Posts tagged "Seguridad":

Bloqueando las llamadas de spam automáticamente en Android

Hace tiempo que no publicaba nada nuevo, no porque no tenga cosas que contar sino, más bien, porque no soy capaz de encontrar el tiempo y la calma necesaria para hacerlo. Hoy comparto un tema que he descubierto recientemente.

Seguro que has comprobado que la app del teléfono Android que tienes, cuando recibes una llamada te indica si puede considerarse spam, es decir, una llamada no deseada que suele corresponderse con la que realiza alguien desde el otro lado del teléfono para venderte algo, con la habilidad de hacerlo siempre en la hora más inoportuna. Posteriormente, estas llamadas también aparecen en el listado de llamadas recientes identificadas como spam.

Pues bien, hace poco descubrí como bloquear estas llamadas. Bloquear significa que las llamadas llegan al teléfono pero este ni te suena ni te deja aviso de llamada perdida, aunque luego, cuando miras en el historial, allí están.

Veamos cómo hacerlo (comprobado que funciona en teléfonos con versiones de Android 9 y superiores):

1. Pulsamos sobre la app del teléfono, esta:

1. Pulsamos sobre los tres puntitos que hay al final de la barra de búsqueda:

   
2. En el menú que aparece, pulsamos sobre "Ajustes":

1. En la pantalla a la que llegamos pulsamos sobre "Identificación de llamada y spam":

1. Y ahora, en el último paso, activamos la opción "Filtrar llamadas de spam" así:

A partir de este momento las llamadas que "Android" ya reconozca como "spam" te llegarán al teléfono pero ni te sonará ni te dejará aviso de llamada perdida, aunque, como decíamos antes, si entras en el listado de llamadas recientes sí las verás. En la siguiente imagen puedes ver como las veo yo en mi Motorola y un amigo en su Samsung:

Si quieres ayudar "al sistema Android" a identificar llamadas de spam que aún no son reconocidas, haz esto: en el listado de llamadas recientes, pulsa y mantén un momentito pulsado la llamada que has recibido, cuando se despliegue el siguiente menú de opciones, pulsa sobre "Bloquear/Marcar como spam".

Mediante inteligencia colectiva, si todos lo vamos haciendo, Android irá aprendiendo qué números son los molestos y acabará identificando su llamada como spam. Y con la configuración vista arriba, nosotros estaremos protegidos de las infinitas molestias que nos ocasionan.

¡Por un mundo más humano! ¡Por un mundo con menos ruido!

Dejar comentario.

Envío de email cuando hay un login por ssh

En máquinas conectadas directamente a Internet (y esto incluye el acceso a ellas vía un puerto abierto del Firewall), es recomendable estar atento a los "logins de usuario" que se producen. En entornos profesionales, además del aviso de correo que programamos aquí, es conveniente hacer uso de otras herramientas tipo SIEM o HostIDS. En mi servidor, que es pequeñito y con pocos recursos, yo utilizo lo que sigue.

He agregado esto al fichero "/etc/pam.d/sshd".

# Envío de correo cuando login

session optional pam_exec.so /root/bin/send-mail-on-ssh-login.sh

El fichero completo (/etc/pam.d/sshd), como referencia y copia de seguridad, está adjunto al final de este artículo (le has agregado la extensión .txt para que sea "subible" al blog).

Y he creado el script correspondiente en "root/bin" con este contenido:

#!/bin/sh

if [ "$PAM_TYPE" != "open_session" ]

then

  exit 0

else

  {

    echo "User: $PAM_USER"

    echo "Remote Host: $PAM_RHOST"

    echo "Service: $PAM_SERVICE"

    echo "TTY: $PAM_TTY"

    echo "Date: `date`"

    echo "Server: `uname -a`"

  } | mail -s "$PAM_SERVICE login on `hostname -s` for account $PAM_USER" example@example.com

fi



exit 0

¡OJO!: has de modificar la dirección de mail "example@example.com" por la tuya propia donde quieres recibirlos.

Referencias: 1.- http://blog.th-neumeier.de/2011/02/send-email-on-ssh-login-using-pam/ 2.- http://serverfault.com/questions/400613/send-notification-email-when-the-ubuntu-server-is-remoted-via-ssh 3.- http://www.tiger-computing.co.uk/get-notified-with-every-ssh-login/ 4.- http://www.farinspace.com/secure-login-linux-server/ 5.- http://www.mydigitallife.info/how-to-get-linux-server-sends-email-alert-on-root-login/

Para avisar cuando alguien hace login como root (no permitido por ssh, sólo como "promoción interna" ;-)), añadimos al .bashrc de root lo siguiente (¡¡OJO!! No hagas copy/paste de esta línea. Es mejor que la teclees pues debe de haber -introducidos por el "parser" de coloreado de sintaxis- códigos de control extraños en algunos caracteres que no funcionan si la copias):

echo 'ALERT - Root Shell Access () on:' `date` `who` | mail -s "Alert: Root Access from `who | cut -d"(" -f2 | cut -d")" -f1`" example@example.com

Espero que te sea útil.

Si consideras alguna parte mejorable, por favor, indícamelo con un comentario. Como siempre, te estaré muy agradecido.

Utilizando "sudo" en Debian o como jugar a ser Dios

De todos es sabido, y espero que aún más entre los lectores de esta pequeña gota de agua, insignificante, en el océano de Internet, que trabajar con privilegios de administrador (terminología Windows) o superusuario (terminología Unix) en nuestro sistema durante el día a día está totalmente desaconsejado. Como otras muchas veces, Unix se adelantó a Windows (hoy en día esta ventaja ya no es tal, Windows también lo resuelve perfectamente) en esta separación de roles y, de hecho, desde el mismo momento de la instalación de un sistema Unix se obligaba al usuario que lo estaba instalando a: 1.- Elegir la contraseña de root. "root" siempre es el usuario con máximos privilegios: puede instalar y desinstalar aplicaciones, puede modificar/borrar ficheros del sistema… puede ver los buzones de correo de otros usuarios, e incluso puede borrar archivos y "cuentas" completas de otros usuarios (de hecho, es él quien las crea). Por eso, en el argot de los que trasteamos con los sistemas, cuando adoptamos el rol de root solemos describirlo como "me voy a convertir en Dios", porque es omnipoderoso.

1. A elegir una cuenta de usuario "normal", sin privilegios, que sólo puede utilizar las aplicaciones instaladas por root, no puede ni instalar ni desinstalar, ni modificar partes críticas, clave, del sistema, ni ver los ficheros "confidenciales" de otros usuarios (siempre que los permisos estén bien puestos), etc.

Pero es más, y este es el verdadero quid de la cuestión: desde el inicio, desde el primer "login" a la máquina, el usuario con el que se trabaja (esto es flexible según la distribución, pero hay algunas que lo obligan) es el usuario normal. Y todo el mundo que utilizamos Unix o GNU/Linux en nuestro día a día así lo hacemos.

Pero, ¿qué pasa si en un determinado momento necesitas hacer algo como root? Pues Unix también resolvió esto hace mucho tiempo. Cuando aún no había entornos gráficos los sistemas Unix ya eran multiusuario y multitarea. Habrías otra consola, como si tuvieras varias pantallas para trabajar sobre la misma pantalla física, y entrabas como root. Pero ni siquiera eso era/es necesario: puedes cambiar tu personalidad y pasar a ser root haciendo uso del comando "su", que te pide la contraseña de root y, si la sabes, te convierte en root:

[23:07:39(godo@surco)~]> su

Contraseña:

[23:21:41(root@surco)/home/godo]#

Y ya puedes estar trabajando un rato (no sólo un comando, sino muchos) como root. Y esto es importante para entender la principal diferencia con sudo. ¿Qué permite sudo? sudo permite ser root "sólo" para ejecutar un comando, cuando ese comando termina sigues siendo tú, ese usuario normal sin privilegios. ¿Y qué comando es el que te permite ejecutar sudo? Esta es la segunda clave del tema: sólo aquellos para los que te haya autorizado root a "echarle una mano". Imagínate que quieres montar una determinada partición de una máquina que suele estar desmontada porque en ella se albergan las copias de seguridad. El administrador de esa máquina, root, puede delegarte sólo esa tarea. Para ello en el fichero /etc/sudoers (que nunca se edita de forma directa sino haciendo uso de la utilidad "visudo") root puede escribir estas líneas:

godo ALL=(ALL) NOPASSWD: /bin/mount

(NOPASSWD es para que no te solicite password. Si no se pone, te la solicitaría).

Así, el usuario "godo" puede utilizar sudo "sólo" para ejecutar el comando "mount" como superusuario.

Si el usuario "godo" no estuviera "capacitado" para ejecutar un comando vía "sudo", y aún así lo intentara, "root" sería notificado vía mail, siendo este que sigue el "cuerpo" del correo:

surco : Jun 27 20:33:40 : godo : user NOT in sudoers ; TTY=pts/0 ; PWD=/home/godo ; USER=root ; COMMAND=/usr/bin/apt-get update

¿Qué hacen distribuciones como Ubuntu, y yo suelo configurar en mi Debian? Pues Ubuntu directamente impide que root haga "login" en la máquina, es decir, siempre has de entrar en el sistema con el usuario sin privilegios, y si necesitas utilizar "cualquier comando" (sin límites) en modo "privilegiado" recurres a "sudo". De hecho, "root" en Ubuntu no tiene contraseña y nunca puedes acceder a ser "root" de forma "total" (no funciona "su" hasta que no le pones contraseña a "root" utilizando "sudo" ¡Curioso!). Para que un usuario normal tenga acceso a todos los comandos de "root" sin llegar a "serlo", es decir, vía "sudo", basta que siendo "root" se agregue al usuario "godo", en mi caso, al grupo de usuarios de "sudo" (recuerda que Unix hay grupos de usuarios que comparten "permisos"). Así es como yo lo hago en Debian, supongo que en Ubuntu se hace algo parecido durante la instalación del sistema.

Yo, para recordar esto cuando hago una instalación nueva, conservo unas líneas explicativas en el fichero "sudoers" de mi máquina habitual, que agregué con "visudo", claro. Y desde ahora las conservo aquí también y las comparto con vosotros. Son estas:

[23:30:49(godo@surco)~]> more /etc/sudoers

more: no se puede abrir /etc/sudoers: Permiso denegado

[23:30:57(godo@surco)~]> sudo more /etc/sudoers

[sudo] password for godo:

#

# This file MUST be edited with the 'visudo' command as root.

#

# Please consider adding local content in /etc/sudoers.d/ instead of

# directly modifying this file.

#

# See the man page for details on how to write a sudoers file.

#



# ¡¡OJO!! MIRA UN POCO MAS ABAJO. BASTA CON:

# 1. AÑADIR EL USUARIO godo AL GRUPO sudo.

# 2. CERRAR LA SESIÓN Y VOLVER A ENTRAR.



#

Defaults        env_reset

Defaults        mail_badpass

Defaults        secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin"



# Host alias specification



# User alias specification



# Cmnd alias specification



# User privilege specification

root    ALL=(ALL:ALL) ALL



# Allow members of group sudo to execute any command

# Agregamos a Godo al grupo sudo con:

# [20:32:31(root@surco)/var/log]> adduser godo sudo

# Añadiendo al usuario `godo' al grupo `sudo' ...

# Añadiendo al usuario godo al grupo sudo

# Hecho.

# Otra forma de hacerlo es:

# [20:37:04(root@surco)/home/godo]> gpasswd -a godo sudo

# Añadiendo al usuario godo al grupo sudo



%sudo   ALL=(ALL:ALL) ALL



# See sudoers(5) for more information on "#include" directives:



#includedir /etc/sudoers.d

[23:31:12(godo@surco)~]>

Observad al principio, cuando ejecuto el comando "more", como con mi usuario no tengo permisos para ver el fichero, pero sí utilizando "sudo".

Una última cosa, antes hablé de "su", y de que la contraseña que te solicita es la de "root", es decir, te tienes que saber la contraseña de "root", por tanto, cuando utilizas "su" te conviertes en root de "manera ancha". Sin embargo "sudo" no nace para hacer lo mismo que "su", aunque puede "casi llegar a hacerlo", sino que lo que quiere conseguir es un acceso a "hacer uso de privilegios" de forma más granular. Lo que te solicita por tanto no es la contraseña de "root", esta puede seguir siendo totalmente privada para "root" (¡root/Dios sólo hay uno!), sino la tuya, con el único fin de dejar "huella" en el sistema y que "root" sepa quién ha hecho qué. ¡Una verdadera maravilla del ingenio humano!

Espero que os haya gustado y que os acostumbréis a usarlo. Pero sobre todo, que os ayude a pensar.

Y el séptimo día descansó.

Dejar comentario.

Herramientas: usb multiarranque, copias de seguridad y particionado de disco

Editado el 11-08-2021: El proyecto del que se habla aquí Easy2Boot ha cambiado su home en Internet: https://easy2boot.xyz/ — Pues veíamos al final del anterior artículo publicado (Petya or NotPetya, esa NO es la cuestión), la necesidad de hacer copias de seguridad, y que estas tengan ciertas características:

1. Que se lleven a cabo con una “cierta" periodicidad: de nada sirve un backup desactualizado, o si pasa mucho tiempo entre la realización de uno y el siguiente, porque en ese intervalo puede ser que aparezca y desaparezca – por error – información que nos hubiese gustado conservar. En los entornos profesionales esto está ligado a las “políticas de backups", que se definen según la criticidad de la información, la rapidez con la que cambia y el tiempo que queremos retener la copia de seguridad, el dato. En el entorno personal has de pensar un poco sobre esto y crearte una “disciplina".
2. Que se almacenen en distintos soportes y que estos se guarden en distintos lugares. ¿Qué pasa si sólo tenemos un disco externo y cuando vamos a recuperar un backup que “vive en él" no funciona? ¿Y si tenemos un disco externo y un PEN USB en un determinado cajón que, por error, se ha caído, nos vemos afectados por un incendio, etc.? Las organizaciones suelen tener una segunda copia disponible (cerca de la principal) y, cada vez más pero aún son pocas, una tercera copia alojada en instalaciones “alejadas", ya sean alquiladas (físicas o en la nube) o propias (también físicas o en la “nube privada").
3. Y mantenerlas seguras (cifradas): sobre todo si la información que contiene, que cada vez suele ser más habitual, es crítica desde el punto de vista de la confidencialidad: estados de cuentas, contraseñas, correos, fotos …no sé, que cada cual piense aquello que considera “superprivado".

Y todos los puntos anteriores se resumen en este: siempre que hagas una copia de seguridad comprueba, cuando la haces y cada cierto tiempo, que esa copia es recuperable.

Pues esto que escribo en el párrafo anterior, y que parece obvio, es lo que menos suele hacerse. He vivido de cerca, tanto a nivel personal como a nivel profesional, auténticos dramas porque “nunca pasa nada hasta que pasa"… se va a por la copia de seguridad y ¡tachán! ¡ésta no funciona! Por el soporte, por el software o por lo que sea). Y ya os digo que es más habitual de lo que creéis. Así que siempre, siempre, preocúpate no sólo de realizar la copia de seguridad, sino de conservarla y de comprobar cada cierto tiempo que es recuperable.

Para mí es una exigencia que la herramienta considerada para hacer copias de seguridad de la información, de las carpetas y ficheros que tenemos en nuestro disco, genere “backups navegables": se suelen montar, con los drivers apropiados, como unidades de disco adicionales, o verse como “carpetas comprimidas", y no es necesario recuperar la copia completa para hacer uso de un determinado fichero o carpeta: simplemente se navega hasta él/ella y se hace un copy/paste (desde la copia de seguridad hasta el lugar donde queremos recuperarlo). Esto facilita muchísimo la comprobación de que un backup es realmente válido (aunque todas las herramientas que se precien suelen tener un “software u opción" que “valida" la copia generada).

En un entorno personal, en muchas ocasiones, recuperar una copia de seguridad implica tener que arrancar con una herramienta externa, pues el disco duro ha sufrido una incidencia (rotura, ataque de virus, cifrado por rasomware, etc.) y el sistema instalado en él ha quedado indisponible. Hasta ahora era habitual el uso de CD de arranque, pero desde hace ya unos años lo más práctico no es el CD sino un USB de arranque. Tanto Windows como GNU/Linux son capaces de generar USB de arranque para llevar a cabo operaciones de recuperación y/o nuevas instalaciones haciendo uso de las herramientas apropiadas. Así conseguimos tener un USB con el que arrancar e instalar Windows, y lo mismo con GNU/Linux. Pero yo llevaba tiempo buscando (y utilizando con ciertos problemillas, es decir, de forma subóptima) herramientas que me permitieran fabricar un USB “multiarranque" (o multiboot USB), es decir, un USB que al arrancar muestra un menú con todas las herramientas que has incorporado en él y tú decides cuál necesitas utilizar. ¡Y lo he encontrado: Easy2Boot (o E2B)! (que extrañamente no sale en las primeras posiciones de Google).

Con esta herramienta generar un USB multiarranque es tan fácil como seguir los pasos que aparecen en la página que os he enlazado, y que resumidos son:

Descargar y descomprimir el archivo “autodescomprimible" (de ahí que venga en formato .exe).

Ejecutar el archivo “Make_E2B.exe" y:

1. Elegir la unidad que referencia a nuestro USB ya conectado (¡mucho cuidado porque va a ser formateada y perderéis todo lo que tenga! ).
2. El idioma en el que queremos llevar a cabo la instalación (en el que aparecerán las diferentes descripciones de los menús de arranque y los mensajes).
3. Y pulsar el botón “Make E2B Drive" (siguiendo los pasos que vaya solicitando el proceso de “fabricación del USB multiarranque").

Una vez finalizado dicho proceso de fabricación, copiar en los lugares oportunos las “imágenes .iso" de aquellos sistemas operativos (soporta todos los Windows y todos los GNU/Linux), herramientas de backup, de particionado, etc. (aquí tenéis un listado de más de 300 isos soportados), que queramos utilizar. La mayoría de las veces basta con copiar, otras hay que hacer “manipulaciones adicionales", a este respecto consultar la abundante documentación del proyecto. Y lo mejor de todo: no hace falta tener todos los .isos que iras necesitando a lo largo de tu vida hoy, en el momento de la fabricación del USB, si el día de mañana necesitas añadir uno nuevo, copias el “.iso" al USB y listo, no hay que repetir todo el proceso. ¡Una auténtica genialidad! ¡Con la de tiempo que he perdido tostando distribuciones GNU/Linux cada vez que quería echar un vistazo a alguna: Mint, Kali, etc.!

Así que, obviamente, para poder hablaros de él con fundamento, yo lo he probado y me he fabricado un USB de 1GB (que tenía por ahí sin utilizar y ahora le he visto la utilidad) con una herramienta de backups (“Acronis True Image" – versión de prueba) y una herramienta de particionado (“Minitool Partition Wizard Bootable"). Las dos mejores herramientas para estos propósitos que conozco.

Y aquí está el resultado:

En la imagen vemos, ejecutándose en el emulador de PC basado en QEMU que viene con el E2B, el menú principal de utilidades tras arrancar con el USB que acabamos de crear, comprobando así que todo funciona sin necesidad de apagar y encender nuestra máquina real. Aunque esto no es realmente así: en QEMU me funcionó el arranque de Acronis pero no el arranque de Minitool; sin embargo, arrancando físicamente tanto mi PC de escritorio como mi portátil todo funcionó bien. No obstante, esto ya lo indica un mensaje durante el proceso de arranque de la máquina virtual: al no haberse configurado disco duro para dicha máquina, algunas herramientas pueden fallar.

En fin, a mí me ha gustado muchísimo el proyecto “easy2boot.com", que además sigue estando en continuo desarrollo.

Espero, como siempre, que os sirva. Y si queréis hacerme algún comentario al respecto, recomendarme algunas de vuestras utilidades favoritas, etc., deseo escucharos.

Gracias por estar ahí.

Dejar comentario.

Petya or NotPetya, esa NO es la cuestión

Estimado lector, si hace casi dos meses en España (y en otros países) golpeó e hizo mucho ruido mediático el malware->rasomware (virus-gusano-cifrador-recompensa) “WannaCry”, de nuevo, hace unos días hubo una nueva infección masiva de otro rasomware llamado para algunos #Petya y para otros #NotPetya (la diferencia en los nombres es fruto de la pelea que hay en la industria a la hora de analizar “el bicho”: la mayoría lo llama #Petya, pero Kaspersky dice que #Petya ya existía y este “bicho” tiene suficiente código diferente, exploits, más formas de explotar los sistemas, que lo hacen suficientemente específico y, por eso, debería ser llamado de otra forma: #NotPetya). En fin.

