CyberSpace Insecurity 2.X

New Home, Check it out!

SRF — Mon, 10 May 2010 16:31:54 +0000

Otra vez nos hemos mudado

Por favor visita Simon Roses Website

New site again

Please visit us at the new Simon Roses Website

See you / Nos vemos

Source Conference: Boston Agenda & Barcelona CFP

SRF — Mon, 22 Mar 2010 15:38:14 +0000

Si estas en US no te pierdas la conferencia SOURCE con su increíble agenda: http://www.sourceconference.com/index.php/boston2010/sb2010-schedule

Y si estas por Europa pues te interesa venir a SOURCE Barcelona: http://www.sourceconference.com/index.php?option=com_rsform&formId=18&Itemid=99999

Nos vemos!!!

If you are in US don’t miss the SOURCE Conference with its incredible schedule: http://www.sourceconference.com/index.php/boston2010/sb2010-schedule

And if you in Europe you should come to SOURCE Barcelona: http://www.sourceconference.com/index.php?option=com_rsform&formId=18&Itemid=99999

See you around!!!

– SRF

Attack Surface Analysis Infinitum

SRF — Wed, 03 Mar 2010 09:44:17 +0000

En cualquier revisión de seguridad ya sea un test de intrusión, revisión de una aplicación web o de código fuente el Attack Surface Analysis (ASA) es una poderosa metodología que podemos utilizar para identificar los vectores de ataque del sistema. Personalmente siempre realizo este ejercicio en cualquier proyecto para determinar los puntos vulnerables y luego otro ejercicio llamado Attack Surface Reduction (ASR) para evaluar y mitigar los vectores de ataque.

In any security review whether is a pentesting, a web application or source code review Attack Surface Analysis (ASA) is a powerful methodology that we can use to identify the system attack vectors. Personally I always do this exercise in any project to determine the vulnerabilities and then another exercise called Attack Surface Reduction (ASR) to assess and mitigate attack vectors.

Por lo que podemos definir ASA como un análisis sistemático del sistema para identificar los vectores de ataque y ASR como el proceso de validación y mitigación de los vectores de ataque.

We can define ASA as a systematic analysis of the system to identify attack vectors and ASR as the process of validation and mitigation of attack vectors.

Las organizaciones tienen multitud de vectores de ataques desde sus redes corporativas, aplicaciones, personas, etc. que pueden ser explotados. Los atacantes solo necesitan encontrar un vector de ataque que les permita conseguir su objetivo mientras que los defensores deben identificar todos los vectores de ataques y realizar un ASR.

Organizations have many attack vectors from their corporate networks, applications, people, etc. that can be exploited. Attackers just need to find a single attack vector that enables them to achieve their goal while defenders must identify all attack vectors and perform an ASR.

Como dice un proverbio chino “Si das pescado a un hombre hambriento, le nutres una jornada. Si le enseñas a pescar, le nutrirás toda la vida”, veamos algunos ejemplos prácticos de ASA.

As said by a Chinese quote “Give a man a fish and you feed him for a day. Teach him how to fish and you feed him for a lifetime”, let’s look at some practical examples of ASA.

ASA Corp. Network

El siguiente grafico es un diagrama de una red corporativo típico que podemos encontrar en muchas organizaciones.

The following graphic is a diagram of a typical corporate network found in many organizations.

http://oahucomputers.com/_library/images/visio%20diagram.jpg

Realizando un ASA superficial algunos vectores de ataque podrían ser:

¿Está el Firewall y/o routers correctamente configurados? ¿Tienen vulnerabilidades?
¿Cuál es la relación de confianza de las oficinas remotas?
¿Atacar el Access Point (AP) y/o a los clientes?
¿Acceder a un ordenador portátil, PDA y/o Smartphone?
¿Atacar a los clientes (navegador, ficheros malicioso, email, etc.)?
¿La postura de seguridad de los servidores (parches, configuraciones, etc.)?
¿Atacar la red?

Performing a superficial ASA some attacks vectors could be:

¿Is the Firewall and/or routers properly configured? ¿Have vulnerabilities?
¿What is the trusted relationship of remote offices?
¿Can you attack the access Point (AP) and/or clients?
¿Having access to a laptop, PDA or Smartphone?
¿Can you attack clients systems (browser, malicious files, email, etc.)?
¿What is the security posture of servers (patches, configurations, etc.)?
¿Can you attack the network?

