cty.dat file and propose to download it.

And we get to July, when I released KLog 0.5.6, a minor release in terms of usability, not important KLog’s sources bugs solved, but definitely an important release as it has improved the way it manages how the compilation process manages the hamlib sources, and has ended with KLog in Fedora


From the Changelog:
July-2010 0.5.6
- Fixed the hamlib compilation scripts (CMakeLists.txt, FindHamlib.cmake). (TNX AB4BD).
- Fixed one bug that causes some architectures not to compile.
- Fixed some permisions and other warnings for Fedora packaging. (TNX N3LRX).


Now I am working in KLog 0.5.7 and I hope it will be ready for release soon. I am working in a new tool of KLog that will export the QSOs that are still needed and we still have not sent the QSL card so that log can be imported in a label printing software to print the labels and send ALL the QSL cards easily.
I will export an ADIF file and maybe a CSV file to be imported into GLabels.

The proper way to go would be to create a label printing feature but it is a longer process and I wanted to speed up my own QSL card process

While new release is ready: download KLog

Este mensaje es solo un aviso rápido:
Hoy un mensaje se ha saltado los filtros antispam y ha llegado al buzón.
Hablaba de actualizaciones para Adobe Reader…

Un vistazo al whois del dominio me ha despertado la curiosidad y en 5 minutos he encontrado unos cuantos dominios más relacionados con este posible ataque.

La fecha entre paréntesis indica la fecha de registro de los dominios, por lo que es fácil deducir que se han creado con el objetivo del ataque:

QUIT-THIS-adobe-pdf-solutions.com (2010.05.24)
QUIT-THIS-adobe-pdf-solutions.org (26-May-2010)
QUIT-THIS-adobe-acrobat-reader.com (2010.05.31)
QUIT-THIS-adobe-acrobat-reader.org (03-Jun-2010)
QUIT-THIS-adobe-acrobat-reader.de (23.06.20090) (dominio registrado por otra persona, a lo mejor no está relacionada)
QUIT-THIS-adobe-reader-2010.com (2010.05.29)
QUIT-THIS-adobe-reader-2010.org (03-Jun-2010)
QUIT-THIS-acrobat-reader-update.com (2010.06.15)
QUIT-THIS-download-adobe-pdf.com (2010.05.17)
QUIT-THIS-pdf-adobe-2010.com (2010.03.14)
QUIT-THIS-pdf-adobe-2010.net (2010.03.14)
QUIT-THIS-pdfreaderupdate.com (2010.05.11)
QUIT-THIS-pdfsoftware2010.org (09-Mar-2010)
QUIT-THIS-pdfsoftware2010.com (2010.03.09)
QUIT-THIS-pdfsoftware2010.net (2010.03.09)
QUIT-THIS-pdfsoftwareupdate.com (2010.03.12)
QUIT-THIS-pdfsoftwareupdate.net (2010.03.12)

De momento no tengo datos de qué pasa cuando te conectas a esas páginas… pero probablemente nada bueno.
Supongo que explotará alguna vulnerabilidad de IExplorer para instalar algún troyano.

De momento el consejo: no te conectes a esas páginas. Sencillo ¿no?

And now the English version for the English readers:

Today an email has jumped over the antispam filters and has arrived to the mailbox.
It was an email about Adobe Reader updates…

A quick look to the domain’s whois has awakened my curiosity and in 5 minutes I have found some more domains, maybe related to this possible attack.

The dates between brackets is the domain registration date. It is easy to infer than were created with the attack in mind:

QUIT-THIS-adobe-pdf-solutions.com (2010.05.24)
QUIT-THIS-adobe-pdf-solutions.org (26-May-2010)
QUIT-THIS-adobe-acrobat-reader.com (2010.05.31)
QUIT-THIS-adobe-acrobat-reader.org (03-Jun-2010)
QUIT-THIS-adobe-acrobat-reader.de (23.06.20090) (another guy registered this domain. Maybe it is not related.)
QUIT-THIS-adobe-reader-2010.com (2010.05.29)
QUIT-THIS-adobe-reader-2010.org (03-Jun-2010)
QUIT-THIS-acrobat-reader-update.com (2010.06.15)
QUIT-THIS-download-adobe-pdf.com (2010.05.17)
QUIT-THIS-pdf-adobe-2010.com (2010.03.14)
QUIT-THIS-pdf-adobe-2010.net (2010.03.14)
QUIT-THIS-pdfreaderupdate.com (2010.05.11)
QUIT-THIS-pdfsoftware2010.org (09-Mar-2010)
QUIT-THIS-pdfsoftware2010.com (2010.03.09)
QUIT-THIS-pdfsoftware2010.net (2010.03.09)
QUIT-THIS-pdfsoftwareupdate.com (2010.03.12)
QUIT-THIS-pdfsoftwareupdate.net (2010.03.12)