Aunque según el servicio de alertas del CCN-CERT (Centro de respuesta a incidentes de seguridad del Centro Criptológico Nacional), España no se ha hallado entre los objetivos “más afectados” por este malware, descartando infecciones importantes en organismos estatales y en grandes compañías “estratégicas”, por si te llega, he creído conveniente que conozcas este par de cositas que te pueden ayudar mucho a evitar un CIFRADO DE TODA LA INFORMACIÓN DE TU DISCO DURO.

1.- SI EJECUTAS CUALQUIER COSA (ABRES UN PDF, UN DOCUMENTO DE WORD, EXCEL… UN EJECUTABLE) Y OBSERVAS QUE NO OCURRE LO ESPERADO (o se abre algo extraño, sospechoso…), ECHA UN VISTAZO AL PROGRAMADOR DE TAREAS. Lo primero que hace #Petya es añadir una tarea de “reinicio” en el programador de tareas, que rearrancará nuestro PC una hora y pocos minutos más tarde. Mi “casi compañero ;-)” (nos separan diferentes jurídicas del mismo grupo de empresas) Sergio de los Santos, de ElevenPath, lo recogía en un tweet.

2.- Si el PC se reinicia, estás delante (cosa importante porque si no lo que voy a decir no sirve de nada), y ves una pantalla como esta (no eches cuenta a las zonas grises del pantallazo porque es una máquina virtual corriendo dentro de VirtualBox, LO IMPORTANTE ES EL TEXTO BLANCO SOBRE FONDO NEGRO QUE IMITA A ALGUNAS PANTALLAS DE REINICIO DE WINDOWS CUANDO HAY ERRORES EN EL DISCO DURO E INTENTA SUBSANARLOS).

¡¡¡TIENES QUE ”APAGAR DE BOTÓN” LO ANTES POSIBLE Y NO VOLVER A ENCENDER EL PC!!!

Lo que se está ejecutando es el proceso de cifrado… (lo siguiente sería arrancar el PC con un “LiveCD o Disco Externo” libre de virus e intentar recuperar los ficheros no cifrados).

Espero haberme explicado y que, en caso de mala suerte, te sea útil tanto en la empresa como en casa. Creo que es conveniente saber estas cosas como regla de actuación general, no sólo para #Petya sino para cualquier espécimen que surja en un futuro y actúe de forma parecida… (una llamada al sentido común, quizá).

Por último, a modo de prevención (ya lo decía ese slogan: “más vale prevenir que curar”), me gustaría compartir con vosotros esta otra imagen que consideré valiosa cuando la vi en Twitter (no soy el autor, si el autor así lo considera tendré que dejar de compartirla):

Y si más arriba decíamos que "más vale prevenir que curar", cuando la prevención no ha sido suficiente, SIEMPRE debemos tener una copia de seguridad a mano. De verdad, tómatelo en serio, cada vez es más imprescindible, hazla. Yo la suelo hacer en dispositivos externos y en la nube (Dropbox, OneDrive, etc.), ¿y tú?

P.D.: recuerda que puedes suscribirte a este blog para que los artículos publicados te lleguen a tu correo electrónico, en el bloque "Suscribir" que aparece en la columna de la derecha, pulsa sobre "email" y sigue los pasos. Durante el proceso recibirás un primer mail para confirmar tu suscripción, si no pulsas el enlace de confirmación que va en él, no acabarás suscrito. Por tanto, busca dicho mail en tu "bandeja de entrada" o en la de "spam" y confirma. Tienes información más detallada en el enlace que aparece al principio de este párrafo. Gracias.

Dejar comentario.

¿Por qué gestionamos la seguridad?

Desde que comencé a impartir clases relacionadas con la seguridad de la información, y en casi todas las charlas y ponencias a las que soy invitado, pongo especial énfasis en transmitir la que considero que es la pregunta base, cuyas respuestas sustentan todo el edificio que podemos construir después.

Recorro despacio cada uno de los tres motivos que he encontrado (quizá con un poco de truco, por ser algunos de ellos conjuntos donde caben otros más concretos), y pongo ejemplos con los que voy intentando que surjan muchas dudas/situaciones en las cabezas de mis escuchantes.

A mi entender, los tres motivos son estos:

1. Por cumplimiento legal (“Regulatory Compliance”). Existe, como en todos los ámbitos de la vida en sociedad, una serie de normativa (leyes, decretos, etc.) que estamos obligados a cumplir. Un ejemplo claro de este “capítulo” en España sería la LOPD. El fin último de ésta es proteger los datos de carácter personal, intentar controlar que se usen para el fin que se recabaron y respetar la voluntad de su propietario. ¿Qué pasa cuando las medidas de protección no han sido las correctas? Cosas y multas como estas.

2. Alineamiento con el negocio. Para mí esta es la más grande y bonita razón, la que más me gusta destacar, la que me permite ver y transmitir la seguridad como una característica de las organizaciones que les acaba aportando valor. Gestionamos la seguridad lo mismo que gestionamos los RRHH o las compras, porque nos ayuda a controlar el gasto y la inversión, porque nos evita afrontar situaciones que pueden dañar nuestra imagen de marca, porque protege los esfuerzos realizados para avanzar en I+D+i, por ejemplo, y porque, al fin y al cabo, haciendo las cosas bien prestamos un servicio de mayor calidad, generamos más confianza y retenemos/ganamos clientes. Este párrafo está muy enfocado al negocio “privado”, pero es totalmente extrapolable a cualquier organización pública e incluso sin ánimo de lucro: sólo hay que adaptar apropiadamente el lenguaje para incidir en los mismos conceptos.

   
3. Por último, y quizá este sea el eje más difundido, gestionamos la seguridad por el simple principio de acción/reacción, aliñado con unas cuantas toneladas de miedo, efectos paranormales y luces de psicodelia: la amenaza creciente. A ningún adulto se nos escapa que en el mundo existe mucho bien y mucho mal. Y, siendo el miedo una de las principales palancas que permiten controlar la voluntad de las personas, basta con largar todos los días unas cuantas decenas de noticias malas, con enfoque de sobreactuación, con muchas pantallas de fósforo verde en las que se descuelgan letras, manos con guante negro que emergen de ellas y virus que acaban contagiándose a los seres humanos (ah ¿no? Perdón, me he excedido en la retórica). Cosas que llevan haciendo la industria de la seguridad, los gobiernos y los serviles medios de comunicación ni se sabe el tiempo.

Sois libres de poner más o menos hincapié, o ponderar con mayor o menor peso, cada una de las razones expuestas. Y supongo que todos lo haremos según nuestra naturaleza, la presión que tengamos en nuestra organización, lo que nos haga sentirnos más cómodos en el discurso, etc., pero advertidos quedáis: según he comprobado y, lo que es más importante, han comprobado muchos de los buenos amigos que me rodean en el día a día, la tercera razón está tan manida/ajada/abusada que ya sólo provoca: hastío, inmovilismo y desinterés. Que hay que tenerla en cuenta, sí; pero que nos sirva como palanca para mover nuestro pequeño mundo (educación familiar), nuestra organización o la de nuestros clientes (educación profesional) o crear tendencias positivas en general, que permitan ir creciendo en el nivel de madurez con el que afrontamos el reto de la seguridad, está bastante en entredicho.

De momento paramos aquí. Aprovecho para dejaros un enlace a un comic de “El País Semanal: Amenaza en la red” que cayó fortuitamente en mis manos este verano. Lo he ojeado varias veces y os pido que vosotros, interesados en la seguridad, también lo hagáis; pero con el sentido crítico, con el filtro, que podrían tejer nuestras tres anteriores razones. Seguro que podéis encontrar ejemplos de cada una de ellas, aunque no os niego que… en fin, os dejo trabajar ;-).

Aunque… no me dejes tú con mi silencio. Me encanta escucharte y aprender. Coméntame algo cuando mejor te venga: ahora con el subidón de la lectura, después cuando medites… o incluso esta noche mientras sueñas.

Colaboración en charla, ponencia, mesa rendonda...

¿Crees que puedo aportar valor a tu organización? ¿Consideras que la divulgación/formación/educación puede cambiar el mundo?

Si sigues este blog y has leído mis entradas sobre seguridad de la información, quizá pienses que te vendría bien contar conmigo para impartir una charla, ponencia o participar en una mesa redonda, ya sea en tu organización, departamento de ésta, máster, posgrado, clase, colegio profesional o mayor, asociación de antiguos alumnos, instituto al que va tu hijo, etc. Adaptando tanto tiempo como discurso, claro ;-).

La verdad es que estás de suerte: soy de los que piensa que compartir el poco conocimiento que uno ha ido atesorando te hace más humano, te hace mejor.

Así que, puedes contar conmigo si te vienen bien este par de restricciones:

1. Contacta conmigo para contrastar/encontrar la fecha y hora más conveniente para ambos. Esta primera restricción es un tanto obvia: las fechas/horarios a concertar están sujetos a mi disponibilidad por compromisos adquiridos anteriormente. Iré anunciando los "actos de este tipo programados" aquí.
2. No exijo honorarios, sólo cubrir gastos si tengo que incurrir en ellos.

Se agradece un regalito final ;-) Aquí puedes encontrar una pequeña lista de deseos. Básicamente son y serán libros o algún pequeño "gadget". Tú eliges el que mejor te venga… así no deja de ser una sorpresa.

¿Hace?

Dejar comentario.

De Windows 10 a los “Proactive Firewalls”

En el anterior artículo dejábamos el tema preocupados por la información que, algunos queriendo y casi todos sin querer, acabamos cediendo a terceros. Y si a muchos ya os sorprendía la cantidad y tipo de información que “compartimos” alegremente: “/historial de búsqueda en los navegadores, lugares físicos y lógicos que visitamos, análisis de nuestros correos, historial de llamadas… ¡”nuestra propia voz”!/”, cuando de verdad vais a alucinar es cuando os preocupéis de todos aquellos programas que, una vez instalados en vuestras máquinas, abren conexiones salientes (desde vuestra máquina hacia Internet) buscando algún servidor donde “obtener/verter información”. Y actúan “en blanco” (como podría ser aquella necesaria para tener accesos a actualizaciones de seguridad) o “en negro” (como podría ser aquella que nos roba un “malware” que escanea nuestros documentos o pulsaciones de teclas o “pantallazos” cuando accedemos a nuestra banca por Internet).

¿Qué podemos hacer para intentar detectar la información que escapa, que sale, de nuestra máquina?

Pues no es nada fácil. Son tantas las rendijas que cerrar y técnicas para evitarlas que resolver el problema de forma total es imposible.

Si me leéis habitualmente estaréis acostumbrados a vivir con el riesgo. Y a gestionarlo. Si de verdad lo has interiorizado estarás relajado y disfrutando del viaje ;-). Significa esto que no hemos de hacer nada… hombre no, tampoco es eso.

Decíamos aquí que todo comienza con la monitorización. Monitorizar es como ir encendiendo luces en un gran edificio donde habita el miedo aliado con la oscuridad.

Pero también hay que actuar. Hoy os presentaré a nuestros amigos: los “*proactive firewalls*”.

El concepto de firewall/cortafuegos surgió para aislar la “conectividad total” entre dos mundos: el interno (que supuestamente nos pertenece y queremos controlar) y el externo (Internet en toda su anchura).

Así, los firewalls corporativos se sitúan justo en la puerta (o puertas) de conexión de la organización a Internet, emanando de aquí el concepto de perímetro (delimitan lo interno de lo externo) que acaba refinando su nombre: firewalls perimetrales. Su objetivo, grosso modo, era limitar las conexiones que desde el exterior se podían realizar hacia el interior: qué máquinas y qué “servicios” dentro de estas eran alcanzables; y así evitar el descubrimiento de la topología, del mapa de red/servicios, que facilitaría mucho el ataque definitivo y mortal.

En el mundo personal recuerdo cuando los sistemas operativos de Microsoft venían sin firewall y cualquier PC conectado a Internet era pasto de las llamas: esos fatídicos días en los que un PC recién instalado, todo limpito él, se conectaba a Internet con un modem, recibía una IP pública y… ¡Tachán! En menos de 30 segundos te habían escaneado, descubierto una vulnerabilidad y estabas infectado… ¡Tiempo perdido! ¡A reinstalar! No recuerdo ahora mismo si fue el blaster, el sasser o gusanos similares los que sufrí en mis propias carnes, personal y profesionalmente (redes corporativas enteras “tumbadas” porque no podían resistir el volumen de tráfico ocasionado por la “replicación incesante”).

Hoy en día la necesidad de un firewall en todo tipo de topologías y sistemas es irrenunciable. Lo flipo cuando aún escucho a “Tarzanes desnudos” clamando contra esto. En fin, me tranquilizo cuando lo comparo con los que claman contra las vacunas, pero este es otro tema. Doctores tiene la iglesia.

Entonces, ¿vale cualquier firewall? ¿Basta con parar las conexiones entrantes?

Uuuummm, si habéis estado atentos, si leéis a conciencia, ya tenéis la respuesta…

Piensa…

Piensa…

Sigue pensando…

¡NO! ¡NO! ¡NO! …Un NO como un PIANO ;-).

Un firewall debe vigilar tanto lo que entra (¡por supuesto!) como lo que sale: lo que nos roban, lo que compartimos sin querer…

Y los firewalls que hacen esto, ¿cómo se llaman? Pues se llaman de muchas formas, o más bien va implícito en muchos nombres, pero a mí la que más me gusta es: “*proactive firewalls*”. Proactivo implica anticipación. Y veréis a continuación por qué este concepto está justificadísimo en el nombre.

Las tripas de estos “proactive firewalls” no son muy diferentes a las tripas de los tradicionales, de hecho, la tecnología básica es la misma: monitorizan e interceptan. Es decir, un firewall tradicional también serviría para filtrar conexiones salientes, pero tendrías que ir haciéndolo a mano, cosa que no es ni abordable ni escalable. El refinamiento, la disrupción que aportan los “proactive firewall” es esta: están vigilando todas las conexiones, entrantes y salientes, y cuando detectan una saliente “te preguntan” (esto es configurable, a mí me gusta que me pregunten) si quieres permitirla o no. Así, un sólo click configura una regla: permite o deniega.

Ejemplos:

1.- El Windows Update quiere actualizar el sistema. Se detecta la conexión saliente. Me avisa. Estoy trabajando en algo que he de entregar dentro de una hora y no quiero ni siquiera que se descargue la actualización. Bloqueo.

2.- La aplicación Mozilla Firefox quiere conectarse a Internet para… Acepto.

3.- El Internet Explorer quiere conectarse a Internet para… Bloqueo (nunca uso Internet Explorer, así que lo bloqueo para evitar que sea utilizado por “un proceso” oculto que pueda sacar información, o si en un despiste mío lo abro e intento conectarme a Internet con tan mala suerte que el servidor al que me conecto está comprometido y explota una vulnerabilidad conocida de Internet Explorer para infectarme). Podéis cambiar “Internet Explorer” por cualquier otra aplicación. No os quedéis con el dato concreto sino con la idea general.

4.- La aplicación X quiere conectarse a Internet y… ¿la aplicación X? ¿Y esto? ¿Yo instalé esta aplicación? Busco en Google… ¡jolín, ya me han infectado! ;-). Bloqueo y muy probablemente “acabe reinstalando” :-(.

OK, Ok, me has convencido pero, ¿cómo lo hago?

He probado muchos productos y el que más me gusta es este “Eset Smart Security” (recuerda que todo lo que escribo aquí es a título personal, no tengo comisión ni presión ni decoro…:sick:) por lo visual y, sobre todo, por lo poco que carga al sistema base.

Cuando detecta algo nos informa. Por ejemplo, si actualizo el CCleaner hay una conexión a Internet y una modificación del ejecutable:

Intento de conexión:

Aplicación modificada (por una actualización en este caso, lo sabemos porque lo hemos provocado nosotros o una autoactualización -previamente hemos autorizado que se conecte a Internet para descargarla-, pero pensad que podría haber sido modificada por un virus, lo que nos alertaría, ¿no?):

Y además permite monitorizar todo el tráfico saliente en tiempo real, conociendo qué aplicación lo provoca (zoom sobre lo que ya vimos aquí):

También he visto esta otra aplicación, WFN (Windows Firewall Notifier), que “se integra con el firewall de Windows tradicional” y lo convierte en un “proactive firewall”. No la he probado pero tiene muy buena pinta: http://wfn.codeplex.com/

Sobre los “proactive firewalls” se construyen conceptos más avanzados: next generation firewalls, applications firewalls, etc., que ya iremos abordando desde un punto de vista “más profesional”.

Y para ir terminando, recuerda que no existe la seguridad 100%. Que todo lo dicho aquí puede ser “bypassed”/puenteado con una programación suficientemente profunda y hábil. Que si van a por ti estás muerto. Pero mientras sigamos siendo “hombres-masa” tomar estas precauciones nos ayudará a estar ligeramente más seguros o, lo que es lo mismo, disminuir el riesgo.

¿De verdad que vas a seguir sin tener un “proactive firewall”? ¿Ya lo tienes? ¿Tienes dudas? ¿Crees que he olvidado algo? ¿Me ayudas a aprender más? Déjame tu comentario, por favor.

¡Gracias!

23-08-2021 NOTA: últimamente el software de firewall proactivo que estoy utilizando en mi ordenador con Windows 10 es la versión free de este: http://www.sphinx-soft.com/Vista/order.html. Junto con el antivirus del propio Windows 10, también gratis, forman una pareja "suficientemente perfecta" para asegurar el sistema.

P.D.: ahora puedes suscribirte a mi blog para que te lleguen los artículos puntualmente a tu correo: pulsa en la palabra "email" que está en el apartado "Suscribir" de la columna derecha y sigue el proceso: 1) introduce tu correo y resuelve el captcha, 2) pulsa sobre el enlace de validación/activación que vas a recibir en la dirección de email introducida.

Dejar comentario.

Windows 10 ¿Quién es el producto?

Llevo desde el 26 de junio probando Windows 10, desde sus versiones “preview” como usuario del “Windows Insider Program”, como ya os comentaba tanto en Twitter como en Facebook, hasta su versión definitiva: 10240 (“Thank you to our Windows Insiders for helping us build Windows 10. If you're a Windows Insider and running build 10240 – you already have the Windows 10 we are making available today. All you need to do is check Windows Update and make sure you have all the final updates”).

He de decir que esta nueva versión de Windows me parece realmente buena, y sigue confirmándose el que para mí es un ciclo de aciertos y errores alternados, que probablemente insinúe el tiempo verdaderamente necesario para “cocinar un buen producto”: Windows XP (bueno), Windows Vista (horrible), Windows 7 (el mejor hasta ahora), Windows 8 (buen intento), Windows 10 (en la tónica de Windows 7 pero con muchas mejoras).

Las mejoras de Windows 10: intuyo que mantiene la estabilidad de Windows 7 (es pronto para asegurarlo del todo), el interfaz gráfico está realmente empotrado en el sistema y, aunque esto no sea una mejora en sí misma creo que ayuda a esta otra: el rendimiento en máquinas “tradicionales”, de las que tiraban bien con un Windows XP, es fantástico. Yo lo he probado en un portátil con 2GB de RAM y procesador Core 2 Duo a 1,2GHz y os puedo asegurar que va como iba el XP y mejor que el intento que hice con Windows 7.

Respecto al software, las mejoras que más me han llamado la atención son estas tres:

• El administrador de tareas, que comienza a parecerse al “process explorer” de “Sysinternals”. Mostrando más información y mejor detallada/ubicada.
• La renovación total del “Internet Explorer”, ahora conocido como “Microsoft Edge”, que consigue volar literalmente sobre la web. Muy rápido y con interesantes herramientas.
• La tendencia a hacer del PC del escritorio un móvil, integrando las mismas apps que suelen poseer estos, permitiendo que sigan ejecutándose de forma minimizada, como lo hacen en los móviles, mostrándote noticias, el tiempo, fotos, etc. Pero esto no son más que detalles concretos, lo verdaderamente importante es la tendencia de fondo, la confluencia de entornos – datos – comportamientos.

Y este tercer punto me lleva directamente a comentar la gran crítica que está recibiendo: el respeto a la privacidad (espero que no la reciba de los mismos que alaban a otros que también lo hacen ;-)).

¿Qué se esconde detrás del “regalo de Windows”? Parece que cada vez hay más voces clamando lo que ya leí en su día no recuerdo dónde: en la actual época el precio de un producto no es el dinero que has de pagar por él sino tú mismo. Como en toda gran celada, Microsoft sacrifica una fuente de ingresos monetarios, contantes y sonantes, para ganar en información que tiene sobre nosotros, y todo el mundo de posibilidades que “ésta parece abrir”.