Herramientas / Tools

Bing & Google queries
Nmap
Maltego
Nessus / Openvas
Metasploit / CANVAS / Core Impact / Inguna / Ronin

ASA Web App

En este ejemplo realizaremos un ASA de una aplicación web.

In this example we will make an ASA of a web application.

Realizando un ASA superficial algunos vectores de ataque podrían ser:

¿Es el usuario el usuario? ¿Puede el usuario realizar mas acciones de las necesarias?
¿Hasta dónde llega el admin?
¿Servidor web inseguro?
¿Aplicación web desarrollado sin SDL-LOB?
¿Comprometer la información en tránsito (MITM) y/o en reposo?
¿Atacar la base de datos?
¿Cómo gestiona la aplicación la información?

Performing a superficial ASA some attacks vectors could be:

¿Is the user the user? ¿Can the user perform more actions than necessary?
¿How far can the admin go?
¿Insecure web server?
¿Was the web application developed without SDL-LOB?
¿Can you compromise information in transit (MITM) and/or rest?
¿Can you attack the database?
¿How the app manages information?

Herramientas / Tools

ASA Code Review

En una revisión de código fuente el ASA podría ser:

¿Lee la aplicación de ficheros, sockets, registro, memoria compartida, etc.?
¿Realiza algún tipo de autenticación y autorización?
¿Encripta información? ¿Algoritmo de cifrado?
¿Tiene código antiguo?
¿Interactúa con otras aplicaciones?
¿Qué permisos necesita para ejecutarse?
¿Tecnologías que utiliza la aplicación?

For a code review source ASA could be:

¿Reads the application from files, sockets, registry, shared memory, etc.?
¿Does some kind of authentication and authorization?
¿is information encrypted? ¿What encryption algorithm?
¿Have the app old code?
¿Does the app interact with other applications?
¿What permissions it needs to run?
¿What technologies is the app using?

Herramientas / Tools

Lo cierto es que me he quedado muy lejos de realizar un ASA completo pero como bien refleja el título de este post existen multitud de vectores de ataque en las organizaciones pero es un ejercicio que debemos realizar a consciencia y constantemente.

Para ello tenemos mucha documentación, metodologías (Attack Trees, Threat Models, etc.) y herramientas a nuestra disposición.

¿Y vosotros como realizáis un ASA en vuestras revisiones de seguridad?

The truth is that I’m far away for a full ASA but as reflected in the post title there are many different attack vectors in organizations but is an exercise we must perform consciousness and constantly.

We have lots of documentation, methodologies (Attack Trees, Threat Models, etc.) and tools at our disposal.

¿How do you do your ASA in your security reviews?

Links:

Mitigate Security Risks by Minimizing the Code You Expose to Untrusted Users
http://msdn.microsoft.com/en-us/magazine/cc163882.aspx
Attack Surface Measurement
http://www.cs.cmu.edu/~pratyus/as.html#introduction
Minimize attack surface area
http://www.owasp.org/index.php/Minimize_attack_surface_area
Windows Vista: Network Attack Surface Analysis
http://www.symantec.com/connect/blogs/windows-vista-network-attack-surface-analysis
Using Attack Surface in Threat Models
http://1raindrop.typepad.com/1_raindrop/2009/06/using-attack-surface-in-threat-models.html

– SRF

Privacy concerns on Google Buzz

SRF — Mon, 15 Feb 2010 20:19:37 +0000

Actualización 18/02/10: Era cuestión de tiempo, 1) vulnerabilidad en Buzz y 2) demanda de privacidad contra Buzz por parte de EPIC.

Prácticamente todo el mundo a estas alturas ha oído hablar del nuevo servicio de Google llamado Buzz, que acaba de lanzar la semana pasada para competir contra Facebook y Twitter. He de confesar que el servicio no es mala idea, ya que integra de forma cómoda Gmail con Google Maps desde el PC o incluso desde el móvil Android y otros dispositivos.

Pero desde el punto de vista de la privacidad Google Buzz tiene grandes fallos y debería aprender de la competencia como Facebook, que ha mejorado bastante en estos temas.

Algunas de las cuestiones que me preocupan y mucho del uso de Buzz son:

Por defecto en tu página principal de Buzz te salen amigos que les haces seguimiento sin haberlo definido.
Por defecto cuando publicas en Buzz todo el mundo lo puede ver!
Tus mensajes en Buzz aparecen en Google Maps indicando nombre y lugar, incluso la calle, con lo que estás indicando tu posición real.
Por defecto puedo ver a quiénes siguen mis amigos y quiénes siguen a mis amigos.