At this moment I have no data about what will happen if you connect to those pages… but probably nothing good.
I suppose that those page will exploit some IExplorer vulnerability to install a Trojan…

The suggestion: Do not connect to those pages. Easy, isn’t it?

I have filled a bugreport in the bug report system of KLog but, until I release KLog 0.5.4, another bug fix release, I wanted to publish a workaround solution for this bug.

I hope I have time to find the bug and code a fix.

Just download the cty.dat file in your ~/.klog folder/directory and everything will work.

This is an important bug because, as KA6MAL told me affects specially to casual KLog users… that may not know about KLog and the cty.dat file.

Experienced KLog users may not notice anything as the usual thing is that they have an updated cty.dat file. Users having the cty.dat file will not be affected.

For those of you that do know what is ct.dat file… This file provides the country information for KLog.

Do you think that there is no reason for two releases during the same weekend?

Release early, release often isn’t it enough?

Well, I released KLog 0.5.2 on Friday night with the following Changelog:


February-2010 - 0.5.2
- Fixed a bug that causes a crash when connectiong to DXCluster. (bug #016653)
- Added a very basic Satellite support.
- Removed the Freq LCD and added two new editable widgets: Freq TX and Freq RX. (bug #016609)
- Added again the entity count of /M stations.


The main thing of 0.5.2 is the correction of a bug that caused KLog to crash when special strings arrived from the DXCluster.

Just some hours after 0.5.2, I released KLog 0.5.3 with the following Changelog:

February-2010 0.5.3
- Fixed a bug that caused modified QSO not being updated.
- Fixed a bug in the way the band & mode combobox managed the data.


The reason for that was that I discovered another bug in the modifying procedure of KLog that may cause QSO not to be properly updated.

Anyway, I also updated the Debian package of KLog.

The next steps for KLog includes:

• Fix the bugs.
• Add the requested features
• … and some others

Download KLog from any of these URL:

• The page of KLog in Berlios.
• The official KLog’s page.

I am thinking about porting KLog to Windows in order to be able to reach to more users and maybe attract more developers to add more features and accelerate the KLog’s development.

Do you want to help KLog?

Es curioso el tema de los sponsors… quien patrocina esta declaración o este día o esta iniciativa… hay empresas que no se por qué, me cuesta relacionarlas con el término privacidad!!

Bueno, cada uno mete el dinero donde quiere pero lo suyo sería que fuéramos un poco más coherentes ¿no?

Pues bien, ayer tarde hizo público el parche que corrige la vulnerabilidad en Internet Explorer.
La información está en este boletín fuera de ciclo.

Ahora toca probar el parche (cuando lo publiquen) y actualizar… a ver si este parche, liberado rápidamente y bajo presión no nos trae ninguna sorpresa.

Está claro, la presión mediática funciona.

Actualización: Desde anoche ya tenemos los parches:

• MS10-001
• MS10-002

Según la BBC, Microsoft ha decidido corregir el error que está generando todos gran parte de los problemas de la Operación Aurora de la que ya he publicado algún apunte.

Una de cal y otra de arena.

Ayer mismo se publicó un full disclosure, con un exploit de ejemplo, que permite elevar privilegios y afecta a prácticamente todos los sistemas Windows de Microsoft.

El anuncio en particular explica en detalle el error y dice que se informó a Microsoft en junio del pasado año pero que, como no han publicado ningún parche al respecto, han decidido meterles un poco de prisa para que corrijan un error grave.

Supongo que Microsoft, ya que publicará los parches para corregir los problemas de la Operación Aurora, aprovechará para corregir este problema a la vez… que avisados estaban.

A los atacantes: si quieres conseguir privilegios de administrador en una máquina con windows, lee el disclosure.