Nos hemos convertido en un producto básico pero con un gran potencial. Su misión es descubrir todo lo que necesitamos, ponérnoslo delante con un bonito envoltorio y empujarnos a comprar: desde un viaje a unos calzoncillos, desde un pendiente a una entrada de cine…

…Y a ser posible en su propia tienda, que dotarán de productos exclusivos como ya hacen otros.

Ejemplo integrado en el sistema: cuando te envían un archivo cuyo programa para abrirlo no tienes instalado, y haces click sobre él, ¿dónde crees que vas? ¿A la web en busca de un programa sugerido como hacíamos hasta ahora…? ¡No no no! …A su magnífica “Store de Apps”.

Así que, un último consejo antes de despedirme: vender tu información abre un mundo de posibilidades y sugerencias (tanto es así que Cortana, el asistente personal “inteligente”, no funcionará si no lo haces). La configuración por defecto del sistema cuando se está instalando pone todos los cebos posibles tanto visuales como en lenguaje de persuasión para que así sea. Está en ti decidir si quieres “venderte” o no. Si estás en este último caso "no instales a lo loco (siguiente… siguiente… siguiente…)". Piensa cada paso, entra en las opciones avanzadas, lee y selecciona.

No obstante, un servidor cree que esta tendencia es imparable. Ya ocurre en los Smartphone: los Androids nos vendemos a Google, los iPhones a Apple… Microsoft, que hoy por hoy no tiene chance en esta guerra pues “le han robado” el mercado de los móviles (Android: 83.8%; iOS: 12.2%; Windows: 2.8%), ¿cómo podía obtener esa información tan ansiada (historial de búsqueda en los navegadores, lugares físicos y lógicos que visitamos, análisis de nuestros correos, historial de llamadas… ¡”nuestra propia voz”!)? La respuesta la tenían sobre la mesa: explotar los desktops, donde aún tienen un “99% de cuota”.

¡Y nuestros gobernantes protegiéndonos de las cookies con ese maldito banner! …Ay señor, señor…

¡Trepidante batalla!

(…to be continued)

P.D.: yo también ansío escuchar tu voz ;-) ¿Qué piensas? ¿Tienes una reflexión, una recomendación técnica, un…? Déjame tu mejor comentario.

P.D.: ahora puedes suscribirte a mi blog para que te lleguen los artículos puntualmente a tu correo: pulsa en la palabra "email" que está en el apartado "Suscribir" de la columna derecha y sigue el proceso: 1) introduce tu correo y resuelve el captcha, 2) pulsa sobre el enlace de validación/activación que vas a recibir en la dirección de email introducida.

Dejar comentario.

¿Te vas a perder el próximo @H4ckM33ts?

Yo no lo haría.

Este blog sigue teniendo un marcado carácter personal, como ya describíamos aquí, básicamente escribo de aquello que me interesa, sin ataduras profesionales ni temáticas. Es algo que cultivo por devoción y quiero que me siga suponiendo un ensanchamiento de mi libertad, por eso no me impongo ni las restricciones que antes comentaba, ni ritmo de publicación… cuando creo que tengo algo que contar, me siento, respiro, muchas veces me acompaño de música, infusión o café, y escribo.

Hasta ahora creo que no he “promocionado” ningún evento, exceptuando aquellos en los que intervengo como ponente. Y no lo he hecho porque cada vez me es más difícil encontrar eventos, ponencias, presentaciones, charlas, conferencias…, llamadles como queráis, que merezcan la pena. Por lo general, en este tipo de cosas sólo encuentras lugares comunes y variaciones “planas” sobre los mismos temas.

Yo suelo hacer un ejercicio siempre que asisto a un evento: intento encontrar dos o tres herramientas/ideas/enfoques que me sean útiles, no espero mucho más, de hecho, en la duración que suelen tener no se debería pretender conseguir mucho más. Y compruebo habitualmente que estoy bastante solo, o somos pocos los que así pensamos, pues sigo encontrando “presentaciones” llenas de conceptos, datos, tablas, texto y más texto… en fin, abrumadoras, totum-revolutum, que tras finalizar no te dejan prácticamente nada, las olvidas como olvidaste a quien saludaste ayer en el ascensor.

Obviamente, por coherencia, cuando planteo una ponencia sólo aspiro a transmitir tres ideas fundamentales, lo demás podría considerarse “fuego de artificio” para mantener la atención, el ritmo, relajar a la audiencia, tensionarla…

Esta semana he asistido a uno de esos eventos que de verdad merecen la pena: HackMeets. Tanto la forma como el contenido son muy buenos. Organizados e impartidos por profesionales de Eleven Paths y Telefónica Grandes Empresas, en ellos no se realiza la típica presentación “vende productos/servicios” sino unos talleres teórico/prácticos equiparables a las mejores jornadas de formación que suelen impartirse a nivel profesional.

Es muy difícil describir el nivel de las ponencias pues se debe a un difícil equilibrio entre el que las imparte y quien las recibe ;-), me atrevería a decir que están destinadas a un público técnico, con un nivel medio en programación/sistemas/comunicaciones/seguridad, pero no homogéneo: puedes saber mucho de una cosa y poco de otra. Lo mejor es que en cada una de ellas obtienes algo interesante, si conoces el tema seguro que profundizas en los detalles, y si no, te traes algunos “conceptos fuerza”, claves, que fundamentan la materia tratada. Lograr esto es muy complicado, y en gran parte creo que sólo está al alcance de grandes expertos en la materia que además atesoran ciertas dotes de comunicación. Por tanto, los ponentes, magníficos.

Si has llegado hasta aquí leyendo seguro que quieres asistir a un “HackMeet” :-D, qué tienes que hacer:

• Vigila la web y el Twitter para localizar el próximo que te venga bien.
• Si tienes un comercial de Telefónica que te atiende es muy probable que recibas una invitación. Si consigues una tu presencia está garantizada.
• En todo caso, regístrate en el formulario habilitado en la web para cada uno de los eventos programados.
• Espera confirmación de asistencia (a veces hay problemas de aforo).

En unos días intentaré publicar otro artículo describiendo cada uno de los talleres a los que asistí, con alguna curiosidad y sin llegar a hacer un spoiler.

Salud.

P.D.: ahora puedes suscribirte a mi blog para que te lleguen los artículos puntualmente a tu correo: pulsa en la palabra "email" que está en el apartado "Suscribir" de la columna derecha y sigue el proceso: 1) introduce tu correo y resuelve el captcha, 2) pulsa sobre el enlace de validación/activación que vas a recibir en la dirección de email introducida.

Dejar comentario.

Seguridad TIC - Modelo de Negocio

Imparto esta ponencia en una jornada de seguridad organizada en la Escuela Superior de Ingenieros de la Universidad de Sevilla. Para más información ver el archivo adjunto al final de este post.

Está estructurada así: comenzaremos viendo el panorama actual y cómo la seguridad influye en el negocio. Luego nos centraremos en el concepto "cadena de valor" y analizaremos los modelos de negocio que emergen al aplicar este concepto al de seguridad. Continuaremos presentando las tendencias que "suenan" en el presente y "prometen" desarrollo futuro. Finalmente, expondremos qué conocimientos y habilidades/cualidades se consideran necesarias y son valoradas en los perfiles buscados en las ofertas de trabajo, dando algunos consejos para afrontar el proceso de selección.

Y a ti, ¿qué pregunta/preocupación no querrías que se quedara sin responder en la #SecESI9j?

Gracias.

P.D.: os dejo aquí el enlace al blog de donde obtuve el "canvas" del "modelo de negocio de un emprendedor" (Lean Model Canvas).

P.D.: Aquí podéis encontrar la ponencia que realizó Julián González sobre "Metasploit Class: Shellshock Attack".

P.D.: Y aquí podéis encontrar la ponencia que realizó Zeki Vázquez sobre "Drupal Hacking & Hardening".

P.D.: en el adjunto que sigue está la agenda de la jornada.

¿Hay alguien ahí? ...

…Monitoriza.

La monitorización es una de esas actividades siempre olvidadas en casi todos los ámbitos, organizacionales y personales, según compruebo en mi día a día. Sin embargo, yo soy un fiel convencido de su necesidad. Tanto que cuando observo cómo las personas que me rodean (desde clientes en el ámbito profesional hasta amigos en el ámbito personal) malgastan tiempo y dinero enfrentándose a no se sabe bien qué, me siento un poco vencido y me surge la motivación de intentar hacer algo para remediarlo.

Desde el punto de vista profesional dispongo de varias presentaciones en el ámbito de la seguridad de la información que hacen bastante hincapié en este concepto. Y desde el punto de vista personal espero que sea este el primero de una serie de artículos que vayan demostrando la necesidad de permanecer atentos. Y, junto a unas cuantas herramientas que nos ayuden a mantener activo nuestro educado comportamiento de “estar pendientes”, acabemos monitorizando todo aquello que nos importa proteger.

Quizá resulte un poco pesado insistiendo en la difundida idea de que, hoy en día, las amenazas que nos acechan se caracterizan por intentar hacer el menor ruido posible, o lo que es lo mismo: pasar desapercibidas a nuestros sentidos mientras van realizando sigilosamente su trabajo. En la actualidad, un virus informático (por simplificar) se esconde en nuestro PC, busca información sensible y, muy habitualmente, la lanza hacia algún servidor en Internet donde “los malos” la van recibiendo y discriminando. Podemos sintetizar así el proceso de “robo de información”.

Si el supuesto virus ya está actuando así es porque ha pasado y pasa desapercibido a nuestro antivirus. Entonces, ¿qué podemos hacer para intentar detectarlo?

Hace mucho tiempo que vigilo el tráfico que entra y sale de mi máquina. ¿Cómo? Hay varias utilidades, de pago (DuMeter) y gratuitas: NetMeter Evo 2.0.0. Yo utilizo esta última en todos mis ordenadores. Funcionando, y tras personalizar los colores de bajada en verde (transmite menos peligro y me gusta asociarlo al tráfico que llega al PC) y de subida en rojo (refleja el tráfico que parte del PC hacia la red, es decir, el que se mostraría si nos roban información), la pinta que tiene es esta:

Cuando comienza una descarga y se mantiene (ejemplo realizado descargando LibreOffice):

Observa tanto la columna izquierda del icono de la bandeja del sistema (cuarto comenzando por la hora y fecha hacia la izquierda) que está rellena de verde, como la ventana de la aplicación donde, por el lado derecho, vemos como también va llenándose de verde, así como la velocidad “instantánea” de descarga: 11,34Mbps y de subida: 218,1 kbps.

¿Y qué pasa si está saliendo información desde nuestro PC?

En la siguiente imagen vemos como las últimas líneas verdes correspondientes a la fase final de la descarga de LibreOffice van abandonando el “visor” por la izquierda y, por la derecha, comienzan a aparecer líneas rojas de forma tan continua que indican que hay una subida en progreso. La ventana se “autoescala” sola, y ahora podemos ver cómo la descarga se ha realizado a unos 11,5Mbps (máxima escala) mientras que la subida se está haciendo a 1Mbps escaso (963,7 kbps).

Cuando desaparece el efecto descarga, el visor se vuelve a “autoescalar” y la subida se muestra aún con más claridad:

Pulsando en el icono de la bandeja del sistema el visor aparece y desaparece, para poder ocultarlo cuando nos moleste en nuestro trabajo, pues siempre podemos estar atentos al comportamiento de las dos barritas del icono de la bandeja del sistema.

La instalación del programa es muy sencilla: basta descomprimir el archivo que descargamos desde la web de su autor, y no hace falta llevar a cabo un proceso de instalación: pulsando en el programa .exe que aparece lanzamos directamente la aplicación. Tanto es así que como ocupa aproximadamente 1,2MB yo la guardo tal cual en una carpeta de mi Dropbox, asegurándome así que la tengo disponible en todos mis ordenadores.

Ahora ya sabemos cómo detectar cuando hay tráfico entrando y saliendo de nuestro PC pero, ¿cómo sabemos a qué aplicación corresponde dicho tráfico y, así, si es posible que se deba a un “proceso maligno” o no? Intentaré escribir un artículo que se centre en esta cuestión.

Agradezco tus comentarios tanto si quieres hacerme llegar nuevas ideas al respecto (otras formas/aplicaciones/etc., que tú utilices, puntos fuertes y débiles…) cómo si necesitas alguna aclaración.

Espero que te haya sido útil.

Dejar comentario.

Defendiéndonos de lo desconocido (I)

El 25 de junio del año pasado, 2012, escribía este artículo en el blog/portal de seguridad "Seguridad para Todos (SXato2)". Lo recupero aquí porque vendrán más partes en el futuro y porque deseo compartirlo con los lectores de este blog.

Aprovecho para aconsejaros la lectura habitual de Seguridad para Todos (SXato2). Es un buen hábito para mantenerse al día ;-).

• - -

Por definición, un zero-day es una vulnerabilidad existente en el sistema para la cual no existe contramedida ni temporal (inhibición por alguna técnica como podría ser la detección de un antivirus evitando que actúe) ni definitiva (existencia de parche que corrige la vulnerabilidad y deja de ser explotable para siempre). Por tanto, la existencia de un zero-day es una de las preocupaciones mayores de cualquier administrador de sistemas: ¿qué puede hacer para prevenir amenazas que intentan explotar este tipo de vulnerabilidades?

En la siguiente figura he intentado plasmar los diferentes periodos en los que podríamos dividir el tiempo de vida de una vulnerabilidad, desde que se descubre hasta que deja de ser explotable (si se toman las medidas oportunas, tema que daría para otro artículo).

El primer periodo lo he denominado investigación: intenta reflejar el tiempo invertido para hallar en el software un “agujero” explotable (vulnerabilidad). Aprovecho para informar a los lectores que existe un mercado en el que se compran y se venden vulnerabilidades, tanto por las empresas que ofrecen productos que las “mitigan” como por el cibercrimen que las utiliza para lograr sus objetivos.

El segundo periodo, para mí el más crítico, el verdaderamente desafiante y trascendental, como se ha podido leer estos días acerca de las nuevas armas para la ciberguerra, es aquel en el que la vulnerabilidad sólo es conocida por su descubridor y aquellos que han pagado lo suficiente para tener acceso a ella. Es, literalmente, como tener un espía en tu ejército o un traidor como escolta de tu emperador: una orden y estás muerto. Por eso he elegido la “zona roja”. Se comprueba cada vez más a menudo que este periodo está siendo ampliamente explotado, anchamente extendido y tremendamente cotizado.

Existe un gran debate sobre las formas en las que se debe “hacer pública” una vulnerabilidad. No voy a profundizar en él ahora. Simplemente indicar que si la vulnerabilidad se hace pública en el mismo momento en el que es comunicada al desarrollador del software para que la corrija, se produce un zero-day: el desarrollador ha contado con cero días para poder investigar la solución, elaborar un parche, probarlo y distribuirlo. Sin embargo, a mi juicio, esta situación no es tan grave como la previamente descrita: todos conocemos la existencia de la vulnerabilidad y, si bien no existe aún una solución definitiva, es posible establecer líneas de defensa que imposibiliten que sea explotada.

Como veis el tema da mucho juego y ha de ser considerado en nuestra estrategia de seguridad. De hecho creo que es el pilar que fundamenta toda la industria de seguridad actual. Es necesario conocer este ciclo para ir haciéndonos preguntas, reflexionando sobre posibles respuestas y, así, ir construyendo nuestras diferentes líneas de defensa. Si existen.

He dejado varias preguntas en el aire que retomaré en sucesivas entregas de esta serie. Ahora, me encantaría contar con tus reflexiones.

Dejar comentario.

Seguridad. El camino hacia la especialización

Hasta hace aproximadamente un año era difícil encontrar en Andalucía cualquier tipo de enseñanza organizada alrededor de la “seguridad de la información”, concepto muy amplio que incluye no sólo la seguridad “informática”, aunque la mayoría de nosotros comenzamos viéndola sólo así, sino todo lo que gira alrededor de la gestión de los riesgos a los que está expuesta la información en una organización principalmente, pues también incluye aspectos más relacionados con la información personal y con la gestión que de ésta hacemos los propios individuos tanto en nuestra faceta profesional como en la personal.

Como decía, hasta hace un año aproximadamente era habitual encontrar diversos Masters y cursos de especialización en Madrid, hervidero de oportunidades del que todavía estamos lejos; pero en Andalucía, si se recorrían los diferentes planes de estudios de enseñanzas oficiales y los cursos ofertados por entidades formativas no se encontraba nada.

Hoy, según me cuentan mis amigos, ya se ven algunos temas específicos en asignaturas que están siendo impartidas en diferentes carreras de universidades andaluzas, y tanto la Escuela Técnica Superior de Ingenieros de la Universidad de Sevilla como el Colegio Oficial de Ingenieros de Telecomunicación de Andalucía Occidental y Ceuta (en adelante COITAOC) han hecho grandes esfuerzos para cubrir las necesidades formativas en esta área de conocimiento.

En el Departamento de Ingeniería Telemática, al que contribuyo en pequeña medida como profesor asociado, nos propusimos lanzar una asignatura de seguridad que nacerá en el segundo cuatrimestre de este curso 2012-2013. La asignatura forma parte de la especialidad de Telemática y cubrirá los aspectos fundamentales: cifrado, seguridad en redes, seguridad en aplicaciones, gestión de incidentes y muy brevemente la normativa básica de referencia. Lo que suficientemente podemos abarcar en unas 45 horas de clases presenciales, pero lo bastante para transmitir al alumno de 3º de grado una visión amplia de la disciplina que le permita decidir si sigue especializándose o no, a su criterio y con su conocimiento.

Con contenido muy similar al cubierto por la asignatura de seguridad descrita en el párrafo anterior, el COITAOC editó un curso en marzo de 2012, y lo volverá a reeditar a finales de este mes de noviembre, dirigido a aquellos profesionales y alumnos que por una u otra causa no han podido o podrán cursar la asignatura descrita (según me informan alumnos que pertenecen al plan antiguo, no podrán matricularse en la asignatura ni siquiera como libre configuración por ser de un plan diferente).

Finalmente, la ETSI ha puesto en marcha un curso de experto universitario titulado: seguridad en tecnologías de la información y las comunicaciones. cuyo periodo de inscripción está actualmente abierto (expira a finales de noviembre). Dirigido, en mi opinión, a todo aquel que quiere especializarse en dicha materia. Obviamente, este curso, que cuenta con unas 300 horas de dedicación, aumenta tanto la anchura como la profundidad de los conocimientos transmitidos, y situará al alumno en una posición muy distinguida y valorada actualmente.

La oferta está ahí. Cada uno tiene que hacer su propia reflexión y tomar la decisión que mejor se adapte a sus circunstancias. Quizá, a mi modo de ver, para todo aquel que “desconoce la seguridad” el itinerario lógico puede ser: cursar la asignatura (o el curso ofertado por el COITAOC) donde se obtendrá la primera visión global de la disciplina y después, tras meditar si ese es su mundo o no, elegir el curso de experto para especializarse. Sin embargo, soy consciente de la existencia de perfiles que a través de muchas horas de dedicación y esfuerzo, profesional o estudiantil, han realizado un proceso de autoformación que les posibilita acceder directamente al curso de experto.

Reflexionad y animaos a descubrir un mundo de vértigo… donde casi nada resulta ser lo que parece, sobre todo, desde aquel caballo de Troya.

Dejar comentario.

Mi blog y el Ministerio de Cultura

Hace unos días un lector de este blog, cuyo nombre omito por delicadeza, me hizo llegar estas imágenes. La primera de ellas la obtuvo al intentar leer el artículo titulado: "La gestión de la seguridad… y el miedo" (pulsando sobre la imagen podéis verla con mayor resolución):

Como podéis ver, este lector estaba accediendo desde el Ministerio de Cultura, sin embargo su navegador le informaba de: "Acceso bloqueado". Incluso detallaba la página en concreto que había sido bloqueada y el porqué: "pertenece a una categoría no permitida".

Podría ser que ese artículo en concreto contuviera algo que fuera necesario "bloquear", así que mi lector probó con la URL general de este blog… y:

En un principio tanto él como yo creímos que el "Acceso bloqueado" habría sido provocado porque en este blog se pueden encontrar algunos artículos críticos con la Ley Sinde-Wert y, en general, con la intromisión excesiva de los poderes políticos en la gestión/evolución de la red. Pero no, hubiera quedado romántico pero he de reconocer que la razón principal es mucho más terrenal y ajena al Ministerio de Cultura. Es simplemente por esto:

Efectivamente, ese extracto de URL muestra que los dispositivos utilizados por el Ministerio para implementar el filtrado de contenidos tienen clasificado este sitio web en la categoría "pornografía".