El punto 3 es realmente preocupante ya que se va a poder seguir físicamente a una persona con cualquier finalidad! Estoy seguro que irán apareciendo más cuestiones de privacidad y seguridad en breve, por lo que desde CyberSpace Insecurity les seguiremos la pista y os mantendremos informados

Y tú que piensas sobre Buzz?

Update 02/18/10: Just a matter of time, 1) Buzz vulnerability and 2) EPIC complains regarding Buzz privacy.

Virtually everyone at this stage has heard of the new Google service called Buzz released last week to compete against Facebook and Twitter. I must confess that the service is not a bad idea since it integrates Gmail and Google Maps from your PC or even from the Android mobile and other devices.

But from the point of view of privacy Google has done some big mistakes and should learn from competitors such as Facebook that has improved on these issues.

Some of the issues that seriously concern me about the use of Buzz are:

By default on your Buzz homepage you are following your friends without explicitly configuring it.
By default posting on Buzz is public. Everybody can see it!
Your Buzz messages appear in Google Maps indicating name and location, even the street, indicating your real spot.
By default I can see my friends’ followers and who they follow.

Point 3 is really worrying as you can follow physically a person to who knows what! I am sure more issues of privacy and security will appear shortly but from CyberSpace Insecurity we will continue to track them and keep you posted

And what do you think about Buzz?

– SRF

Nessus 4.2 Visual Tutorial

SRF — Tue, 02 Feb 2010 21:15:53 +0000

Como muchos ya sabréis Tenable Network Security ha lanzado la nueva versión de Nessus 4.2, un potente scanner de vulnerabilidades con las siguientes mejoras:

La instalación en Windows es más sencilla.
El cliente es una aplicación basada en flash que comunica con el Nessus servidor Web y es totalmente intuitiva.
Mejora del rendimiento del scanner, mayor velocidad y estabilidad.
Más de 33000 plugins para todo tipo de vulnerabilidades (Windows, Linux, Web, etc.)
Los informes son mucho más cómodos de leer. (Truco: Excel 2007 lee sin problemas el formato .nessus basado en XML que facilita el parsing

Os dejo el tutorial visual para hacer un escaneo a un equipo WinXP con la nueva versión de Nessus

As you may already know Tenable Network Security has released the new version of Nessus 4.2, a powerful vulnerability scanner, with noticeable improvements such as:

Installing Nessus on Windows is simpler.
The client is a flash app that communicates with the Nessus Web Server and is totally intuitive.
Improved performance of the scanner with greater speed and stability.
More than 33000 plugins for all kinds of vulnerabilities (Windows, Linux, Web, etc.)
Reports are much more comfortable to read. (Trick: Excel 2007 reads smoothly the .nessus XML-based format for easy parsing

Let’s run a scan of a WinXP machine with the new version of Nessus through the following visual tutorial

Realizar un login con la cuenta que hayamos creado. Nota: El navegador nos dará un aviso de seguridad sobre certificado pero podemos continuar.

Let’s login with the account we created. Note: The browser will warning us about the certificate but we can continue.

Creamos una política de escaneo. (Policies -> Add)

Let’s create scan policy. (Policies -> Add)

Rellenamos el nombre de la política y las opciones que nos interesen. “Safe Checks” impide que se ejecuten aquellos ataques peligrosos para el sistema ideal para escaneos en servidores. Si nos ponemos encima de cualquier opción con el puntero del ratón nos saldrá una ventana de información sobre qué hace la opción.

Fill the policy name and options that interest us. “Safe Checks” prevents running those attacks that pose danger to the system ideal for server scans. If we hover on top of any option with the mouse pointer an information window will show up regarding what that option does.

En el siguiente apartado introducimos las credenciales. En mi caso he metido una cuenta administrador Windows para ejecutar escaneos locales a través de SMB. Igualmente podemos meter credenciales para otros protocolos como SSH, base de datos, Telnet, etc.

In the following section we introduce credentials. In my case I got a windows administrator account to run local scans over SMB. We can also set credentials for other protocols such as SSH, databases, Telnet, etc.