A los administradores de sistemas: En el propio anuncio hay unos consejos para mitigar los daños… ahora toca evaluar si puedes o no implantar esas medidas en tus sistemas.

Ahora y como otras veces, toca esperar a que se publique el parche.

Actualización:

Otros blogs españoles también hablan del problema:

• Auditoría de Seguridad para empresas.
• Pentester.es.
• Una al día de Hispasec.

Es posible reproducir el ataque con Metasploit tal y como explican en esta página así que… estemos preparados para la tormenta.

Es previsible que en breve distintos grupos de crackers van a empezar a utilizar este exploit para generar sus propios ataques, contra sus propios objetivos así que en breve supongo que tendremos un nuevo virus.

Microsoft recomienda actualizar a IE8, a mi se me ocurre actualizar a Firefox pero mientras tanto, los usuarios de Windows deberán esperar al parche y tener mucho cuidado con lo que ejecutan o las webs que visitan.

Actualización: (19/01/2010) No solo a mi se me ocurre recomendar actualizar a Firefox. Los gobiernos de Francia y Alemania también recomiendan no utilizar IE6 y migrar a Firefox.
Además se ha hecho pública una dirección IP (140.136.148.42) desde la que se controlaban las máquinas afectadas por uno de los ataques que utilizan la vulnerabilidad de Adobe Reader.

Algunos de los grandes han reconocido que están siendo víctimas de ataques dirigidos aprovechando una vulnerabilidad Zero-Day de IExplorer que Microsoft reconoció ayer a través de su blog.

Lo bueno, que se está publicando información a través de diferentes medios y websites como Google, que habla de ataques desde China o McAffe, que habla de la operación Aurora o bien algunos otros, como twitter de George Kurtz o el twitter de ITSec.

Por ahí se lee que el problema viene de la última vulnerabilidad descubierta en Adobe Reader y Adobe lo niega y trata de limpiar su imagen tras los múltiples problemas que ha causado estos días.

Las informaciones que hay disponibles por la red hablan de ataques especialmente dirigidos contra empresas y organismos en concreto, no muchos, pero en varios sectores incluidos el de la defensa. De momento pocos reconocen que han sido objetivo de estos ataques, otros probablemente no vayan a anunciar que el ataque les ha afectado a ellos… pocos reconocerán que les han robado información como ha hecho Google.

¿Estará el gobierno Chino detrás de estos ataques o serún las mafias? ¿Espionaje industrial u otra cosa? ¿Hasta qué punto se pueden empezar a tomar medidas drásticas como cortar TODO el tráfico con China salvo el tráfico deseado? ¿Se puede desconectar al país? ¿Pueden las empresas permitirse el lujo de desconectar al gigante?

Existen muchas páginas con bloques de IP de China, Korea, configuraciones para IPtables para cortar el tráfico asiático,scripts para bloquear tráfico de determinados países como China o Afganistán.

Son días para estar atentos a los logs, escuchar a los usuarios por si comentan cosas raras, vigilar los informes de los helpdesk en busca de incrementos de problemas por visrus, leer las noticias de seguridad y preparar planes de actualizacián de parches de seguridad para actualizar rápidamente cuando los fabricantes (especialmente Microsoft) publique las soluciones a los problemas de sus productos.

Operation Aurora

• MAC OS X: para las tareas de jailbreak con el iPhone.
• Windows XP: para los concursos de radioaficionado con el N1MM.
• Linux/Debian: para todo lo demás.

Hoy andaba yo probando KLog generando el paquete de KLog para Debian y… uff qué lento se está volviendo esto… ¿Quién se está comiendo mi memoria?

Así que un vistazo al

free -m me dice que no tengo SWAP!!

Olvidé general la partición de swap cuando instalé los sistemas operativos y ahora no tenía ganas de andar cambiando particiones y demás… asi que la swap en fichero.
Un vistacillo al buscador de turno y caí en este URL donde te cuentan cómo instalar un fichero de swap dinámica en Debian… ¡ No conocía esta aplicación !

La instalación es sencilla… como casi todas las instalaciones de Debian:

aptitude install dphys-swapfile

Ya tengo 4Gb de Swap y el sistema ya no se me queda tan tostao como antes!

¿Quién dice que Linux es difícil?