Y efectivamente, en este blog hay demasiados desnudos de conciencia, pensamiento e incluso alma. De hecho, creo que los únicos que deben faltar son esos desnudos que suelen considerarse pornografía. A no ser que algún "malo" haya pirateado el servidor (contratado en Dreamhost) y esté sirviendo ese tipo de contenido desde la URL asociada al dominio vivencias.net. Tendré que dedicar un ratito de auditoría.

Si alguien de OPTENET lee esto y puede informarme del porqué de la categorización se lo agradecería. Y si considera que ha sido un error… ¡Sáqueme de la categoría, please! :-)

Las soluciones de filtrado de contenidos se están implantando cada vez más en el mundo empresarial. Se alambra Internet para permitir campar a los usuarios sólo por terrenos autorizados. La tecnología hermana que se utiliza para el hogar, muy recomendable cuando hay menores que utilizan solos el ordenador (cosa que no debería ser), es conocida como "control parental". Además del filtrado puro y duro se incorporan otras funciones en ambas: límites de acceso por horario, informes de navegación personalizados por usuario, tiempo que el usuario destina a navegar por sitios "de ocio" (redes sociales, etc.)…

En fin, tened cuidado con lo que hacéis en el trabajo: "el gran hermano os vigila".

Dejar comentario.

Xperia Neo y Android 4.0 Ice Cream Sandwich

Llevo varios días observando que, al conectar mi móvil al ordenador, el software Sony PC Companion me propone una actualización. Veámosla a través de las capturas de pantalla realizadas (pulsando sobre ellas con el botón derecho pueden abrirse en una pestaña nueva para que su lectura resulte más fácil).

En la siguiente figura podéis apreciar el modelo de mi móvil, Sony Ericsson Xperia Neo (MT15), y la nueva versión de software disponible:

En esta otra se nos avisa de que el proceso de actualización puede tardar un poco y, lo que es más importante, de la versión actual:

Y es aquí cuando se nos informa que, junto con la actualización de software de Sony, se nos actualizará nuestro Android a la versión 4.0 Ice Cream Sandwich. Muy bien. ¡Estamos abiertos a descubrir un nuevo mundo de posibilidades! ;-)

Pero si le damos al enlace "Más información sobre Android 4.0" y leemos lo que aparece los pelos se nos empiezan a poner de punta.

Ahora resulta que: 1.- Los requisitos de hardware son superiores para esta versión de Android y el smartphone puede sufrir una pérdida de rendimiento. Pues vamos bien: si actualmente ya no es la alegría de la fiesta, conmutar de una aplicación a otra ya le cuesta y arrancar algunas ni te digo… 2.- Y esto sí que es limitante: si los resultados no son los esperados, ¡No podré regresar a mi actual versión!. Virgencita, virgencita que me quede como estoy.

Ante este panorama decido buscar información por Internet y preguntar en mi Twitter. Y tanto las páginas que encuentro como las opiniones recibidas son, al menos, preocupantes:

La Gestión de la Seguridad... y el Miedo

Os dejo a continuación el artículo con el que comencé mi colaboración con el blog AunCLICdelasTIC.

El miedo es una de las cinco emociones básicas. Etimológicamente el término emoción significa “lo que nos hace movernos”. El miedo es procesado por una de las estructuras más antiguas del cerebro, la amígdala, que prepara al organismo de forma rápida e inconsciente para responder de la forma más eficaz posible. Así, el miedo es una adaptación evolutiva: los humanos que reaccionaron rápido a un peligro lograron sobrevivir y al reproducirse fueron contribuyendo a su propia selección natural. Por eso, la palanca del miedo es la más accionada para buscar una reacción, desde el control de un niño pequeño hasta la dominación de todo un pueblo. No es de extrañar que el miedo sea uno de los argumentos más frecuentemente utilizados para “motivar” la gestión de la seguridad en una organización. Prácticamente todas las presentaciones realizadas por cualquiera de los actores del “sector” a alguno de sus clientes dedican un gran porcentaje en su inicio a mostrar las miríadas de males que acechan ahí fuera.

Otro argumento utilizado es el cumplimiento normativo. En España casi todas las organizaciones se ven empujadas a cumplir con la “Ley Orgánica de Protección de Datos (LOPD)” y, dependiendo del sector, con algunas más particulares, por ejemplo: los organismos públicos con el “Esquema Nacional de Seguridad”. El razonamiento positivo de este bloque debería ser el de contribuir a la difusión y aumento del uso de sistemas de información por parte del ciudadano, ganándose su confianza al saber que sus datos y los sistemas que los tratan están especialmente bien gestionados/protegidos. Sin embargo, según aprecio en mi día a día, nuestra cultura suele interpretar el ordenamiento jurídico en negativo: actuamos de acuerdo a la ley porque si no nos sancionan. Y si esto es así, el miedo vuelve a ser el principal agente motivador.

El tercer argumento, con el que siempre me he sentido más identificado, apuesta por alinear la seguridad con los objetivos de la organización. A la respuesta de: ¿para qué gestionamos la seguridad?, este argumento responde: para incrementar los ingresos, disminuir los gastos o aumentar nuestro prestigio.

Los dos primeros argumentos nos llevan a movimientos tácticos: decidimos con qué recursos, técnicos o humanos, nos defendemos de “los malos” y cumplimos con el ordenamiento normativo. El tercer argumento nos conduce a un planteamiento estratégico: ya hemos respondido al “para qué”, pero aún nos quedaría responder al: qué, cómo, a quién y por qué. Hallar estas respuestas depende de cada organización y es lo más difícil.

El miedo, cuando sobrepasa ciertos umbrales, pone a la víctima bajo el “efecto túnel”: si la emoción es demasiado intensa, la visión periférica se reduce y, junto con la atención, se concentra en el arma que esgrime el atacante. La víctima podrá describirla con precisión pero no registrará detalles importantes para la identificación del agresor: su ropa, su voz, sus rasgos, etc. La víctima se pierde todo lo que ocurre a su alrededor, incluyendo lo que hay detrás del atacante. Esta es una de las principales causas de disparos accidentales entre agentes de la policía.

Deberíamos evitar este “efecto túnel” que nos lleva a concentrarnos en un determinado aspecto de la seguridad para dedicar mayor tiempo a pensar cómo plantearla estratégicamente, contribuyendo a alcanzar los objetivos globales del “negocio”. Una vez que la organización es consciente del enfoque global y estratégico de la seguridad, debería plantearse una serie de medidas tecnológicas, organizativas y formativas para ir disminuyendo el riesgo que asume.

En los siguientes post nos centraremos en aspectos más tecnológicos de la seguridad. Analizaremos casos de uso, productos y servicios concretos. Detallaremos las “buenas prácticas” que están siendo emprendidas en los diferentes sectores, e intentaremos compartir con todos vosotros aquellas tendencias dignas de ser tenidas en cuenta para la evolución de la seguridad en nuestra organización.

Dejar comentario.

El peligroso camino hacia la distopía

Creo que a nadie se le escapa que vivimos tiempos difíciles. El recorte de libertades individuales, justificadas por toneladas de miedos: el terrorismo internacional, los mercados, las hordas de hackers que acechan cada paso que damos en Internet, etc., y que constituyen la versión del infierno moderno, está provocando la parálisis pertinente en la población, lo que permite a sus gobiernos recorrer peligrosos caminos que nos conducen hacia sociedades cada vez más parecidas a las distópicas descritas en: Un mundo feliz, 1984, ambos libros de obligada lectura, o en V de Vendetta, de obligado visionado.

En los últimos días hemos podido leer en la prensa palabras como estas: "la nueva legislación requerirá de una orden de búsqueda para que el servicio secreto pueda acceder al contenido de las llamadas o los emails. Sin embargo, no habrá necesidad de que medie un juez para que soliciten un rastreo exhaustivo de la actividad de un usuario. De esta forma, los servicios secretos podrán saber en todo momento con quién se comunican los ciudadanos".

Párrafos inmersos en artículos que hacen referencia a los intentos legislativos del gobierno británico para controlar las comunicaciones del que por allí pase: "todos los datos de las cuentas personales de Internet o de los móviles podrían ser monitorizados, según la legislación". Y en EE.UU. ya van por el tercer intento.

Aunque parece que está encontrando cierta resistencia en su propio parlamento, intentos así hacen que mi preocupación aumente: ¿qué estamos haciendo mal las personas que constituimos las generaciones que toman decisiones de gobierno? ¿de qué tenemos tanto miedo? ¿por qué se nos olvida tan pronto lo ocurrido en regímenes políticos que mutilaron las libertades básicas de los individuos?

Y es que este tipo de decisiones, en mi opinión, siempre acaban siendo malutilizadas contra el débil o en beneficio propio de la clase dirigente (véase también "La vida de los otros"). Siempre he pensado que quien de verdad quiere burlar la ley se dota de elementos que así se lo permiten. En el caso que nos ocupa todo pasa por cifrar la información con algoritmos y claves lo suficientemente fuertes, utilizar cauces de intercambio diferentes a los masivos (comunicaciones cifradas hacia algún servidor dedicado, también cifrado, escondido bajo alguna IP pública). Técnicas que dificultarían sumamente la interceptación de sus comunicaciones y que reducirían la efectividad de este tipo de medidas a sólo aquellos que no las utilizan: el ciudadano normal y corriente, una vez más.

Existe, a mi juicio, una delgada línea roja que nunca ha de ser traspasada si no queremos vernos inmersos en un estado absolutista: el acceso a información privada sólo ha de ser posible previa orden judicial. Quiero pensar que en las sociedades en las que vivimos actualmente, caracterizadas por un sistema garantista de libertades individuales, todos partimos siendo inocentes hasta que se demuestra lo contrario. Por tanto, hasta que no haya indicios fundados de que podemos ser "peligrosos" para la sociedad el poder no debe espiarme, y si cree necesitarlo ha de estar autorizado por un juez. Reparto de poderes que evita los abusos de la concentración. Ha costado mucho conseguir esto para que nos lo comencemos a cargar en varios plumazos.

Como dije en uno de los debates que surgieron en el último curso de seguridad de la información que impartí: todo es posible y todo depende de una decisión política si el pueblo no expresa lo contrario (y a veces, en mis horas bajas, sospecho que incluso expresándolo). Así de fácil. Así de débil.

Dejar comentario.

Lisbeth Salander and Information Security

I wrote about the book "The girl who played with fire" on this blog some days ago. Today I would like to write about the information security aspects that appear in the novel.

Once again, the author is very well informed about the subject. Lisbeth has developed her own trojan (software that is intended to perform, simultaneously, a desirable (expected) effect and a covert (unexpected) effect) called "Asphyxia 1.3". You can read this direct description:

She fished out a CD from the inside pocket of her jacket and pushed it into the hard drive, then started a programme called Asphyxia 1.3. She had written it herself, and its only function was to upgrade Internet Explorer on Armansky's computer to a more modern version. The procedure took about five minutes. When she was done, she ejected the CD and rebooted the computer with the new version of Internet Explorer. The programme looked and behaved exactly like the original version, but it was a tiny bit larger and a microsecond slower. All installations were identical to the original, including the install date. There would be no trace of the new file. She typed in an FTP address for a server in Holland and got a command screen. She clicked copy, wrote the name Armansky/MiltSec and clicked OK. The computer instantly began copying Armansky's hard drive to the server in Holland. A clock indicated that the process would take thirty-four minutes.

This software continues synchronizing every file modification that happen on the local hard disk with the copy that has been done on the "cloud". This activity is done without the user knowledge. The software permits the session hijacking and avoids tracking the IP address (as happens when "hackers" use emails, p2p and so on to get information).

He opened the document properties and saw that the text had been created not fifteen minutes before. Then he smiled. The document showed Mikael Blomkvist as its author. She had created the document in his computer with his own licenced Word programme. That was better than email and did not leave an IP address that could be traced, even though Blomkvist was sure that Salander in any case would be impossible to trace through the Internet. And it proved beyond all doubt that Salander had done a hostile takeover—her term—of his computer.

But following paragraph is the one I like best:

• How'd you do that?
• Four computers in his household. Can you

imagine?—they have no firewall. Security zero. All I had to do was plug in the cable and upload. My expenses are 6,000 kronor. Can you handle it? … Within an hour she had read all the reports that Inspector Bublanski had sent to Ekström. Salander suspected that, technically, reports like these were not allowed to leave police headquarters. It proved once again the theory that no security system is a match for a stupid employee. Through Ekström's computer she gleaned several important pieces of information.

This is one of the biggest security hole that all organizations in the world has. That is why it is considered the Achilles' heel of their security systems, where many technologies are working together without getting relevant results. It also highlight the weakest link in the security chain: the human factor and his training.

Dejar comentario.

Lisbeth Salander y la seguridad

Hace unos días hablaba aquí del libro "La chica que soñaba con una cerilla y un bidón de gasolina". Dejé pendiente una continuación centrada exclusivamente en los aspectos más relevantes que recogía el libro concernientes a la seguridad de la información y técnicas de intrusión.

A este respecto encontramos un conjunto de ideas otra vez genialmente documentadas. Lisbeth ha desarrollado su propio "troyano" denominado "Asphyxia 1.3". Os dejo la descripción textual:

"Su única función consistía en actualizar el Internet Explorer del disco duro de Armanskij con una versión más moderna… el programa presentaba el mismo aspecto y se comportaba exactamente igual que la versión original, pero era un poco más grande y un microsegundo más lento. Todas las configuraciones eran idénticas al original, inclusive la fecha de instalación. No se apreciaba ninguna huella del nuevo programa. Escribió una dirección ftp de un servidor de Holanda y le apareció una ventana. Hizo clic en la casilla de copy, escribió "Armanskij/MiltSec" y le dio al OK. Inmediatamente el ordenador empezó a copiar el disco duro de Armanskij en el servidor de Holanda. Un reloj le indicó que el proceso iba a tardar treinta y cuatro minutos".

El mismo software sigue sincronizando los cambios del disco duro local con esa copia realizada en la red, pasando desapercibido, y permite el robo de sesión del usuario que está frente a la máquina, evitando el rastreo de la dirección IP:

"El autor era Mikael Blomkvist. Ella había creado el documento en su ordenador y con su propia licencia. Era mejor que un correo electrónico y no dejaba ningún número IP susceptible de ser rastreado, aunque, de todos modos, Mikael estaba convencido de que sería casi imposible rastrear a Lisbeth Salander a través de la red".

Pero lo que más me ha gustado ha sido esto:

"…Lisbeth sospechaba que Ekström, sencillamente, pasaba de las normas, se llevaba el trabajo a casa y se conectaba a Internet sin ningún cortafuegos. Una vez más, eso demostraba su tesis de que no hay mejor grieta en un sistema de seguridad que el más tonto de los colaboradores. Gracias al ordenador de Ekström obtuvo información esencial".

Una de las grandes brechas de seguridad que muchas de las organizaciones hoy mismo siguen considerando como su talón de Aquiles y para la que se siguen imaginando muchas técnicas de protección. Pero que pone de manifiesto ese eslabón débil de la seguridad: el factor humano y su formación.

Dejar comentario.

Una contra el mundo o "La chica que soñaba con una cerilla y un bidón de gasolina"

Siempre me han llamado la atención este tipo de historias. Tiran de mí con tanta fuerza que no puedo escapar. Supongo que se debe a ese idealismo que se niega a desaparecer por más que me de de bruces contra la dura realidad. Ese que la propia Lisbeth Salander refleja en este pensamiento sobre Mikael Blomkvist: "un salvador del mundo que pensaba que podría cambiarlo todo con un libro".

La Navidad pasada leí "Los hombres que no amaban a las mujeres" por curiosidad. Esta he leído "La chica que soñaba con una cerilla y un bidón de gasolina" por necesidad.

Para acompañar a este sueño he elegido "Blackbird", tema recogido en el álbum "Light and Shades" de mi admirado Mike Oldfield.

Es difícil escribir sobre un libro sin revelar nada que pueda destrozar su lectura, pero en este caso creo que la tarea puede ser más fácil: hay infinidad de detalles secundarios que permiten una segunda lectura más centrada en el "perfil hacker" de la protagonista y en las prácticas, habituales o no, de la seguridad informática.

Comparativamente, la trama de este segundo volumen de la trilogía es tan fantástica como la del primero (el tercero aún no lo he leído, probablemente lo haga la próxima Navidad): asesinatos, servicios secretos, investigaciones policiales y periodísticas, análisis psicológicos y nuestra peculiar protagonista, Lisbeth Salander, metidos en una coctelera, suavemente agitados y puestos a danzar cada uno con su propia música, con su propio registro. Estos son los ingredientes que aseguran el no poder parar de leer. Sin embargo el final me parece… una total ida de pinza (para no ser más concreto).

La documentación tecnológica es muy buena.

El hardware utilizado deja claro las preferencias por el mundo Apple. Lisbeth utiliza un PowerBook G4 de titanio conpantalla de 17 pulgadas (un pequeño tironcito de orejas para el escritor o el traductor - no se quién es el responsable - por esta frase: "doscientos gigabytes de memoria y mil megabytes de memoria RAM". Supongo que la primera "memoria" es el "disco duro". Además, el modelo está ligeramente "desajustado" respecto al catálogo oficial, pero existió), cada uno de los periodistas también coquetean con sus Apples. Sólo aparece un cutre Windows 95 en un concesionario de alquiler de vehículos con un disco duro de 280MB (¡qué tiempos!).

El software recogido va desde el Excel y el Word como simples herramientas ofimáticas hasta el del PGP para el cifrado de la información, pasando por el ICQ como software de mensajería instantánea. Sin descuidar las copias de seguridad cifradas en la red (primeros pasos del cloud computing ;-) ) y la destrucción segura de los archivos eliminados (con un software denominado "Burn" del cuál no he sido capaz de encontrar ninguna información en Google. Todo lo asociado a ese nombre describe funcionalidades típicas de software de grabación y no de "borrado seguro").

Pero no solo de tecnología vive el hombre. Guiños constantes a las matemáticas (Arithmetica de Diofanto, Teorema de Fermat e incluso una supuesta "biblia" escrita sobre la materia en 1999 en la Universidad de Harvard por el Dr. L. C. Parnault, de 1200 páginas "que recoge desde los antiguos griegos hasta los intentos actuales por dominar la "astronomía esférica"". Y que no existe), a la música ("No woman, no cry" de Bob Marley; "Maria" de Blondie; "Putting out fire" de David Bowie…) e incluso al amor:

No estaba enamorado de ella -eran más o menos tan incompatibles como podrían serlo dos personas cualesquiera- pero la quería mucho y echaba de menos a esa maldita y complicada mujer. Había creído que la amistad era mutua. En resumen, se sentía como un idiota.

Un libro lleno de verdades…

…¿O no?

Tú, ¿qué piensas?

P.D.: Respecto a cómo el libro recoge distintas facetas de la seguridad escribiré un artículo específico. Observo que este está quedando algo extenso.

Cloud Computing: mi reflexión

Nota: la primera parte de este artículo la puede encontrar aquí.

Y ahora sí, mi reflexión. Voy a intentar sorprenderos: ni una cosa ni la otra. Aquí cada uno intenta arrimar el ascua a su sardina. No todo es ni tan bueno ni tan malo. Veamos. ¿Qué haría yo si tuviera que analizar el subirme a la nube o no? Lo primero que me preguntaría es qué tipo de información es la que va a salir de mi empresa. Quizá sea aconsejable no comenzar por la información económico-financiera y sí por los catálogos comerciales, correo, etc. Lo segundo: ¿quién tiene que tener acceso a ella y cómo va a acceder (Red Privada "física", VPN, web, cliente de cualquier tipo…? No es lo mismo que accedan tres personas muy formadas en tecnología y seguridad que acceda el grueso de empleados (en el primer caso podemos llegar a confiar en que establezcan una VPN, en el segundo quizá haya que dársela ya hecha). Y digo esto porque los principales riesgos siguen estando en el uso que hacemos de la información y no tanto en dónde está alojada, contando con la seriedad de la empresa elegida, y así llegamos a… …La tercera pregunta: ¿está la información mejor cuidada en sus servidores o en los nuestros? Este análisis comparativo debería llevarlo a cabo uno mismo sin hacerse trampas en el solitario o, si te lo hacen, debería ser juzgado con todo el sentido crítico y a la vez limpio que seamos capaces. En fin, es habitual encontrarse con quien sabe la respuesta antes de hacerlo, ignorando variables que perjudican o ayudan a una u otra opción según interese. Y algunas de las cosas que hay que tener en cuenta son:

• ¿Contamos con el personal técnico necesario? ¿Cuánto tiempo dedica nuestro personal a tareas de "conservación"? ¿Están para esto o es mejor que se dedicaran a otras cosas?
• ¿Qué políticas de clasificación de la información y regulación de comportamiento tengo establecidas? ¿Qué formación tienen nuestros usuarios?
• ¿Están nuestros sistemas (servidores, almacenamiento, seguridad, etc.) bien operados/mantenidos: actualizaciones del software en general, protección física y lógica, monitorización, copias de seguridad, capacidad de restauración de información si fallo, detección de intrusiones…?
• ¿Qué inversión nos requieren? ¿Cada cuánto tiempo? ¿Qué gasto anual: conservación de la sala, luz, refrigeración, limpieza, extinción, soluciones de backups tanto eléctrico como de datos, control de accesos, comunicaciones LAN, mantenimientos…?
• ¿Contamos con el suficiente ancho de banda en nuestra red WAN para trabajar en la nube? ¿Cuánta información hay que mover (tipo, necesidad de trabajo en tiempo real, etc.)? ¿Cuánto más voy a gastar en comunicaciones?
• ¿Son lo mismo todas las cloud? ¿Es igual apostar por IaaS que apostar por SaaS? Dicho de otro modo, con un ejemplo: ¿es lo mismo utilizar gmail que alquilar un servidor y montar yo mi propia solución de correo?

