Hackeando las instrucciones de x86

Cuando utilizamos la computadora y encontramos problemas, siempre solemos echar la culpa a las aplicaciones, nunca lo hacemos con el hardware porque asumimos que son piezas perfectas sin fallas. También cuando hacemos auditorías de seguridad, solemos solo fijarnos en el software y vemos al hardware como una caja negra segura. Sin embargo, en esta presentación vemos como un hacker estudia la arquitectura x86 (utilizada en la mayoría de las computadoras de escritorio y servidores) y desarrolla un algoritmo para encontrar instrucciones no documentadas en los procesadores x86.

El resultado es que consigue varias de ellas, demostrando que el hardware no es tan seguro o confiable como creemos. Pues contiene varias instrucciones no documentadas.

Instrucciones no documentadas x86

Las instrucciones no documentadas, permiten codificar programas para realizar acciones secretas en tu computadora. Por ejemplo, pueder acceder a direcciones de memoria especiales (podría pertenecer a otros programas y contener información privada), acceder a registros, realizar acciones privilegiadas, entre otros.

El peligro es que ocurre a nivel de hardware y al no estar documentadas, nadie las conoce, son indetectables. No se sabe si Intel/AMD las coloca para colaborar con agencias gubernamentales, para ellos mismos, pruebas, entre otros.

Si te interesa mas el tema, observa la conferencia “Rompiendo el conjunto de instrucciones de x86”.

Esperemos ver que información oficial sale sobre estos descubrimientos, o si son vulnerabilidades que se aprovecharán en el futuro. De todos modos, deseo que te haya gustado el vídeo y recuerda compartir tu opinión en la caja de comentarios.

Happy Hardware Hacking!

Hace 6 años en esa fecha: jQuery Categories List Widget

Hace 8 años en esa fecha: Will the real Linus Torvald please stand up?

Error de JSON malformed al enviar datos a Zoho

Zoho es una excelente herramienta en la nube para la administración de negocios. Posee una excelente API REST para realizar integración de datos entre sistemas. Hace unos días tuve problemas para subir información al API y me arrojaba el error JSON malformed.

Cómo solucionar el error de JSON malformed

La documentación no indica cual puede ser el problema y en que campo. Obviamente es un error de codificación de JSON pero al revisar mi código y los datos que estaba enviando, noté que el JSON estaba bien validado. Pero me di cuenta que Zoho pide enviar el JSON dentro del cuerpo de la petición en texto plano, no en formato JSON. Por ello, al codificar los campos en la cadena, el símbolo de ampersand ( & ) puede confundirse como el inicio de un parámetro GET. Así que es necesario codificarlo con su respectivo valor en HTML que es %26.

Así que para solucionar mi problema tuve simplemente que reemplazar el valor luego de ser codificado en JSON:

$jsonString = str_replace('&', '%26', json_encode($invoice));
$body = '&JSONString=' . $jsonString;

¡Listo! Ahora si podrás subir la data a Zoho.

Hace 6 años en esa fecha: Mi análisis o review de Duke Nukem Forever

Hace 11 años en esa fecha: Frogger en JAVA (JFrogger 2k6)

Carga los productos de una orden en WooCommerce

WooCommerce es una excelente solución para crear tu propia tienda en línea. Al ser un plugin de WordPress permite aprovechar todo lo disponible para esta tecnología. Cada nueva versión incluye mejoras significantes pero sacrificando muchas veces compatibilidad hacia atrás. Hace unos meses salió la versión 3.0 que introdujo varias mejoras y cambios en el SDK. Uno de mis plugines estuvo funcionando mal con los productos variables, pues la forma de obtener los productos de una orden habían cambiado. A continuación te explico como carga los productos de una orden.

Carga de productos de una orden

El problema es que en WooCoommerce existen varios tipos de productos: simple, variable, virtual, etc. Cada uno de ellos es definido en su propia clase, entonces cuando cargas una orden en WooCommerce desde el SDK solo tienes acceso al ID. Luego poder detectar con ese ID el tipo de producto y cargar su respectivo objeto puede ser tedioso.

El primer paso es obtener los objetos que representan los productos de la orden. No se debe confundir con el producto como tal, pues estos tienen un precio y atributos únicos para la orden.  Luego de cargar estos productos, si procedemos a cargar la instancia de su respectiva clase que nos dará toda la información.

WooCommerce nos ofrece la función get_product() que dando un ID, se carga automáticamente el producto como un objeto de su respectiva clase. Permitiendo acceder y manipular la data de muchas formas.

$order = wc_get_order( $order_id );
$line_items = $original_order->get_items();

foreach ( $line_items as $item_id => $item ) {
  $wc_product = $item->get_product();
  ....
}

Y listo, ya con esto puedes obtener un objeto que representa al producto de un orden.

Hace 2 años en esa fecha: Mi opinión sobre When Google met Wikileaks

Hace 9 años en esa fecha: World Challenger JCheater v1.1

Hace 10 años en esa fecha: Un MEME

Mi entrevista en WordPress.tv por el Global WordPress Translation Day

El pasado noviembre me hicieron una entrevista en WordPress.tv, pues desde el 2016 he estado organizando encuentros de WordPress en San Cristóbal, Venezuela. El 12 de noviembre de 2016, organizamos el único Global WordPress Translation Day de latinoamérica. Allí explicamos como realizar traducciones y una herramienta para facilitar las hecha por Diego Juliao con la participación del localizador oficial para Venezuela Jordi Cuevas.