Seleccionamos los plugins que nos interesan aunque podemos dejar todos activados, ya que Nessus es lo suficiente inteligente para ejecutar aquellos que apliquen al sistema.

Select those plugins that interest us but we can enable all since Nessus is sufficiently intelligent to run those which apply to the system only.

A continuación podemos configurar multitud de parámetros del escaneo como HTTP, Windows, Web, etc. para hacerlo más efectivo. Esto requiere un conocimiento avanzado para conseguir máxima efectividad.

We can then configure the scan parameters such as HTTP, Windows, Web, etc. to make the scanning more effective. This requires advanced knowledge to maximize the benefits.

Ahora ya tenemos una política de escaneo lista y podemos empezar el escaneo pinchando en Scans.

Now we have our policy scan ready and we can begin scanning by clicking on Scans.

Rellenamos el nombre del escaneo, seleccionamos la política de escaneo en nuestro caso “xp” y los sistemas. Para los sistemas podemos meter directamente los nombres o IPs de las máquinas o leerlos desde un fichero en formato texto mediante la opción “Target File”. Una vez listos pinchamos en Launch Scan.

Fill the name of the scan and select the scan policy in our case “xp”. For entering systems we can directly write the names or IPs of the machines or read them from a file in text format using the “Target File” option. Once ready click on Launch Scan.

El escaneo ha comenzado y ahora a esperar

The scan has begun and now we have to wait

10)

El escaneo ha terminado en 4 minutos porque la máquina era local, y podemos ver los resultados pinchando en Reports.

The scan has finished in 4 minutes, was localhost, and we can see the results by going to Reports.

11)

Abrimos el informe y podemos ver un sumario de los resultados como número de máquinas, vulnerabilidades y puertos. Para ver los detalles pinchamos encima de una máquina.

When opening the report we can see a summary of the results such as number of machines, vulnerabilities and ports. To view more details click on a system.

12)

Podemos ver los puertos y las vulnerabilidades asociadas de nuestra máquina escaneada. Pinchando encima del puerto veremos más detalles.

We can see the ports and the associated vulnerabilities of the scanned system. By clicking on top of a port we will see more details.

13)

Podemos apreciar la cantidad de vulnerabilidades, muchas de ellas de una criticidad alta. Estos resultados fueron obtenidos por las credenciales del punto 4 por lo que siempre es recomendable realizar el escaneo con credenciales de administrador.

We can see a lot of vulnerabilities, many highly critical. These results were obtained from the steps 4 to enter credentials, and that is why it is always recommended to do the scanning with administrator credentials.

14)

Hemos seleccionado una vulnerabilidad crítica para ver más en detalle donde se nos explica impacto y solución además de enlaces externos donde encontrar más información. Nota: La barra multicolor (azul, rojo y amarillo) abajo nos permite pinchar sobre ella para desplazarnos cómodamente por las vulnerabilidades.

We have selected a critical vulnerability to view more details where impact and solution are explained apart from external links where to find more information. Note: the multi-colored bar (blue, red and yellow) below allows us to click it to move around the vulnerabilities more comfortably.

15)

Ahora si queremos podemos generar un informe en algún formato de los disponibles por Nessus (HTML, .nessus basado en XML o NBE) Recordad que para el formato .nessus Excel 2007 es vuestro amigo

Now if we want we can generate a report in some format available by Nessus (.nessus based on XML, NBE or HTML) remember that for .nessus format Excel 2007 is your friend

16)

Informe en HTML.

HTML report.

17)

Y eso es todo amigos!

And that’s all folks!

Como podéis ver realizar un escaneo mediante el nuevo Nessus es fácil e intuitivo y es una herramienta recomendada para cualquier profesional de la seguridad. En futures posts os contaré usos más avanzados de Nessus.

Los informes que genera son mejorables, pero nada es perfecto

Existe una versión open source alternativa llamada OpenVAS pero recibes lo que das

¿Qué os ha parecido? ¿Cuál es vuestro escáner de vulnerabilidades favorito?

As you can see performing a scan through the new Nessus is easy and intuitive and is a recommended tool for any security professional. In future posts I will show you more advanced uses of Nessus.

The generated reports could be better, but nothing is perfect

There is an open source alternative called OpenVAS but you get what you give

What are your thoughts on this? What is your favorite vulnerability scanner?