Algunos ven como solución de compromiso a la cloud privada en grandes organizaciones (implementar la tecnología cloud en tus instalaciones para convertirte en proveedor multigrupo/multiempresa), y el uso de sistemas como eyeOS en servidores alquilados accesibles desde la red para PyMES y usuarios particulares… Yo pienso que todo esto son matices, aristas, del mismo problema. Sólo un análisis como el expresado en los párrafos anteriores, alejado de modas y tendencias, puede aportarnos la suficiente luz para elegir el camino correcto. Tus razones, tus prioridades, tu criticidad… sólo son válidas para ti. Y tú, ¿qué opinas? P.D.: estoy considerando hacer una hoja de cálculo en google-docs plasmando en ella todas las variables que hay que tener en cuenta para analizar un posible "caso de negocio" consistente en si es mejor o no ir a la nube. Si aportas tu granito de arena haciéndome llegar aspectos que creas importantes y he omitido, o pequeños refinamientos, matices, de lo que ya hay, la compartiré contigo. CREO TREMENDAMENTE EN LA INTELIGENCIA COLECTIVA/COLABORATIVA para llevar a cabo este tipo de tareas. ¿Te animas?

Dejar comentario.

Cloud Computing: pros y contras

El cloud computing está de moda. Todo es cloud. Es por eso por lo que quiero compartir con los lectores de este blog algunas reflexiones que he realizado sobre el tema.

Primero veamos qué se entiende por cloud computing. El siguiente vídeo creo que lo explica bien (no soy autor del mismo):

El lector crítico habrá notado cierta tendencia hacia lo positivo. Para compensar, vemos el siguiente vídeo. La primera parte es básicamente igual que el de arriba y peor contada, pero merece la pena esperar al final: es corto.

¡Cuanta inseguridad y falta de privacidad! ¡Cuidado con lo que hacéis! ¡Todo está perdido! ¿no?

Como el artículo final me ha quedado un poco largo, lo he dividido en dos. En el próximo artículo (que publicaré en unos días) continuaré.

Os dejo limpios, sin condicionar, y reflexionando ;-).

Nota: la segunda parte de este artículo la puede encontrar aquí.

Dejar comentario.

Sobre redes sociales, Google+ y falsas sensaciones de seguridad

Cada día son más frecuentes los indicios que en todos los ámbitos (personal/profesional, de compras/de viajes, etc.) vamos recogiendo sobre el uso y la importancia que el concepto de "red" va tomando en la actualidad. Parece que todo el mundo ha descubierto a la vez que el mantener el contacto con las personas que te interesan es beneficioso. A mi me gusta digerir y explicar el concepto de red en el sentido mas amplio de su palabra: no estamos hablando de redes de ordenadores (LAN, WAN, Wireless, etc.), ni de redes sociales por Internet (Facebook sigue siendo, por ahora, su máximo exponente)… quizá lo que más se le parece a la idea que quiero transmitir sea simple y llanamente una red de contactos, en su versión más genérica, que se soporta en diferentes "tecnologías" (desde simples llamadas de vez en cuando, cañas de cerveza dialogadas, hasta las diferentes implementaciones que se han ido creando en Internet) y que acaba especializándose, o fragmentándose en diferentes subconjuntos, según los intereses compartidos entre cada uno. Y así surge una red de amigos, una red de profesionales, una red de amigos que juegan al fútbol los jueves, una red de cervecitas los viernes después de trabajar… o una red de frikis del Linux ;-).

Una vez entendida y formada la red, el estudio de este tipo de "asociaciones" entre personas está vertiendo mucha literatura y es un campo de investigación multidisciplinar en la actualidad: identificación de roles (líderes -con mayor influencia sobre los demás- y seguidores), estudio del crecimiento y decrecimiento, cómo se organizan, cómo se interrelacionan (tanto internamente -los individuos que las componen- como externamente -entre ellas-), qué hace que un determinado mensaje cale y se propague con más o menos virulencia, etc.

Tanto es así que algunas compañías están destinando cada vez mayor presupuesto, y por tanto mayor esfuerzo, en utilizarlas como vehículos de selección de personal, lanzamiento de productos, reputación de imagen corporativa… o simplemente como un canal de "ida y vuelta" que les permite pulsar a sus clientes y recuperar su opinión, con la potencia que esto tiene para realizar, por ejemplo, estudios de mercado en sus diferentes formas o soporte a incidencias. Si me animo, escribiré un artículo sobre cada uno de estos usos.

Aunque este concepto de "interrelación" ha existido en diferentes formas durante toda la vida de la humanidad, parece que ha sido ayer mismo, con el lanzamiento sobre Internet: Facebook, Tuenti, Twitter, etc., cuando ha surgido. Estas diferentes implementaciones permitían, en mayor o menor grado, crear tu grupo de contactos online y compartir con ellos pensamientos/opiniones, fotos, localización, etc. Creo que la principal ventaja apreciada ha sido su potencia para mantener un nivel de interrelación muy rico, en vivo y en directo. *Y estoy seguro que su mayor desventaja ha sido su escaso control sobre lo compartido y la privacidad, por ende, del que lo compartía o formaba parte de él*(una foto indiscreta, por reflejar un ejemplo simple).

En este contexto nace Google+ (28 de junio de 2011). La enésima apuesta de Google por participar en este "juego". Esta vez parece que le va a ir mejor que las anteriores. A mi juicio la idea que la sustenta, los círculos, es tan potente como falsa. Me explico: la filosofía con la que han ido naciendo las implementaciones anteriores era que hacía falta una relación de amistad, aceptada recíprocamente por dos individuos, para formar parte cada uno de ellos de la red del otro. Tras este paso inicial, todo lo compartido en tu red era visible por todos tus amigos, incluso por los amigos de tus amigos. Esto dio lugar a problemas de privacidad -sensación de pérdida de control sobre lo que se publicaba-. Luego se han ido refinando las posibilidades hasta permitir fijar permisos sobre lo que se comparte: accesible a todo el mundo, compartir sólo con alguien determinado, y todas las posibilidades intermedias. Pero la usabilidad de esto, al no haber nacido con la concepción inicial de las plataformas, ha sido difícil de entender por muchos usuarios. Google+ nace incorporando esto en su ADN, como podéis ver en el vídeo que dejo abajo (que no es mío, su autor aparece justo al principio).

Y si tras ver el vídeo pensáis que todos los problemas de privacidad han sido resueltos, ¡os equivocáis!

Os aconsejo que penséis en los círculos como una herramienta que te da parte de control sobre con quién compartes y hasta dónde compartes (esto no se ve en el vídeo pero Google+ permite fijar la prohibición de que alguien con quien tú compartes, a su vez, también comparta lo que recibe de ti). Perfecto, ¿verdad?

Pues no, ¡SIEMPRE ES POSIBLE HACER UNA CAPTURA DE PANTALLA!

Es verdad que si compartís una foto de vuestro bebe con vuestro círculo "familiar", presuponiendo que en él estén las personas bien seleccionadas, es difícil (que no imposible -fallos de seguridad siempre puede haber-) pensar que dicha foto va a acabar en manos de un pedófilo (por ser brusco e impactar)… pero, ¿qué pasa si esa misma foto la compartís con un círculo de "amigos" y alguien no lo es tanto, o deja de serlo, o le "hackean" su pc, su cuenta…

La idea de los círculos me parece genial pero hay que tratarla con mucho cuidado y responsabilidad.

Mi consejo: pensad que todo lo que compartís por Internet corre el riesgo de acabar siendo público antes o después, contad hasta diez y actuad con el mayor cuidado posible.

Tras la técnica siempre hay un ser humano. Google+ aporta lo mejor de la técnica hasta el momento. Las intenciones, buenas o malas, sólo son controlables por el ser humano que está detrás.

Y tras esto, ¿nos circulamos? }:-)

Dejar comentario.

Ventajas y dificultades de la adecuación al ENS

En el último número de la revista "DINTEL alta dirección" (Época II - Número 16 - Abril/Mayo'2011) he publicado un artículo titulado: "Ventajas y dificultades de la adecuación al ENS", formando parte de una serie que sobre el mismo tema han publicado otros autores. Podéis encontrar todos los artículos en formato pdf aquí.

Intenté reflejar en él aquellas opiniones más comunes que he venido encontrando en foros de profesionales que se han enfrentado, o están planeando enfrentarse, a la adecuación de sus organizaciones al Esquema Nacional de Seguridad.

Os dejo mi artículo adjunto al final de éste y espero conocer vuestras opiniones sobre el tema: ¿Creéis que el ENS os está ayudando? ¿En qué sentido? ¿Qué se os está haciendo más cuesta arriba? ¿Alguna puntualización a lo dicho?

Como siempre, un placer compartir.

Seguridad de la información en las organizaciones

"La información es uno de los principales activos de las entidades públicas o privadas, siendo considerada por algunos autores como la verdadera ventaja competitiva de éstas. Su correcto tratamiento posibilita adquirir nuevo conocimiento y su protección contribuye a rentabilizarlo, no solo aumentando ingresos sino evitando costes".

Así comienza el último artículo que he escrito colaborando con la revista editada por el Colegio de Ingenieros de Telecomunicación de Andalucía Occidental y Ceuta: "Telecos Andaluces 04"

Podéis encontrarlo en el archivo pdf adjunto. Es para mi un placer compartirlo con los lectores de este blog. Y mayor placer aún recibir vuestros comentarios, sugerencias e ideas. ¿Habéis detectado algo similar? ¿Algunas soluciones? ¿Enfoques alternativos?

Seguimos.

Avast antivirus en GNU/Linux

Desde hace tiempo todo lo que descargo de Internet lo hago en una máquina GNU/Linux. La resistencia de este sistema operativo, hoy por hoy, frente a virus es mucho mayor que la de un windows. Así, descargar en un GNU/Linux e intentar chequear lo descargado sobre este sistema, antes de sacarlo a una "caja windows", es bastante saludable.

Basta una búsqueda en google para encontrar varios antivirus gratuitos para GNU/Linux. Yo me he inclinado por Avast, pues su uso es bastante simple y no carga ningún demonio en la máquina, por lo que no hace que esta vaya más lenta. Esto nos obliga a hacer "escaneos" bajo demanda pues no hay módulo residente. Es justo lo que necesitaba…

Y lo simple si funciona, dos veces bueno. }:)

Descargar versión desde aquí:

[19:26:47(godo@surco)~/temp]> wget http://files.avast.com/files/linux/avast4workstation_1.3.0-2_i386.deb

--2010-12-05 19:46:52--  http://files.avast.com/files/linux/avast4workstation_1.3.0-2_i386.deb

Resolviendo files.avast.com... 67.228.147.162, 74.55.40.226, 74.55.48.42, ...

Connecting to files.avast.com|67.228.147.162|:80... conectado.

Petición HTTP enviada, esperando respuesta... 302 Found

Localización: http://download834.avast.com/files/linux/avast4workstation_1.3.0-2_i386.deb [siguiendo]

--2010-12-05 19:46:52--  http://download834.avast.com/files/linux/avast4workstation_1.3.0-2_i386.deb

Resolviendo download834.avast.com... 174.120.185.10

Connecting to download834.avast.com|174.120.185.10|:80... conectado.

Petición HTTP enviada, esperando respuesta... 200 OK

Longitud: 29093380 (28M) [text/plain]

Saving to: `avast4workstation_1.3.0-2_i386.deb'



100%[===============================================================================================================================>] 29.093.380   543K/s   in 51s



2010-12-05 19:47:44 (553 KB/s) - `avast4workstation_1.3.0-2_i386.deb' saved [29093380/29093380]



[19:27:44(godo@surco)~/temp]>

Actuando como "root", instalar así:

[19:34:11(root@surco)~]> dpkg -i avast4workstation_1.3.0-2_i386.deb

Al finalizar la instalación os pedirá que vayáis a una URL de avast y os registréis, gratuitamente, para obtener una licencia, la cual tenéis que teclear.

Comandos disponibles:

[19:39:35(root@surco)/home/godo/temp]> avast

avast         avastgui      avast-update

Scripts útiles para ser ejecutados al inicio: Actualización:

[19:42:50(godo@surco)~/bin]> more avast-get-update

#!/bin/bash



# Hacemos ping a una dirección IP pública

# security.debian.org

/bin/ping -c 5 -W 1 212.211.132.32



# Informamos y ejecutamos "apt-get update"

echo "Actualizando las firmas de virus... " > /tmp/avast-update

/bin/date >> /tmp/avast-update

/usr/bin/avast-update && /usr/bin/avast -V >> /tmp/avast-update

echo "Fin de la actualizacion" >> /tmp/avast-update

/bin/date >> /tmp/avast-update



#

# FIN del script.

#

[19:42:55(godo@surco)~/bin]>

Escaneo de un directorio:

[19:42:48(godo@surco)~/bin]> more avast-scan

#!/bin/bash



# Esperamos 5 minutos -> 5 * 60 = 300

ping -c 300 127.0.0.1



# Escaneamos el directorio de descargas

echo "Escaneando directorio de descargas " > /tmp/avast-scan.txt

/bin/date >> /tmp/avast-scan.txt

/usr/bin/avast -a -r /tmp/avast-scan.txt /mnt/vm/aa-almacen/*

echo "Enviando mail..."

/usr/bin/mail -s "Escaneo antivirus del directorio de descargas" g...@gmail.com m...@gmail.com  < /tmp/avast-scan

.txt

echo "Mail enviado."



#

# FIN del script.

#

Y eso es todo. A disfrutar de un mundo un poco más ¿seguro? ;-)

Dejar comentario.

avast: can not initialize avast! engine: Argumento inválido

sysctl -w kernel.shmmax=128000000

kernel.shmmax=128000000

SSH

SSH es una aplicación que vino a sustituir al ajado Telnet. Se utiliza para hacer conexiones a sistemas remotos, permitiendo su administración por un "canal seguro" ya que todo el tráfico que se envía desde un sistema hasta el otro está cifrado.

Puedes encontrar más información aquí.

Y en el archivo que adjunto viene una guía de configuración de la implementación libre "OpenSSH". En su día la encontré aquí (http://sial.org/howto/openssh/publickey-auth/) pero hoy esa página ya no responde. Menos mal que la imprimí a un pdf ;-).

Identidad en Internet (I)

A continuación os dejo el artículo número 8 que, continuando mi línea de colaboración, he publicado en el blog del Colegio Oficial de Ingenieros de Telecomunicación de Andalucía Occidental y Ceuta. Divulgad que algo queda ;-)

Un par de lecturas de este verano me han sugerido escribir aquí sobre la identidad en la Red (algunos dirán en la nube), los peligros que la acechan y las posibles formas de protegerla.

Cuando nos adentramos en el concepto identidad vemos la gran problemática que ha originado desde la antigüedad griega, pasando por la época moderna, hasta nuestros días. Y los que seguirá ocasionando en un futuro. En este artículo simplificaremos para poder delimitar el problema y abordar, si cabe, la solución que nos interesa.

Identidad es uno de esos conceptos que se define “hacia fuera” y “hacia dentro”. El primer caso, “hacia fuera”, es el que nos interesa a nosotros y es el que el DRAE recoge en sus acepciones: “2. Conjunto de rasgos propios de un individuo o de una colectividad que los caracterizan frente a los demás. 3. Conciencia que una persona tiene de ser ella misma y distinta a las demás”. Como podemos observar en todas estas acepciones “los demás”, los otros, son necesarios para observar diferencias a través de las interrelaciones establecidas. El segundo caso, “hacia dentro”, es el que le preocupa a los filósofos y responde a las preguntas: ¿quiénes somos? o ¿cómo y cuándo dejamos de ser lo que somos? (resulta curiosa la lectura de la “Paradoja de Teseo”).

Algunos rasgos que construyen nuestra identidad son: nuestro físico, nuestros recuerdos, nuestros sentimientos, nuestras inquietudes, el sentido del humor, etc. Hasta esta época el conjunto de estos elementos estaba tan ligado a nuestro espacio y a nuestro tiempo que era tan fácil de controlar que pasaba desapercibido. Pero, ¿qué está ocurriendo en la Red masivamente y en la “tecnosociedad” en general? La tecnología posibilita la construcción, la copia, la destrucción, la “perennidad” (en un futuro quizá la “inmortalidad”, como sugieren los cuentos referenciados al comienzo del artículo) de identidades, y así, la pérdida de control sobre las mismas con los problemas que esto causa.

Avancemos pues desde lo más simple hasta lo más complejo para ver qué está ocurriendo en Internet.

En un principio, cuando escasamente interactuábamos en la Red, lo único que nos identificaba en ella era nuestro nombre (login) y nuestra contraseña (password). Parece que ha pasado mucho tiempo pero hace tan sólo 10 años, aproximadamente, la web era estática, la información fluía desde el emisor hasta el receptor, y casi todos éramos destinatarios de la misma con escasas posibilidades de verter comentarios, indicar si “me gusta / no me gusta”, compartirla con nuestros amigos; había pocas “cookies” que se interesaran por nuestros sitios frecuentados y el correo no vivía perennemente en el servidor sino que se descargaba habitualmente (algunos hemos convivido con pop1/pop2 y convivimos con pop3) a nuestra máquina. Aquí el principal riesgo era el robo de nuestras credenciales, login y password, cosa no muy difícil pues viajaban sin cifrar y bastaba una simple captura de tráfico para obtenerlas. Un ataque a la privacidad en toda regla, pero limitado: sólo se obtendría el correo no descargado aún. La mejor defensa entonces: cambiar la clave frecuentemente, obligando a que la captura de ayer no fuera útil para hoy, y minimizar el número de sondeos de correo nuevo contra el servidor. Nadie lo hacía: todos aprendimos a convivir con el riesgo. Lo interiorizamos, supongo. Actualmente, cuando el acceso a estos servicios se debería plantear de forma cifrada, hay que incidir en la fortaleza de la contraseña (la típica mezcla de mayúsculas, minúsculas, números y signos), pues el ataque por fuerza bruta (prueba y error de sucesivas contraseñas hasta encontrar la válida) cobra mayor peso.

Posteriormente la Red evolucionó, la web pasó a llamarse “web 2.0”; el correo, “correo web”; los foros y chats se convirtieron en espléndidas “redes sociales” y la mensajería instantánea añadió tráfico multimedia: intercambio de fotos, voz y video en tiempo real.

Y a todos se nos olvidó ese viejo consejo que nos daban nuestras madres: “niño, no hables con extraños, ni te acerques cuando te ofrezcan caramelos”.

Continuará.

Dejar comentario.

El factor humano

A continuación os dejo el artículo número 7 que, continuando mi línea de colaboración, he publicado en el blog del Colegio Oficial de Ingenieros de Telecomunicación de Andalucía Occidental y Ceuta. Divulgad que algo queda ;-).

No es raro encontrar en toda la literatura existente sobre seguridad de la información en los diferentes contextos (doméstico, empresarial), la idea que señala al factor humano como el eslabón más débil de la cadena, metáfora que recoge las diferentes componentes del proceso de seguridad como si de eslabones se trataran de la misma: gestión del hardware, gestión del software, aspectos organizativos, gestión de incidentes, adecuación legal… sin entrar en detalles y abusando del término “gestión”. Asimismo, tampoco es raro encontrar la solución que, como si de algún hechizo mágico se tratara, todos repetimos para fortalecer ese eslabón más débil: formación. Y, aunque en los últimos años han aflorado algunos “máster de seguridad”, basta una búsqueda en google para ver que los más antiguos rondan los 10 años y casi todos ellos se imparten en Madrid. También es verdad que de los pocos que aparecen, menos aún, a mi modo de ver, están bien estructurados: casi todos cargan demasiado las tintas en los aspectos técnicos y minimizan la parte dedicada a la gestión, y al sentido común que permite alinear la seguridad y el negocio, entendiendo negocio como el objetivo último de la empresa u organización. Ese que no se puede sacrificar en pos de la seguridad y que algunos olvidan.