Mi entrevista en WordPress.tv

Puedes ver la entrevista a continuación, está en ingles, hablo un poco de mí y las tareas que realizo en los meetups. También explico como nació la comunidad local de WordPress y otras cosas.

Espero que les guste.

¿Sirve el título universitario en la profesión de informática?

Muchas veces he escuchado la interrogante sobre si sirve el título universitario para trabajar en informática. Algunos lo ven necesario pero otros no. Como soy profesor de una universidad y trabajo como programador, voy a compartirles la mi opinión pues considero tener ambos lados del asunto.

Cuando tenía 13 años de edad me ha llamó la atención ser programador. Al comentarle a mi padre, me trajo un libro de como programar con Visual Basic 6.0 de la oficina de informática del lugar donde trabajaba (nunca supe quien se lo facilitó) y comencé por mi cuenta a hacer aplicaciones gráficas desde mi computadora. Luego aprendí a realizar páginas web por mi cuenta y cuando finalicé mi bachillerato estudié Ingeniería en Informática formalmente. Digamos que empecé en este camino como autodidacta y luego estudié formalmente. Esto me ha permitido ver ambas caras de la moneda.

¿Por qué es común preguntar si sirve el título?

Si has trabajo en esta área, es común ver a profesionales con muchos conocimientos sin títulos académicos. Algo muy extraño en carreras como la medicina, donde para ejercer debe haber pasado por estudios formales. Pienso que se debe principalmente a la facilidad de aprender por ti mismo y toda la información esta disponible en la red.

Respecto al auto-aprendizaje, si estudias computación es muy fácil aprender a través de errores: ¿instalaste el sistema operativo mal? ¡Intenta de nuevo! Lo peor es que hayas perdido tiempo y datos. Un cirujano no puede hacer algo similar, si falla al realizar una cirugía el paciente queda mal de por vida o incluso muere. Con una computadora las consecuencias no son graves entonces puedes aprender cada vez de tus errores y adquirir nuevos conocimientos, inclusive aplicando fuerza bruta puedes aprender.

Debido a que Internet fue hecho por informáticos, existe una gran cantidad de conocimientos sobre computación en ella. Allí podrás conseguir desde como empezar a hacer un programa, hasta como resolver los problemas mas complejos. Puedes conseguir artículos, blogs, libros, sitios de ayuda, foros, entre otros. Mientras que otras ciencias y carreras, su principal fuente de conocimiento viene de medios impresos.

Mucha gente con hacer unos préstamos rápidos puede pagar un curso en línea. Permitiendo desde cualquier parte del mundo aprender desde 0 hasta llegar a un nivel profesional.

Mi opinión

Considero que depende del talento y esfuerzo de cada persona. Tener un título académico no garantiza ser un excelente profesional ni trabajo seguro, pero ayuda bastante para aprender las bases de varias las áreas de la informática. Si sirve el título como un documento para certificar un mínimo de conocimientos y que posees hábitos de estudio. Por esto muchas empresas lo exigen porque saben que si no tienes ese talento innato al menos tienes una base de conocimientos y capacidades para trabajar. Ademas, el título permite avanzar en niveles superiores de estudio como maestrías y doctorados que permiten obtener puestos de trabajo únicos.

Pero no lo es todo: depende de que sigas actualizando tus conocimientos, sepas comunicarte, tengas responsabilidad, capacidad para resolver problemas, entre otros. Cosas que no aprenderás en una universidad y son de gran valor para las empresas que buscan personal. Por eso puedes conseguir buenos trabajos en la informática sin tener estudios formales.

El área laboral

Las ofertas laborales en el área de informática en su mayoría no exigen de títulos profesionales. Generalmente suelen solicitar conocimientos en ciertas tecnologías y herramientas. Cada profesional deberá demostrar sus aptitudes y conocimientos al reclutador al momento de la entrevista laboral. Sin embargo, he observado que al momento de solicitar cargos de niveles mas alto (como líder de proyectos, posiciones donde se debe supervisar mucha gente, CTO) si suelen exigir títulos académicos. Tal vez por la responsabilidad o porque se requieren conocimientos de ingeniería para el manejo de procesos.

Existen ciertos paradigmas, arquitecturas y temas que se aprenden en la universidad y son requisito para estas posiciones. Por ejemplo, en mi experiencia he visto deficiencias en el diseño de base datos, arquitectura de software y manejo de teoría de sistemas operativos en profesionales sin título. Una persona sin estudios formales suele resolver ese tipo de problemas no de forma optima o reinventa cosas ya definidas en teorías.

Pero este tipo de profesionales que he visto trabajando en organizaciones suelen ser personas con talento innato. No los consideraría personas promedio sino personas con capacidad de aprender por si mismos con facilidad para la programación. Creo que es un camino mas difícil pues hay que aprender sin guía muchas áreas de la computación.

Por eso, pienso que para la persona promedio es importante tener un título universitario para ser un profesional con cierto nivel de conocimiento. Pero para algunos con talento no es necesario, pueden llegar a aprender igual o aún mas lejos. Siempre hay excepciones a la regla, si no, todos fuésemos unos Mark Zuckerberg o  Bill Gates.

Ahora me gustaría saber tu opinión. ¡Comenta!