– SRF

Blast from the past: my security presentations

SRF — Tue, 12 Jan 2010 17:49:59 +0000

He recopilado muchas de mis presentaciones públicas durante los años que espero sean de vuestro interés

———————————————————————————————————————————————–

I have collected many of my public presentations during the years and I hope you would like them

Microsoft Infosec Team: Security Tools Roadmap (IBWAS 09. Madrid, Spain. 2009)http://www.ibwas.com/files/presentations/Simon_Roses_MS_INFOSEC_IBWAS09.pdf
Microsoft Seguridad IT al descubierto (OWASP Spain. Barcelona, Spain. 2008
https://www.owasp.org/images/c/c7/MS_SDL_IT_ProtegiendoElNegocio.pdf
OWASP Pantera Unleash (OWASP Day. Belgium. 2007)http://www.owasp.org/images/f/f4/OWASPDay2007Belgium_Pantera_Unleash.ppt
OWASP PANTERA – Dissecting Web Applications (OWASP AppSec 2007. Milan, Italy. 2007)
http://www.owasp.org/images/0/00/OWASPAppSec2007Milan_Pantera.ppt
Microsoft ACE Team – Application Security from the Core (OWASP AppSec 2007, Milan, Italy. 2007)http://www.owasp.org/images/8/8d/OWASPAppSec2007Milan_MS_ACETeamAppSecfromTheCore.ppt
MS ACE Team – Seguridad en el Código (SDL-IT) (Madrid, Spain, 2007)http://download.microsoft.com/download/9/e/7/9e76ad03-f690-42e8-be4f-25af5a372417/6_Mejores_practicas_para_el_desarrollo_seguro.ppt
Carmen, Rogue Web Server (DeepSec 2007)
http://video.google.com/videoplay?docid=-1362446912192581498
Introduccion al Fuzzer (Madrid, SpaiN. 2004)
http://www.roseslabs.com/innovations/RL_FuzzerIntro.pdf

– SRF

www.eu2010.es $ecurity $candal (aka $pain is Different)

SRF — Tue, 05 Jan 2010 09:40:37 +0000

España desde el 1 de Enero es la encargada de la Presidencia de la EU durante los próximos 6 meses y con este fin se ha creado un portal www.eu2010.es que se anuncio a bombo y platillo en todos los medios.

El escándalo salto ayer, 4 días de la publicación de la web, cuando un atacante identifico una vulnerabilidad de Cross-Site Scripting (XSS) permitiéndole inyectar código en el motor de búsqueda de la web. Dicho código colocaba una foto de Mr. Bean.

Si bien es cierto que esta vulnerabilidad tiene una criticidad baja a mí entender existen otros problemas:

Las vulnerabilidades XSS no deben ser infravaloras ya que permiten realizar ataques mucho más sofisticados que atacar el navegador del cliente.
Este evento es un claro ejemplo que no por usar soluciones Open Source se es más seguro automáticamente. La seguridad es un proceso y por eso tenemos metodologías como MS SDL y OWASP CLASP.
Enlazando con el punto 2 un WAF podría haberles salvado el mal trago y en la línea Open Source tenemos el ModSecurity.

Como no podía ser de otra manera el Gobierno niega que el portal haya sido “hackeado” y en cierta manera tiene razón aunque no debemos olvidar que si existía una vulnerabilidad que no debería haber sucedido en primer lugar.

Este ataque XSS es más anecdótico que otra cosa pero el verdadero escándalo que ha destapado este evento es el alto coste de soporte técnico y seguridad que el Gobierno ha pagado a Telefónica: 11,9 millones de Euros.

Sorprende la desorbitada cifra para un portal con una duración de 6 meses y utilizando soluciones Open Source. Esto sí que es un verdadero escándalo y una vergüenza.

———————————————————————————————————————————————–

Spain starting January 1 is in charge of the Presidency of the EU during the next 6 months and for this purpose the portal www.eu2010.es was created and announced in all media.

The scandal jumped yesterday, 4 days after the publication of the web, when an attacker identify a vulnerability of Cross-site Scripting (XSS) allowing to inject code into the web search engine. That code placed a photo of Mr. Bean.

While it is true that this vulnerability has a low criticality there are other problems:

XSS vulnerabilities should not be underestimated as they allow performing more sophisticated attacks that just attacking the client browser.
This event is a clear example that using Open Source solutions is not more secure automatically. Security is a process and therefore we have methodologies such as MS SDL and OWASP CLASP.
Linking with point 2 a WAF could have safe them some troubles and keeping with Open Source we have ModSecurity.