Durante este mes de julio he participado en la selección de un grupo de personas que trabajarán en un proyecto donde, entre otras muchas tareas relacionadas con la seguridad, se dedicarán a gestionar incidentes de seguridad. Buscábamos dos tipos de características en ellos: tenían que tener suficiente base técnica para entender lo que pudiera ocurrir y, aún más importante si cabe, las suficientes destrezas o habilidades para poder relacionarse con diferentes tipos de interlocutores, más o menos técnicos.

Entre la “base técnica” buscábamos conocimientos de teoría y diseño de redes, de soluciones de seguridad, de los diferentes componentes que las conforman, de amenazas típicas (desde el malware a la ingeniería social), de vulnerabilidades, su explotación y uso, de sistemas Windows y Unix, de diferentes tipos de ataques y herramientas para llevarlos a cabo y, en general, de toda la nomenclatura que se ha ido acumulando: phising, botnets, pharming, DDoS, etc.

La principal conclusión que hemos obtenido todos los que hemos participado en este proceso ha sido que, aunque hemos entrevistado a personas procedentes de diferentes titulaciones (Ingeniería Informática, Ingeniería de Telecomunicación, Ciclos Formativos de Grado Superior, etc.) todos compartían una misma característica: el 80% de los conocimientos que buscábamos los habían adquirido por su cuenta, autoformándose, y sólo el 20% de los mismos habían sido adquiridos en su titulación (abusando ahora del principio de Pareto). Afirmándose así la idea con la que abríamos este artículo que, a su vez, ha sido ratificada por los alumnos y profesionales con los que compartí una ponencia, también este mes de julio, en los "XI Cursos universitarios de verano Intendente Olavide" de la Universidad de Jaén.

Pero, ¿estamos haciendo lo suficiente por fortalecer ese eslabón más débil? En Andalucía es difícil encontrar profesionales con conocimientos en seguridad de la información, y aún más a profesionales con experiencia. Siendo optimista, y creyendo que ser conscientes del problema es el primer paso hacia su solución, comienzo a observar algunos movimientos en los planes de estudio adaptados a Bolonia que se aproximan a lo necesario. Pero son muy pequeños e insuficientes… veámoslos como un primer paso para conseguir algo más. Mientras tanto, sigamos autoformándonos.

Dejar comentario.

Seguridad en el puesto de trabajo. Antivirus.

A continuación os dejo el artículo número 6 que, continuando mi línea de colaboración, he publicado en el blog del Colegio Oficial de Ingenieros de Telecomunicación de Andalucía Occidental y Ceuta. Divulgad que algo queda ;-).

Esta semana me he reunido, de forma independiente, con dos de los fabricantes líderes en el mercado de la seguridad en el puesto de trabajo (omitiré nombres para que no se enfaden el resto) y, como si se tratara de un mecanismo de relojería perfectamente sincronizado, describían la situación actual de forma muy parecida. Veámoslo. Ambos contaban, obviamente, con un laboratorio (simplificando) que viene analizando históricamente todas las muestras de “malware” que sus distintas sondas/clientes les van haciendo llegar. Fruto del análisis en profundidad de cada una de las muestras por máquinas que automatizan, en la medida de lo posible, la búsqueda de código malicioso y de aportaciones puntuales de inteligencia de expertos analistas humanos, generaban los famosos ficheros de firmas a los que estamos acostumbrados por los mensajitos de actualización que lanzan todos nuestros antivirus de puesto de trabajo (se denominan así para diferenciarlos de aquellos antivirus que se despliegan en el perímetro de las organizaciones intentando contener la entrada de infecciones: antivirus de navegación web, antivirus de correo, y poco más) cada vez que se actualizan.

También coincidían en que ese modelo reactivo de contención de las amenazas basándose en el ciclo descrito y que finaliza con desarrollo de la firma/vacuna “*está acabado*” como estrategia de defensa, y que pervive en la práctica, y lo hará durante varios años más, porque los otros enfoques estratégicos (de los que hablaremos en futuros artículos) aún no han alcanzado la madurez suficiente para acabar con el primero. Aunque, como veremos, los pasos se van dando.

¿Por qué está “acabado” el modelo actual? La cifra concreta que daba cada uno de ellos difería pero el orden de magnitud era parecido: cada día llegan a sus laboratorios cientos de miles de muestras nuevas (en un solo día actual llegan tantas muestras como las conocidas hasta el año 2003. ¡Impresionante!), y el crecimiento es exponencial. Muchas de estas muestras son variaciones sobre el mismo código patrón, utilizadas por “los malos” para despistar a “los buenos”: mientras trabajan en ellas cabe la posibilidad de que se les escape un porcentaje bajo, pero suficiente, para seguir haciendo estragos.

¿Qué pasos están dando para contener esto? Todos se están centrando en un modelo de negocio de “Software como Servicio” (Software as a Service – SaaS). Concepto que cada vez vais a ir oyendo con más frecuencia, y que quiere decir lo siguiente: el software se monta en un servidor de internet y el servicio que antes prestaba cuando lo montabas en tu máquina ahora se presta desde allí. Puede servirnos como ejemplo un servicio al que nos hemos ido acostumbrando poco a poco y que hoy es abrumadoramente mayoritario: el correo web. Antes casi todos teníamos nuestro cliente de correo en nuestro PC, ahora casi todos utilizamos servicios como Gmail / Hotmail / Yahoo mail (perdón por los ejemplos concretos pero creo que es lo mejor para conseguir explicarme). Antes teníamos la música en nuestro ordenador, ahora utilizamos Spotify. Antes utilizábamos una “suite ofimática” ahora tenemos Google docs y la propia Office de MicroSoft en su versión 2010 está disponible como servicio en la web… en fin.

¿En qué consiste, y qué ventajas tiene, un antivirus en la nube? Si lo definiéramos en terminología industrial: acortar el ciclo de producción. Toda la inteligencia está ubicada en ese servidor que reside en Internet (la nube). Ese servidor, que en realidad es una granja de servidores muy potentes, maneja los millones de firmas conocidas en diferentes ficheros, y es capaz de correr, en tiempos infinitamente menores que los que consumirían nuestras máquinas, complejos algoritmos de detección heurística. Además se nutre de los envíos de cientos de miles de personas que han instalado un agente ligero (consume pocos recursos en nuestra máquina) y cuya comunicación con los servidores no podemos desactivar por lo malo (nos acabaríamos infectando) y por lo bueno (colaboramos con los demás). Y es que, cuando este agente ligero sospecha de algún fichero lo bloquea, lo envía a la granja de servidores para su análisis, y espera recomendación sobre si permite o no su ejecución.

¿Qué gana el usuario de estos nuevos servicios? Tiene un agente instalado en su máquina más ligero que los habituales, que da menos problemas y que se gestiona centralizadamente, dispone así de más recursos para su trabajo habitual (nuestro ordenador ya no va tan lento cuando le instalamos el antivirus), en local sólo permanecen las firmas que identifican a los virus que están en el “top x” (también conocidos como “wild list”), es decir, los que actualmente tienen un mayor índice de actividad. Pero eso no quiere decir que estemos desprotegidos, cuando nuestro agente detecta un proceso cuyo “comportamiento” es sospechoso lo bloquea y pide ayuda como hemos explicado.

A esa forma de trabajar en la nube, en la que todos nos acabamos ayudando a todos porque lo que me afecta a mí, lo comparto, y probablemente no te acabe afectando a ti, se la conoce como “inteligencia colectiva”. Bonito nombre…

…y extraña sensación cuando lo escucho por echadla tanto en falta. Supongo.

Dejar comentario.

Servicios en la nube. El fantástico Dropbox

Si ya sabes lo que es Dropbox y simplemente quieres instalártelo consiguiendo 250MB más sobre los 2GB gratuitos, pincha aquí ;-). Si no sabes nada de él, sigue leyendo.

Hace tiempo, un compañero de la Universidad me envió una invitación a Dropbox. Vengo utilizándolo desde entonces y cuento con la suficiente experiencia para aconsejar su uso.

¿Qué es Dropbox? Dropbox es un software que al ser instalado en vuestro PC (da igual el sistema operativo que utilicéis pues hay versión para Windows, GNU/Linux y MAC) crea una carpeta con nombre "My Dropbox" y cualquier fichero que guardéis en ella es copiado a vuestro espacio en sus servidores.

¿Qué prestaciones nos brinda esto?

1.- Si repetimos el paso anterior (instalación de Dropbox) en varios de nuestros ordenadores o iPhones tendremos todos los ficheros que guardemos en la carpeta de "My Dropbox" de cualquiera de ellos disponibles (sincronizados) en el resto. ¡Esto es magnífico!

2.- Copia de Seguridad on-line. Todos vuestros ficheros, incluso los borrados, estarán disponibles desde vuestra cuenta de usuario en Dropbox. Tenemos una capacidad disponible inicial de 2GB para almacenar ficheros, los cuales podemos recuperar en cualquier PC donde instalemos, o reinstalemos (tras un formateo, por ejemplo) Dropbox.

3.- Pero, ¿qué pasa si borráis un fichero sin querer o hacéis cambios del mismo y luego detectáis que esos cambios no son oportunos? Es posible recuperar ficheros y carpetas borradas. También es posible recuperar versiones antiguas de documentos. Si hoy trabajamos en un fichero, y mañana también, en Dropbox habrá dos versiones almacenadas de ese fichero, y así hasta los últimos 30 días. A través del interfaz web podemos recuperar cualquiera de dichas versiones previas. La versión del fichero actual, la última disponible, siempre será conservada sin límite de tiempo. Sólo se van desechando las antiguas.

4.- Permite compartir de forma pública un fichero. Basta con guardarlo en la carpeta "Public" de "My Dropbox", pulsar sobre el botón derecho del ratón y seleccionar dentro del apartado "Dropbox" la opción "Copy Public Link". Tendremos una dirección "web" a ese fichero copiada en el portapapeles. Si ahora compartimos dicha dirección: por mail, página web, etc. nuestro destinatario o destinatarios (todo aquel que tenga acceso al enlace "pegado", por eso esta es la forma pública) podrá bajar de los servidores de Dropbox dicho fichero.

5.- La compartición privada de una carpeta entre varios usuarios, y sólo entre ellos, para trabajar en equipo, también es muy fácil: basta con entrar en nuestra cuenta de Dropbox a través de su página web y seguir los pasos indicados tras seleccionar "Share a Folder". En este caso todos los usuarios tendrán que tener cuenta en "Dropbox", por eso es privada.

A partir de ahora os será más fácil todo esto:

• Ya no será necesario distribuir grandes ficheros como adjuntos a los emails (evitando consumir espacio en servidores de correo que suelen limitarlo).
• Tampoco tendremos que copiar ficheros en "memorias USB" para moverlos entre diferentes ordenadores.
• Evitamos tener que renombrar ficheros para mantener un histórico de versiones. Lo tenemos en Dropbox (eso sí, recordad que sólo tendremos las versiones viejas existentes en los últimos 30 días). Siempre podemos volver a una versión anterior del mismo si la actual se corrompe.
• Tener un servicio de backup (básico) de nuestro trabajo. No sólo en los servidores de Dropbox sino distribuido en varios de nuestros ordenadores. Para manejar esto último ¡¡ojo con la sincronización!!: si borramos algo en uno de ellos lo borraremos en todos los que estén sincronizando, para evitarlo, tendremos que encender nuestro "segundo" ordenador sin conexión a Internet, o más fácil, acceder a nuestra cuenta de Dropbox y recuperar la versión que deseemos.

¿Y de la privacidad de mis datos qué? Pues hombre, no trabajo en Dropbox pero claman lo siguiente: los ficheros que se almacenan en sus servidores están cifrados con el algoritmo AES-256 (suficientemente fuerte a día de hoy), así, ninguno de sus empleados puede tener acceso a dichos ficheros descifrados. Además, el envío se realiza por túneles SSL, es decir, también cifrados. Y el resto depende de ti: piensa a quién invitas a tus carpetas privadas (ellos garantizan el acceso a sólo tu invitados), piensa qué compartes en tu carpeta pública, y protege tu cuenta con una password de acceso segura: si alguien consigue tu password ¡será tú! Y si todo esto no os parece suficiente pensar en lo que ocurre cada vez que enviáis un mail sin cifrar (pocos los enviamos de forma cifrada), adjuntos sin cifrar, documentos sin cifrar en USBs que se acaban perdiendo… en fin, que puestos a dudar extender la duda a lo que hacéis todos los días, incluso a las líneas de comunicaciones por donde pasan vuestros datos sin cifrar, ¿os habéis parado a pensar en eso?

¿Qué hay que hacer para utilizar Dropbox? Es tan fácil, y necesario, como pulsar aquí ;-).

¡A disfrutadlo!

P.D.: a modo de negocio, no me extrañaría nada que esta pequeña empresa fuera siendo adquirida por algún "Gran jugador" de servicios desde la "nube" (forma snob de llamar ahora a Internet)… yo lo haría.

Dejar comentario.

You can simply create a new folder in the ROOT of your dropbox, and name it "Public"

(note the capital P).

The ROOT means at at for example: C:\Users\John\Dropbox\Public

The Public folder will not work if you create within other sub-folders within Dropbox.

To get back the "globe icon", once you have created the new "Public folder", use Notepad and create a new file named "desktop.ini" within the Public folder. Write the following contents in the "desktop.ini" file (replacing the username John with your own Windows username):

[.ShellClassInfo]

IconFile=C:\Users\John\AppData\Roaming\Dropbox\bin\Dropbox.exe

IconIndex=-2101

InfoTip=A securely backed up place to put your important files.

Botnets y medios de comunicación

A continuación os dejo el artículo número 5 que, continuando mi línea de colaboración, he publicado en el blog del Colegio Oficial de Ingenieros de Telecomunicación de Andalucía Occidental y Ceuta. Divulgad que algo queda ;-).

Este mes de marzo ha saltado la noticia de la desactivación de la “Red Mariposa” que, desde España, controlaba millones de ordenadores esparcidos por todo el mundo. Aquí podéis leerla en tres medios distintos: 1, 2 y 3. Y como casi siempre, después de leer esto queda una sensación que podríamos describir como: “mucho ruido y pocas nueces”, que equivale a: “mucha alarma y poca formación”. Pues, ¿en qué consisten este tipo de redes conocidas como botnets? ¿Por qué se expanden? ¿Cómo operan? Y lo que es más importante, ¿cómo podemos intentar no caer en sus pegajosos hilos-trampa? “Bot” es una abreviación de “robot”. En este contexto un bot es un tipo de programa que, con malos fines, es instalado en un ordenador de forma “silenciosa”, pasando desapercibido a su propietario, siendo controlado en remoto por su dueño, conocido como “Bot Master”. Este tipo de programas suelen tener la capacidad de tomar el control completo del ordenador donde se instalan y de su funcionamiento en Internet, pero, al contrario de otro tipo de “malware”, su principal característica es no levantar sospechas. Pretenden así extenderse en el tiempo, despertando sólo cuando se le ordena, logrando formar verdaderos ejércitos denominados “Botnets”, redes de robots, uniéndose a gran cantidad de semejantes. Ejércitos dispuestos a lanzarse sobre el objetivo dictado por su “Bot Master” con tan sólo recibir la orden apropiada.

¿Qué buscan los “Bot Master” con estas “botnets”? La respuesta es cada vez más fácil: rentabilidad. Los “Bot Master” alquilan este tipo de redes a todo aquel que quiere hacer uso del gran potencial distribuido que brindan: spammers, scammers, phishers, grupos terroristas, etc. Presumen de su robustez y efectividad: ataques lanzados desde todas estas máquinas colonizadas consiguen ser más difícil de evitar que un ataque lanzado desde la propia máquina del “Bot Master”.

Sus principales vías de propagación son las habituales: correos electrónicos y redes de mensajería instantánea (ofreciendo increíbles videos o programas antivirus gratuitos que no hacen más que esconder bajo el plugin que falta para ver el video, en el primer caso, o bajo el falso antivirus, en el segundo, el verdadero software robot), páginas web especialmente diseñadas para ejecutar el código de instalación de dicho software en nuestra máquina con tan sólo ser visitadas con un navegador vulnerable y sin nosotros ser conscientes, redes peer-to-peer que ofrecen gratuidad con peligro, distribución de software por medio de redes sociales tras la “ingeniería social” correspondiente, etc.

¿Cómo funcionan? Una vez instalado el software en nuestro ordenador abrirá una conexión con algún servicio ofrecido desde Internet público: suscripción a grupos de noticias o a canales de chat (IRC), abriendo conexiones a redes peer-to-peer, etc., o privado: simplemente conectándose al servicio especialmente diseñado y alojado en su “propio servidor”. A través de esta conexión inicial el bot es capaz de recibir órdenes, actualizarse, e incluso desinstalar otros bots alojados en nuestra máquina o convivir con ellos.

Todos nos deberíamos hacer estas preguntas: ¿formo parte de una botnet? ¿Qué puedo hacer para evitarlo? Los consejos son los ya conocidos y poco practicados: no trabajar habitualmente en nuestro sistema operativo con una cuenta de administrador, interesarnos por la seguridad de nuestra máquina y permanecer informados sobre la evolución de las amenazas, mantener actualizado nuestro antivirus, instalar un buen cortafuegos que inspeccione y filtre todas las conexiones salientes que se produzcan sin nuestro consentimiento (evitando que el bot “llame a casa” para ponerse en contacto con su dueño), dejar el ordenador encendido sin ningún programa que haga uso de Internet y observar la actividad de nuestra conexión (hay programas que ayudan a monitorizar la actividad de red), junto con lo anterior, acudir a la línea de comandos y al viejo amigo “netstat” ;-) si observamos actividad sospechosa. Además, podemos complementar todo esto con herramientas gratuitas de “escaneo desde la nube” como esta, esta otra, y muchas más.

Salud, y evitad caer en las teledirigidas telarañas.

Dejar comentario.

Seguridad de la información en los hogares

A continuación os dejo el artículo número 4 que, continuando mi línea de colaboración, he publicado en el blog del Colegio Oficial de Ingenieros de Telecomunicación de Andalucía Occidental y Ceuta. Divulgad que algo queda ;-).

Quiero aprovechar el artículo de este mes de febrero para divulgar el estudio que, de forma trimestral e ininterrumpida desde 2004, elabora el Instituto Nacional de Tecnologías de la Comunicación (INTECO) sobre la seguridad de la información y la e-confianza de los hogares españoles. Sirva también este artículo para invitaros a todos los que aún no conozcáis este Instituto Nacional a visitar su web y, en especial, a consultar su sección de Seguridad, la cual contiene mucha información útil para todos los usuarios de las TICs preocupados por mantener a salvo su información. Aprovechad, asimismo, para recomendadlo a vuestros familiares y amigos pues está realizando una gran labor divulgativa que, como a continuación veremos, es cada día más necesaria. El Estudio sobre la seguridad de la información y la e-confianza de los hogares españoles pretende actuar como un termómetro que indica la evolución de una serie de indicadores que, como su nombre sugiere, presentan información sobre el uso y costumbres de los usuarios de las TICs.

La información aparece clasificada en una serie de apartados: medidas y hábitos de seguridad, incidencias de seguridad, seguridad y fraude on-line, seguridad de las comunicaciones móviles e inalámbricas de los hogares, consecuencias de las incidencias de seguridad y reacción de los usuarios ante ellas y e-confianza de los hogares españoles.

No me extenderé mucho en comentar cada uno de ellos pues tenéis disponibles tanto un “resumen ejecutivo” como una “reseña” algo más extensa, que acompañan al propio estudio. Sí que aprovecharé para dar mi opinión (de esto va el blog, ¿no?) sobre aquellos aspectos que considero más significativos.

Me parece muy acertado distinguir entre “medidas de seguridad automatizables” (programas antivirus, cortafuegos, anti-“todo”, actualizaciones, etc.) y “medidas de seguridad no automatizables” (copias de seguridad, partición del disco duro, utilización habitual de usuario con permisos reducidos, cifrado de documentos o datos, etc.), pues nos permite detectar el gran escalón que aún existe entre la adopción de unas y otras. El uso de las automatizables está enmarcado entre el 64% y el 91%, exceptuando herramientas más actuales como el anti-fraude (34%) y alertando sobre el poco uso (38%) de herramientas ya clásicas para la protección de menores basadas en control parental. Por el contrario, el uso de medidas no automatizables se sitúa entre el 50% y el 78%, destacando el porcentaje de usuarios que se preocupa por salvaguardar su información, sólo el 60%, y el escaso uso que se realiza de métodos/herramientas de cifrado de la información cuando esta se transmite o se almacena: DNI electrónico y certificados digitales en torno al 23% y cifrado de documentos alrededor del 18%. Todo esto me hace pensar que sigue existiendo una gran confusión entre la preocupación por la conservación del sistema y no por la conservación de la información que de verdad nos interesa. Se sigue olvidando que todas las herramientas automatizables no son más que barreras para frenar un posible desastre que conlleve pérdida de información, ¿qué pasa si alguna de ellas falla? Hecho que suele ocurrir.

La “intención declarada de uso de medidas de seguridad automatizables y no automatizables en los próximos 3 meses” no deja de subrayar el hecho resaltado en el párrafo anterior: la adopción de hábitos correctos sigue muy por detrás de la adopción de barreras “protectoras”. Sin embargo, la adopción masiva de estas últimas provoca una falsa sensación de seguridad que queda destruida cuando se acaba sufriendo un incidente grave.

Por último, también me ha llamado mucho la atención los motivos por los que no se utilizan estas medidas de seguridad (tanto automatizables como no). Fijaos que la mayoría de respuestas se encuadran en la columna “No conoce”. Sin embargo, esto contrasta con el conjunto de “Medidas demandadas a la administración”: las medidas agrupadas bajo el bloque de “sensibilización” acaparan el 10% aproximadamente de las demandas frente a las de “respuesta técnica” que acaparan el 33%. Otra vez clamando a papá Estado que nos resuelva los problemas en lugar de que nos ayude a que seamos capaces de resolverlos por nosotros mismos, o incluso a lo que es aún mejor: evitarlos.

Y todo esto cuando en el mes de septiembre, el cual supuso un mínimo histórico, el 56,2% de los ordenadores seguían comprometidos. Permitidme poner esto en contexto: tu microempresa (las medidas de seguridad en las “microempresas” suelen ser similares a las adoptadas en los “hogares”) y la de tu amigo: una de las dos está infectada, una de las dos está perdiendo información o siendo utilizada para realizar “cyberdelitos”… ¡escalofriante!

En fin, que parece que seguimos confiados en que más valen que nos curen en lugar de que nos ayuden a no enfermar, ignorando que la cura suele llegar demasiado tarde: cuando la pérdida de información ya se ha producido.

Resguárdense.

Dejar comentario.

Última vulnerabilidad de Internet Explorer y consecuencias

La última vulnerabilidad conocida de Internet Explorer ha supuesto un gran revuelo en todo el ciberespacio, y en parte del espacio real terrestre. No ha sido por ser especialmente maligna (que lo es, pero ya antes ha habido varias de este tipo) sino porque:

a) Microsoft conocía el fallo desde hace cinco meses (en algunas fuentes aparece "desde agosto" y en otras "desde septiembre") y no ha sacado hasta hace un par de días (21-01-2010) un parche que lo corrija.

b) Ha sido utilizada para atacar a varios gigantes de la red (Google y Yahoo) y de la informática (adobe), provocando en el primero un cambio de política en China.

c) Alemania y Francia, y posteriormente Australia, recomiendan el uso de navegadores alternativos a Internet Explorer, con el consiguiente daño al producto de Microsoft frente al impresionante disparo de descargas de opera y firefox.

Y todo esto por un puntero "dislocado" ;-), según leo en esta notica de Genbeta. Por eso insistimos tanto a nuestros alumnos, cuando estamos enseñando a programar en C, del especial cuidado que hay que tener con el uso de punteros: se han de hacer apuntar sólo a aquellos datos que queremos tratar y a NULL cuando ya no se utilicen. Soy consciente, claro está, de que todo es mucho más complejo, pero creo que sirve como ejemplo de concepto para aquellos que comienzan a conocer los "secretos de la programación" en una asignatura de primero de carrera.

¡Ay de esta insegura ciencia!

Y de los que trabajamos con ella }:-)

Dejar comentario.

Tendencias 2010

A continuación os dejo el artículo número 3 que, continuando mi línea de colaboración, he publicado en el blog del Colegio Oficial de Ingenieros de Telecomunicación de Andalucía Occidental y Ceuta. Espero que os ayude a tomar decisiones ;-).

Las fechas en las que nos encontramos invitan a realizar un ejercicio de previsión que nos ayude a identificar aquellos temas que acabarán destacando a lo largo de este año. O quizá, como viene siendo habitual, alguno de ellos acabe retrasándose aún más, para desgracia de aquellas organizaciones que así lo sufran. Por tanto, aceptando los riesgos que supone todo pronóstico, voy a intentar describir los que, a mi juicio, pueden ser los temas a considerar por los responsables de seguridad de las organizaciones, obligándoles a tomar decisiones y, como no, a evaluar sus riesgos.

También aprovecharé algunos de los puntos para ver que impacto tienen en el usuario final, ya sea desde un punto de vista profesional, cuando está trabajando en su organización, o personal, cuando trabaja en casa para resolver sus propios asuntos: económicos, ocio, búsqueda y utilización de información, etc.

- Seguridad en entornos virtualizados

Diversos estudios publicados nos informan de que el porcentaje de crecimiento de las soluciones virtualizadas está siendo superior al 30%. Gran parte de este crecimiento se debe a que muchas organizaciones están confiando su infraestructura o sus aplicaciones a terceros que las alojan sobre “entornos virtualizados”. Este movimiento ha sido realizado buscando una mayor flexibilidad en la configuración de las plataformas, así como intentando disminuir la inversión asociada a la evolución tecnológica, mejorando el retorno de la misma.

Sin embargo, este enfoque implica una cesión a terceros de información “crítica” para el negocio, siendo cada vez mayor el número de estos con los que la organización comparte información. ¿Cómo se protege esta información? ¿Quién tiene acceso a ella? ¿Quién se responsabiliza de lo que le pueda ocurrir, o lo que es lo mismo, qué cláusulas se han de especificar en los contratos que regulan la prestación del servicio?

- Registros de logs, correlación y confiabilidad

Recuerdo, en los años en los que comencé a trabajar, ver impresoras conectadas a las salidas de consola de aquellos sistemas de los cuales se quería tener un registro “físico” de lo que iba ocurriendo en cada momento. Algo ha cambiado desde aquel entonces en los que interminables rollos de papel eran agujereados por impresoras matriciales. Aunque todos los administradores serios de sistemas prestan una especial atención a los logs, no en vano son los que nos proporcionan pistas claves para averiguar lo que ha ocurrido o está ocurriendo, no todos ellos se preocupan de almacenarlos para hacer posible un posterior análisis con mayor detalle, si fuera necesario, o incluso para demostrar ante la autoridad judicial los daños y la responsabilidad de quien los llevó a cabo.

Por tanto, las preguntas claves son: ¿nos están aportando los logs toda la información que necesitamos? ¿Existen mecanismos de correlación, filtrado y lanzamiento de alarmas? ¿Tenemos herramientas que garantizan la confiabilidad de los logs que se están produciendo? ¿Están los logs siendo almacenados de forma que su integridad pueda ser verificada? ¿Somos conscientes de que cualquier detalle que se escape en su tratamiento puede invalidarlos como pruebas judiciales?

- Dispersión de datos y amenazas

Se está haciendo mucho hincapié en como la información fluye a lo largo y ancho de la organización. Podemos encontrar información clave para el negocio en: servidores de correo, servidores de ficheros, bases de datos, discos duros de los puestos de trabajo, memorias usb que entran y salen de la organización y, para los más eruditos en La Red, en aplicaciones que son prestadas desde “la nube”: almacenamiento en red, correos electrónicos personales, redes sociales, herramientas colaborativas, etc.

Asimismo, se comprueba (véase el último informe del INTECO sobre la seguridad en los hogares) que las amenazas evolucionan cada vez más rápido, llegándose a detectar un amplio conjunto de variaciones de los mismos especimenes. La característica fundamental: todos ellos intentan pasar desapercibidos y robar información confidencial que puede ser utilizada para ganar dinero.

Medidas: ¿qué información es crítica? ¿Hemos identificado dónde está esa información? ¿Existen políticas en la organización que garanticen su correcto tratamiento? ¿Hemos implantado mecanismos que nos garanticen que esa información no “se escapa” de forma incontrolada?

- El eslabón más débil: el factor humano

Muchos estudios nos siguen mostrando que el eslabón más débil de la cadena de seguridad sigue siendo el factor humano: que el porcentaje de equipos infectados ronde el 60%, que sólo el 30% de los usuarios gestione las actualizaciones de sus sistemas (software de seguridad, sistema operativo, aplicaciones), y que sólo el 34% de los mismos se preocupe de escanear los ficheros descargados de redes P2P, junto con el escaso conocimiento de conceptos como el de: cortafuegos, anti-spam, anti-fraude, etc., y la poca preocupación por adoptar habilidades favorables a la protección de la información: contraseñas fuertes, copias de seguridad, cifrado de la información confidencial, etc., así lo demuestra.

Cada vez es más patente la necesidad de formación y de crear cultura de seguridad en las organizaciones. La seguridad se sigue sintiendo más como un inconveniente que como una ayuda al correcto desempeño del trabajo diario.

Quizá, como me comentó un compañero, no viniera mal una campaña publicitaria de organismos públicos, entre tantas, ilustrando alguno de estos conceptos.

- Orientación al negocio

Desconozco si será una tendencia o un deseo mío. Ya lo comentaba en otro de mis artículos. Se viene detectando la necesidad de que los responsables de seguridad estén cada vez más involucrados en el entendimiento del negocio y de los procedimientos con los que se enfrentan las personas que trabajan en la organización. La seguridad está escapando de su jaula tecnológica y está filtrándose por cada una de las fibras que componen el tejido de la organización.

El arte: ser capaz de enfrentarse a las múltiples y evolucionadas amenazas impactando lo menos posible en el negocio, e incluso favoreciendo la adopción de nuevas formas de interrelación.

Iremos observando como transcurre este nuevo año 2010.

Y comentándolo.

Dejar comentario.

Seguridad de la información. Algunos conceptos básicos.

Continuando mi colaboración con el blog del Colegio Oficial de Ingenieros de Telecomunicación de Andalucía Occidental y Ceuta, hoy he presentado "los conceptos básicos" que sirven de cimientos al más amplio: "seguridad de la información". Asimismo, recojo al final un consejo práctico que nos ayuda a evitar infecciones a través de dispositivos USB, las más comunes hoy en día.

Os dejo a continuación la que ha sido mi 2ª colaboración.

Pensando en el carácter público de este blog, y así, en la diversidad de conocimientos que atesorarán los distintos lectores que nos visiten, he pensado que, tras el primer artículo dedicado a la “seguridad de la información” que publiqué a modo de presentación, es conveniente proceder en este a fijar algunos conceptos muy básicos que ayudarán a comprender los cimientos del tema que nos ocupa. Intentaremos, pues, responder a la siguiente pregunta: ¿qué encierra el concepto “seguridad de la información”?, o formulada de otro modo: ¿sobre qué conceptos básicos se construye?

El Diccionario de la Real Academia Española (DRAE) recoge, al menos, estas cuatro acepciones del adjetivo seguro:

1. adj. Libre y exento de todo peligro, daño o riesgo.
2. adj. Cierto, indubitable y en cierta manera infalible.
3. adj. Firme, constante y que no está en peligro de faltar o caerse.
4. adj. No sospechoso.

En el marco de la seguridad de la información utilizamos una serie de conceptos que identifican cada una de estas cualidades en los diferentes elementos utilizados. Así, definimos: Integridad: propiedad que busca mantener la información libre de modificaciones realizadas por personal no autorizado.

Confidencialidad: propiedad que garantiza el uso de la información sólo por personal autorizado.

Disponibilidad: propiedad de la información de estar accesible a los usuarios de la misma.

No repudio (irrefutabilidad): esta propiedad liga la información a un determinado autor, evitando el rechazo de su autoría.

Por tanto, podremos decir que algo es tanto más seguro cuanto mayor grado de estas propiedades atesore, es decir, cuanto más íntegro, más confidencial, más disponible y más irrefutable sea.

Un enfoque práctico, que nos ayude a obtener el objetivo buscado, ha de comenzar con la siguiente pregunta: ¿qué necesitamos proteger y qué se debe garantizar?, para que una vez identificados estos elementos continuemos preguntándonos: ¿de qué necesitamos protegerlo?, cuya respuesta nos revelará las diversas vulnerabilidades y amenazas que podrán poner en riesgo alguna de las propiedades descritas (integridad, confidencialidad, disponibilidad y no repudio), finalizando el ciclo con la pregunta: ¿cómo vamos a protegerlo?

La seguridad así enfocada pasa de ser un estado, que en un determinado momento califica a nuestra información, a ser un proceso continuo que requiere ser evaluado, adaptado y mejorado constantemente, puesto que las respuestas a las tres preguntas que nos hemos hecho van evolucionando con el tiempo, y el cambio de sólo alguna de ellas muy probablemente implique la adaptación del resto. Por ejemplo, si aparece una nueva amenaza hemos de encontrar un nuevo mecanismo de defensa, si aparece un nuevo elemento a proteger, o cambia su entorno, sus usuarios o su tecnología, hemos de emprender de nuevo el camino que nos llevará a recorrer las amenazas que sobre él se ciernen y los mecanismos de defensa que tendríamos que poner en marcha.

Desde el punto de vista estratégico de la seguridad de la información en una organización, toda planificación comenzará por un análisis de riesgos cuyos principales resultados serán: tipos de activos con los que cuenta la organización (inventario), qué vulnerabilidades incorporan, qué amenazas se ciernen sobre dichos activos, y qué salvaguardas se han de considerar para proteger dichos activos. Esto sería un análisis cualitativo, que es el que mayoritariamente se practica. Un análisis cuantitativo intentará obtener una magnitud que nos informe del estado de nuestros activos. Suelen estar asociadas a los conceptos de “Esperanza de Pérdida Anual” o “Coste Anual Estimado”, y su cálculo consiste en multiplicar la “pérdida potencial” por la “probabilidad de que ocurra”. La gestión de todo este proceso ha de ser continua en el tiempo, como ya indicábamos en el párrafo anterior.

Y como en todos mis artículos intentaré terminar con una sección más operativa y práctica, tanto para las organizaciones como para los usuarios domésticos, me gustaría despedirme destacando un secreto a voces recogido en el último informe que sobre la seguridad ha elaborado la compañía ESET (especializada en software de protección: antivirus, antispam, etc.): la principal vía de contagio de malware entre ordenadores es el autoarranque de ficheros contenidos en las memorias USB. Personalmente en todos mis ordenadores tengo deshabilitado el autoarranque pues creo que aporta muy poco para el gran riesgo que supone.

¿Cómo se hace?

En Windows XP:

1. Abrimos un bloc de notas y copiamos lo siguiente (tres líneas independientes):

Windows Registry Editor Version 5.00

[HKEY_{LOCALMACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer}]

“NoDriveTypeAutoRun”=dword:000000b5

1. Guardamos el archivo en algún lugar de nuestro ordenador con el nombre Quitar_Autorun.reg
2. Hacemos doble clic en el archivo que hemos creado y saldrá una ventanita en la que se nos pregunta si estamos seguros de querer agregar la información de dicho archivo al registro de Windows.
3. Hacemos clic en “Sí” y se termina el proceso.

Para Windows Vista:

1. y 2. Son los mismos pasos que los descritos para Windows XP.
2. Hacemos clic con el botón derecho del ratón en el archivo que hemos creado y seleccionamos “Combinar”.
3. Debemos “darle permiso” a las ventanas que nos lo soliciten y después saldrá una ventanita n la que se nos pregunta si estamos seguros de querer agregar la información de dicho archivo al registro de Windows.
4. Hacemos clic en “Sí” y se termina el proceso.

Para GNU/Linux:

Ya han terminado ;-) Duerman tranquilos.

Salud.

Dejar comentario.

Backups online: cubriéndonos las espaldas

¡Que levante la mano aquel que por algún motivo no ha perdido información valiosa almacenada en su ordenador! Uno, dos, tres… casi todo el mundo. Bien. Ahora, que levante la mano aquel que no ha echado de menos un documento que un día creó en el ordenador de casa y, tras algunos kilómetros recorridos para llegar al lugar de vacaciones, ups… ¡si tuviera aquí el documento con el análisis de las cuentas! Y es que, en esta sociedad donde el escritorio de madera se ha convertido en un PC y sus cajones en discos duros, cada día es más difícil sobrevivir sin echar de menos esos trabajos que vamos almacenando sin apenas darnos cuenta de que los tenemos hasta que no nos faltan. Recientemente he descubierto un servicio que nos ayuda a resolver ambas situaciones: mozy. Pone a nuestra disposición un espacio gratuito de almacenamiento de 2GB en sus servidores a través de Internet. Para comenzar a utilizarlo basta con pulsar sobre el enlace anterior y, una vez cargada la página, hacer uso de la solución para “home users” que aparece en la parte superior derecha, seleccionando: “Sign up now”. Tras rellenar un par de formularios con nuestro correo electrónico (real porque nos envían un enlace), nuestra contraseña, y algunos datos estadísticos, recibiremos un mail para validar nuestro registro. Tras pulsarlo nos dejarán descargar una pequeña utilidad que se instalará en nuestro PC, integrándose en el menú derecho del “explorador de windows” y creando una unidad virtual (al estilo de un CD o nuevo disco duro). Durante el proceso de instalación nos guiará un asistente que seleccionará algunas carpetas por defecto de nuestro PC para comenzar con los backups: los favoritos del explorer y del firefox, “mis documentos”, “mi música”… en fin, podemos deseleccionarlas si no queremos que sean esas. Más adelante podremos elegir las que de verdad nos interesen. Me ha gustado:

• La integración con el explorador de Windows facilita mucho seleccionar qué archivos o carpetas incluir en las copias de seguridad. Basta hacer click con el botón derecho sobre ellos y seleccionar la opción correspondiente. No es necesario meter todas esas carpetas en "la unidad virtual correspondiente a nuestro espacio en los servidores remotos" sino que las carpetas siguen estando en su sitio, con nuestra organización actual, simplemente serán monitorizadas por la aplicación, y los archivos serán respaldados cuando así se programe (ver opciones).
• La recuperación de ficheros a partir de la unidad virtual que nos crea es muy intuitiva y rápida. También se puede hacer accediendo a nuestra cuenta desde cualquier lugar con un navegador web.
• Según nos cuentan (esto no lo he probado haciendo un verdadero análisis del software) los datos suben a los servidores cifrados con una contraseña de 448 bits (algoritmo blowfish) o 256 bits (algoritmo AES). Yo he elegido el segundo, creo que es lo suficientemente fuerte y rápido como solución de compromiso.
• ¡OJO! porque los datos están cifrados y para eso nos solicitan una "clave de cifrado", si la perdemos jamás podremos volver a recuperarlos. Nos advierten de que ellos tampoco pueden ayudarnos en este caso.

Aspecto negativo a tener en cuenta, no tanto del programa en sí sino del uso que hagamos de él: cada cual es dueño de su información hasta que decide “contarla”. Os exhorto a que consideréis que datos son lo suficientemente importantes pero no llegan a ser críticos (contraseñas bancarias, impresiones de recibos de cuentas, etc.) para que, si hay un fallo de seguridad, no os “desvalijen”. Sólo después de hacer esta reflexión, siendo conscientes de los riesgos que se corren en todos los servicios de almacenamiento web (correo web al estilo Hotmail, gmail, etc.) y remotos (como este que nos ocupa), y asumiendo dicho riesgo, la utilización de mozy nos ayudará a preservar y utilizar nuestra información allí donde estemos. Que os sea propicio.

Dejar comentario.

Colaborando con el blog del COITAOC

Hoy viernes, 13 de noviembre de 2009, inicio una nueva colaboración con el blog del Colegio Oficial de Ingenieros de Telecomunicación de Andalucía Occidental y Ceuta. Intentaré ir recogiendo aquí también las entradas que publico allí, a modo de backup, ya que de la seguridad de la información se trata ;-).

Os dejo a continuación la que ha servido para inaugurar la colaboración.