It could not be otherwise the Government denies that the portal has been “hacked” and somehow is right but we must not forget that there was a vulnerability that should not have happened in the first place.

This XSS attack is more anecdotal than anything else but the real scandal this event has uncovered is the high cost of technical support and security that the Government has paid to Telefónica: 11.9 million Euros.

Is surprising the huge figure for a portal with a duration of 6 months and using Open Source solutions. This is scandalous and disgraceful.

– SRF

XMAS Hangover and 2010 Roadmap

SRF — Mon, 04 Jan 2010 08:25:19 +0000

Querido lectores desearos un prospero 2010 y espero que hayáis tenido unas buenas fiestas y ya estéis recuperados

Para 2010 desde CyberSpace Insecurity 2.X esperamos traeros post innovadores sobre los temas que nos interesan.

Feliz 2010

Dear readers I want to wish you a prosper 2010 and I hope you have had good holydays and have already recover

By 2010 from CyberSpace Insecurity 2.X we hope to bring innovator posts on topics that interest us

Happy 2010

Network Authentication Cracking at speed of light

SRF — Thu, 17 Dec 2009 17:21:46 +0000

ES: Las viejas técnicas nunca mueran y ataques de fuerza bruta contra autenticación de red no es ningún excepción. Desde hace años existen este tipo de herramientas como pueden ser Brutus y HTC Hydra además es bien sabido que los “malos” han desarrollado sistemas masivos para realizar estos ataques en Internet a gran escala.

Ahora tenemos una nueva e interesante herramienta llamada Ncrack desarrollada por ithilgore y Fyodor el autor de Nmap. Es por eso que Ncrack sigue la misma línea que Nmap a lo que interface y comandos se refiere y nos permite realizar ataques de fuerza bruta a una velocidad de vértigo!!!

Por el momento está limitado a pocos protocolos como son Telnet, FTP, HTTP Basic y SSH pero son un buen comienzo

Además de la velocidad tiene otras características interesantes como son:

Salva la sesión y poder continuar en otro momento
Compatibilidad con Nmap
Trae unas listas de las contraseñas más comunes
Fácil desarrollar nuevos protocolos

Examinando los listados de contraseñas podemos ver las típicas y contraseñas reales basadas en “hackeos” de myspace, phpbb y Hotmail. Tranquilo que mis contraseñas no están

Desde luego una herramienta para tener en la caja de herramientas cuando tengas que realizar un test de intrusión.

Ncrack

US: Old techniques never die and brute-force against network authentication is no exception. For years there have been such tools as Brutus and HTC Hydra and is well known that the “bad guys” have developed massive systems to perform these attacks on Internet at a large-scale.

We now have an exciting new tool called Ncrack developed by ithilgore and Fyodor Nmap’s author. This is why Ncrack follows the same style as Nmap regarding interface and commands and allows us to perform brute-force attacks at a speed of light!!!

Is currently limited to few protocols such as Telnet, FTP, HTTP Basic, and SSH but is a good starting point

In addition to the speed it has other interesting features such as:

• Saves session and continues at a later time

• Support for Nmap

• Brings a few lists of common passwords

• Easy to develop new protocols

Examining the password listings we can see common and real passwords based on 0wned of myspace, phpbb and Hotmail. Don’t worry my passwords are not in the lists

Truly a tool to have in the Toolbox when you have to perform a pen testing.

Ncrack

– SRF

Snow, Technology Failures on the Road and what else!

SRF — Mon, 14 Dec 2009 08:49:24 +0000

ESP: Me acabo de levantar y al asomarme por la ventana veo nieve! Desde luego que viste las navidades aunque en Madrid no pasara de un día nevado.

Durante mis viajes me suelo encontrar mensajes de errores en las pantallas de información de sistemas informáticos y por regla siempre saco una foto lo que llamo “Documentando Errores en la Tecnología Diaria”. Las fotos son un buen ejemplo que ningún sistema es infalible ya sea Windows o Linux y todavía queda mucho por hacer.

US: I just did wake up and looked out of the window and can see snow! Certainly dresses the Christmas but in Madrid should not last more than a day.

During my travels I usually find error messages on the screens of computer systems and my rule is to always take a photo what I call “Daily Technology Errors Documentary”. These photos are good examples that any system is not foolproof either Windows or Linux and much remains to be done.

– SRF