Quiero comenzar este primer artículo sobre seguridad de la información dándole las gracias al departamento técnico del COITAOC por invitarme a colaborar en esta nueva y emocionante aventura, que nos permite compartir nuestros conocimientos sobre distintas temáticas desde una óptica tan personal como la que brinda un blog: sus artículos y sus comentarios. En los años que llevo trabajando en diferentes proyectos relacionados con las TIC he desarrollado un punto de vista no dogmático, y aquí, en esta sección, asumiré el riesgo de transitar por la delgada línea que separa lo generalmente aceptado y lo individualmente cuestionado. ¿Cuál es la situación actual del tema que nos ocupa? ¿Cómo hemos llegado hasta aquí? Cuando hace doce años comencé a trabajar en el mundo de las redes de datos de grandes organizaciones, tanto públicas como privadas, se utilizaba el término seguridad para referirnos a los controles físicos, a los registros de entrada que teníamos que superar para acceder a los edificios y además, en algunos lugares de seguridad excepcional, para controlar el acceso al centro de proceso de datos. Algunas de estas organizaciones ya se habían conectado a Internet, las universidades por ejemplo, otras, más centradas en hacer negocio, estaban planteándoselo y no tardarían en dar el salto. La seguridad comenzaba a evolucionar desde esos controles físicos hasta otros controles lógicos que, desde el exterior, tenían que ser superados para lograr el acceso a los sistemas de información. Comenzaba a protegerse los sistemas: en esa época bastaba con cerrar puertos implementando algunos centenares de listas de control de acceso en los encaminadores (routers). Bien es verdad que ya se llevaban utilizando antivirus algunos años, y algunos usuarios, los que tenían la suerte de poder trabajar con sistemas operativos de verdad, podían tener sus propias credenciales de acceso a su sesión de trabajo. Los que tuvimos la ocasión de poder contrastar esto que veíamos en los sistemas profesionales con el juguetito que teníamos en casa (¿recordáis cuando en un Windows 9X bastaba con pulsar “cancelar” para saltarnos la pantalla de inicio que nos desafiaba con “usuario” y “contraseña”? Ahora podemos sonreír) creíamos estar descubriendo esos otros mundos de ciencia-ficción que nos mostraban algunas películas (quizá esto fuera lo que nos hizo darle una oportunidad a GNU/Linux). Hoy en día, esta idea de protección lógica de los sistemas de información comienza a darse por obvia, y la preocupación se traslada a la propia información en sí, a esos documentos, bases de datos, correos electrónicos… datos, en definitiva, que fluyen y se dispersan por toda la organización y que un día, sin saber como, aparecen tirados en un cubo de basura (como algún caso de expedientes médicos) o en los discos duros de miles de usuarios porque se han compartido, supongamos que involuntariamente, por redes P2P (como le ocurrió a algún sindicato).

Analizaremos en esta sección desde el enfoque estratégico de la seguridad de la información hasta el enfoque operativo de ésta, desde la política de seguridad de una organización hasta las buenas prácticas que ha de implantar entre sus empleados, desde el conjunto de leyes que han elaborado las administraciones para asegurarnos nuestros derechos hasta las normas aprobadas por organismos internacionales que nos trasladan qué y cómo debemos hacer las cosas para no caer en los errores en los que cayeron otros, y garantizar la eficacia de las medidas adoptadas. Revisaremos el impacto tanto económico como operativo en las organizaciones, en su negocio, y llegaremos a conclusiones que no distan mucho de la clásica idea: en el equilibrio está la virtud, decían.

¿Y qué más? Pues presentaremos algunas tendencias en los productos, en los proyectos, en los servicios, en su despliegue. Y no me gustaría olvidar algunos consejos para nuestro propio día a día, algunas curiosidades y cosillas interesantes que voy encontrando por La Red (si aún tenéis ganas de seguir leyendo podéis echar un vistazo a esto).

Bromeando con algunos colegas suelo decir que quizá se olvidaron de contarnos la octava capa del modelo OSI. Y tú, ¿qué piensas?

¡Que sea por mucho tiempo y disfrutemos con ello!

Dejar comentario.

Va a nacer un "nuevo" Sistema Operativo... de Google

Hoy me apetece jugar un poco con el futuro, como si de un adivino se tratara voy a pronosticar como imagino que será lo que Google nos ha comunicado en su blog oficial: Google Chrome OS. Para ello voy a ir copiando cada uno de los párrafos de la noticia y, tras los mismos, voy a insertar mis comentarios.

Introducing the Google Chrome OS

7/07/2009 09:37:00 PM

It's been an exciting nine months since we launched the Google Chrome browser. Already, over 30 million people use it regularly. We designed Google Chrome for people who live on the web — searching for information, checking email, catching up on the news, shopping or just staying in touch with friends. However, the operating systems that browsers run on were designed in an era where there was no web. So today, we're announcing a new project that's a natural extension of Google Chrome — the Google Chrome Operating System. It's our attempt to re-think what operating systems should be.

Creo que en este párrafo hay dos ideas clave: “people who live on the web” y “we're announcing a new project that's a natural extension of Google Chrome”. La ESTRATEGIA de Google es clara desde su nacimiento, de hecho hay pocas empresas con las ideas tan claras, el objetivo de vivir en Internet guía cada uno de sus pasos. Google sí se cree que la humanidad va a cambiar su casa por Internet. Es a esto a lo que está dedicando todos sus esfuerzos, cada uno de los pasos que da está claramente enfocado a conseguirlo. Y no desfallece por muy duro que le resulten algunas pendientes del camino. Podría utilizar muchos más adjetivos pero intentaré condensarlos todos en la palabra alucinante. Es alucinante la cantidad y calidad de las aplicaciones que Google tiene en red. Su punto de acceso: el navegador. Su táctica: apoyó a firefox (recuerdo un programa de “referencias en google adsense” que por cada descarga que se conseguía de dicho navegador te embolsaba ¿x? fracción de dólar) mientras no tuvo su propio navegador, y de ahí saltó a Google Chrome: ya tenía su primera herramienta de acceso a la "suite". ¿Era este paso necesario? Esto daría para otro debate. La segunda idea condiciona y presenta el resto de disertación. Continuemos pues.

Google Chrome OS is an open source, lightweight operating system that will initially be targeted at netbooks. Later this year we will open-source its code, and netbooks running Google Chrome OS will be available for consumers in the second half of 2010. Because we're already talking to partners about the project, and we'll soon be working with the open source community, we wanted to share our vision now so everyone understands what we are trying to achieve.

En este párrafo sólo una idea que destacar: “Google Chrome OS is an open source”. El resto es desarrollo de la misma. ¿Qué pensará Microsoft de esto? La partida se pone interesante. Magnífico movimiento de Google que, por otra parte, se veía venir. No podía ser de otra forma: es la única que poco a poco ha venido arañando cuota de mercado a Microsoft, con permiso de Apple que, en mi opinión, se sigue dirigiendo a un segmento de mercado de alto poder adquisitivo (estrategia de desnatación). ¿Qué implicaciones tendrá esto en la comunidad open source? El más inmediato es el efecto que genera la competencia en todo mercado: reparto de cuota, y por tanto, reparto de esfuerzos. Esto, que a primera vista puede parecer negativo no tiene por qué serlo, véase como está funcionando Ubuntu con Debian, y el dinero que el propio Google está metiendo en algunos proyectos open source con sus Google summer of code. Hay miedo con la división que se puede producir en la comunidad de desarrolladores, supongo que habrá más miedo aún en aquellas empresas que habían apostado por un modelo de negocio basado en software libre como S.O. en sus clientes y como desarrollo/adaptación/servicios de aplicativos sobre éste. El proyecto de Google Chrome OS aún está muy inmaduro, su primer objetivo serán los netbooks, el siguiente los desktops de usuario y…

El modelo de negocio actual seguirá siendo válido durante varios años y, mientras tanto, habrá que estar atentos a como evoluciona “la vida en internet”. A mi lo único que me preocupa es la cuota de libertad y la información privada que esté en juego. ¡Ojo con el monstruo! Como se decía en mi pueblo: “o juego o no se juega”. ¡Cuidado con el “ojo que todo lo ve”!

Speed, simplicity and security are the key aspects of Google Chrome OS. We're designing the OS to be fast and lightweight, to start up and get you onto the web in a few seconds. The user interface is minimal to stay out of your way, and most of the user experience takes place on the web. And as we did for the Google Chrome browser, we are going back to the basics and completely redesigning the underlying security architecture of the OS so that users don't have to deal with viruses, malware and security updates. It should just work.

Este párrafo no tiene desperdicio. TODO ES IMPORTANTE. Un S.O. que tarde poco en arrancar y que conforme termine ya nos habrá llevado a la web. Presiento que Google va a acelerar el camino que ha emprendido Linux en sus últimas versiones de kernel, va a detectar lo mínimo del hardware que le permita arrancar: disco duro, pantalla y teclado; el escritorio va a desaparecer como tal, no habrá papel tapiz sino un navegador con un cuadro de mandos, una futurista página web personalizable desde la que podremos saltar a cada una de las aplicaciones que deseemos usar: todo estará en La Red y a un sólo click: tu correo, las noticias, los documentos, etc. ¡Ojo, no confundir con un “active desktop” lleno de tonterías, páginas estáticas y enlaces que acaban abriendo un navegador como si de otra aplicación se tratara! Será conceptualmente más parecido a lo que ocurre en algunos móviles avanzados o PDAs, o como esos sistemas operativos en red a los que podemos acceder con nuestros navegadores actuales: Eye OS, por ejemplo. Por cierto, esta gente (no sólo los de Eye OS sino todas las iniciativas que apostaron por esto) sí que debe de estar tiritando: ¡Que viene el lobo!

Que sea mínimo, el interfaz de usuario e incluso el sistema operativo, es obvio: no necesitamos nada en el disco duro excepto a él mismo pues, como venimos diciendo, “gran parte de la experiencia de usuario ocurrirá en la web”. Permitidme que vuelva a mostrar mi miedo: ¿quién tiene mis datos? ¿mi tesoro! …mi tesoro!

Y ahora viene la definitivo: la seguridad. La seguridad del propio sistema, la que damos por hecho cuando compramos uno, la que en cualquier otro mercado haría desaparecer a una empresa: ¿alguien imagina un coche que un día arrancara y otro no porque tiene virus en el motor, es decir, algo que no le deja funcionar como debe?. Bueno, pues esto es común hoy en día en los ordenadores, sobre todo si esos ordenadores tienen Windows. Y no porque Microsoft sea el demonio, ni muy mala programando, ni sólo le importe vender y ganar mucho dinero, que quizá también, sino porque Windows es el sistema más rentable de atacar pues es usado por el 9X% de la población mundial. Sí señores, sí, en otros sistemas operativos también hay fallos de seguridad (otro debate que no quiero abrir). Y entonces llegó Google, dio un puñetazo en la mesa y dijo: se acabó, mi S.O. no se resentirá. En fin, bien es verdad que si, como dicen abajo, se basan en Linux como kernel, lo fortalecen de las varias formas que son posibles, se preocupan de mantener un buen sistema de permisos, privilegios, controles de acceso y actualizaciones, separan todas aquellas acciones de usuario de las propias de gestión y administración del sistema… y siguen investigando sin creerse que son invencibles, tienen mucho ganado. De partida: todos los virus que hoy existen para Windows serán simples rémoras de un pasado que existió. Y no esta mal nacer cepillándose al 9X% de las amenazas posibles, ¿verdad? Yo quiero uno así 8-) Es broma, mi Debian GNU/Linux ya me tiene a salvo.

Google Chrome OS will run on both x86 as well as ARM chips and we are working with multiple OEMs to bring a number of netbooks to market next year. The software architecture is simple — Google Chrome running within a new windowing system on top of a Linux kernel. For application developers, the web is the platform. All web-based applications will automatically work and new applications can be written using your favorite web technologies. And of course, these apps will run not only on Google Chrome OS, but on any standards-based browser on Windows, Mac and Linux thereby giving developers the largest user base of any platform.

Este párrafo es de refuerzo de los anteriores: mínimo sistema de ventanas, kernel Linux y aviso a navegantes, en este caso desarrolladores: “señores, programen para la web… ¡el sistema final no existe! Y programando para la web, obviamente, la interoperabilidad está asegurada. ¿Llegarán mis ojos a ver este nuevo cambio de ERA?

Google Chrome OS is a new project, separate from Android. Android was designed from the beginning to work across a variety of devices from phones to set-top boxes to netbooks. Google Chrome OS is being created for people who spend most of their time on the web, and is being designed to power computers ranging from small netbooks to full-size desktop systems. While there are areas where Google Chrome OS and Android overlap, we believe choice will drive innovation for the benefit of everyone, including Google.

¿Cómo queda Android en todo esto? Bueno, yo creo que la idea de fondo es la misma y simplemente no desaparecerá porque nació para otras plataformas hardware, y ya se sabe: no es lo mismo un potito o una papilla para un bebe que un buen potaje con choricito picante para un adulto. Todo es comida, sí, pero démosle a cada cual lo que necesita. Así que, Android para los pequeños y Google Chrome OS para medianos y grandes. Y tampoco muy grandes, del mercado de los “servers” ni hablamos, ¿no? Claro, lógico, quién va a querer un servidor si todo su trabajo y sus datos van a estar en los servidores de otros, ¿uuummm? :-?

Y el péndulo volvió a su lugar: grandes servidores y terminales tontos que ya no son de fósforo verde y en modo texto sino magníficos navegadores webs llenos de ventanitas y gráficos… hacia ahí vamos, señores, es esa la tendencia. No tarden mucho en estudiarla e intentar subirse al carro: les inundarán con ROIs, reducción de costes operativos y mantenimiento, facilidad de administración, seguridad, redundancia, disponibilidad… ¡Tenemos de todo, señora! ¡Pasen y vean!

We hear a lot from our users and their message is clear — computers need to get better. People want to get to their email instantly, without wasting time waiting for their computers to boot and browsers to start up. They want their computers to always run as fast as when they first bought them. They want their data to be accessible to them wherever they are and not have to worry about losing their computer or forgetting to back up files. Even more importantly, they don't want to spend hours configuring their computers to work with every new piece of hardware, or have to worry about constant software updates. And any time our users have a better computing experience, Google benefits as well by having happier users who are more likely to spend time on the Internet.

Este párrafo refuerza lo dicho en el anterior. Describe alguna que otra ventaja más, y nos dice de nuevo por qué Google hace todo esto: “ Google benefits as well by having happier users who are more likely to spend time on the Internet”. Sí, Google gana más dinero cuanto más tiempo pasamos en Internet. Ese es su modelo de negocio y a eso empujan. Se lo creen y apuestan. Fácil.

We have a lot of work to do, and we're definitely going to need a lot of help from the open source community to accomplish this vision. We're excited for what's to come and we hope you are too. Stay tuned for more updates in the fall and have a great summer.



Update on 7/8/2009: We have posted an FAQ on the Google Chrome Blog.



Posted by Sundar Pichai, VP Product Management and Linus Upson, Engineering Director

¡Que os sea provechoso el trabajo que tenéis por delante! Tampoco mucho si es como yo lo veo, está casi todo hecho y sólo hay que pegarlo/afinarlo. ¿En qué estaría pensando yo para que no se me ocurriera a mi antes y pudiera habéroslo vendido? ;-)

Lo mejor de todo es que yo me lo creo. Esta gente trabaja muy bien. Será cuestión de tiempo pero lo conseguirán. Aquí queda esto, negro sobre blanco, con posibilidad de ser revisado dentro de unos años. Se abren las apuestas.

Seguiremos atentos a los movimientos que se producirán este otoño… y sí, intentaremos tener un “gran verano”… fresquito, de momento.

Y tú, ¿qué piensas de todo esto? Ansioso estoy por leer un comentario con tu punto de vista.

Salud y vida para verlo.

Dejar comentario.

GNU/Linux y los virus

Ah, pero en GNU/Linux… ¿hay virus? Pues yo no conozco a nadie que utilice GNU/Linux y se haya visto envuelto en un ataque de virus (sí en algún otro tipo de ataque). Sin embargo, las opiniones que circulan por la red son variadas, basta una búsqueda en google con las dos palabras que nos ocupan (linux virus) para encontrar opiniones que rotundamente piensan que en GNU/Linux no hay virus, y otras que dicen todo lo contrario, y sobre todo, que será cuestión de tiempo y de cantidad de uso. Pero esto es un blog, y se supone que he de dar mi opinión personal. Bien, yo creo que en GNU/Linux no hay virus, hoy por hoy, lo suficientemente extendidos/malignos que puedan ser considerados como tales, quizá exista por ahí alguna prueba de concepto que no ha llegado a "triunfar". Sin embargo, creo que es posible que el día de mañana existan virus para GNU/Linux. Será muy difícil, y seguro que es más complicado que desarrollarlos para Windows. ¿Por qué? Sin ánimo de entrar en profundidades, por un par de razones:

a) Windows tuvo que "relajar" mucho los sistemas de seguridad del sistema operativo para convertirse en el sistema que usa todo el mundo, el precio que hemos tenido que pagar a cambio de su fácil uso para su tremenda expansión. Los costes de la alfabetización digital: no seré yo quien deje de reconocerle la difícil tarea. El porqué lo consiguió Windows y no otro tipo de S.O. da para otro extenso debate.

b) en GNU/Linux existen más mecanismos de control implantados en el propio S.O., y en el conjunto de software englobado por las "diferentes distribuciones", para evitar el acceso a recursos críticos del sistema y modificarlos (gestión de memoria, permisos de los archivos en disco, etc.).

Y como consecuencia de lo anterior, en GNU/Linux no existe, además, la cultura de trabajar como “administrador del sistema” durante todo el tiempo en el que lo estamos usando: navegar por internet, leer el correo, abrir archivos de "tonterías" que nos envían, etc., todas estas tareas se suelen realizar como usuario sin "privilegios" para "dañar" al sistema, así que, si alguna de esas acciones terminara ejecutando un "programa" que alberga un virus, este se ejecutaría con los privilegios de un usuario normal (frente a hacerlo como administrador de la máquina) y no sería capaz de modificar componentes fundamentales/críticas de nuestro S.O.

Esta, a mi juicio, es la verdadera barrera de protección. Pero, ¿los últimos sistemas Windows: 2000, XP, Vista, etc., también permiten distinguir entre usuario administrador y "resto"? Sí, es cierto, pero, ¿quién no trabaja como usuario administrador, o privilegios de administrador, en su máquina? Cuando se va a instalar un programa: ¿quién parte de la situación en la que se está trabajando como usuario "raso" (sin privilegios para realizar esa acción), se convierte en administrador para hacerla y, justo después, vuelve a ser usuario "raso"? Muy pocos, ¿verdad? Pues así, el camino que ha de recorrer un virus resulta ser demasiado fácil. Respecto a GNU/Linux, comienzan a darme miedo algunas distribuciones que están "facilitando en exceso" la vida al usuario, a algunas de ellas las veo venir, y están a un punto de permitir que un usuario "raso" haga de todo, incluso sin solicitar la apropiada contraseña. Estoy seguro de que, cuando esto ocurra, los virus camparán a sus anchas también en GNU/Linux. Aunque aún nos quedará otra barrera de protección: un virus podrá extenderse por una determinada distribución GNU/Linux, y no por otras. Esta heterogeneidad en el ecosistema (recordad los problemas de los monocultivos frente a los multicultivos) seguirá jugando a nuestro favor.

Y tú, ¿qué piensas? ¿alguna vez te ha preocupado esta cuestión? ¿has buscado información/documentación sobre el tema? ¿cuáles han sido tus conclusiones?

A cuidarse toca :-)

Dejar comentario.

Configurando Firefox

Firefox es uno de los navegadores web más utilizados a pesar de no venir de serie con los sistemas operativos tipo Windows pues, obviamente, Microsoft tiende a posicionar su propio navegador: Internet Explorer. En el mundo Unix - GNU/Linux es común encontrar a Firefox instalado en casi todos los sistemas operativos actuales, en Debian GNU/Linux (no se si alguna vez he dicho por aquí ;-) que es mi distribución preferida), por motivos de licencias de imágenes, se decidió cambiar el nombre a "IceWeasel".

Mucho se ha venido escribiendo sobre la guerra librada por los diferentes navegadores (una graciosa animación ya compartimos ), algunos argumentos utilizados a favor de firefox eran estos: un respeto escrupuloso por los estándares web, más rápido en la carga de páginas, y menos fallos de seguridad. Sólo por el primero nombrado merece la pena apoyar su uso y expansión: los estándares nos hacen más libres. Respecto a la seguridad soy bastante escéptico no sólo con este tipo de software sino con todo, creo que es prácticamente imposible permanecer al margen de estos problemas, y cada vez van cayendo más mitos. Creo que la única estrategia válida es la de la disminución del tiempo de reacción: hacer lo más pequeño posible el tiempo que transcurre entre el descubrimiento de una vulnerabilidad y la implementación de su solución (parche).

Os dejo aquí algunos de los puntos de configuración de firefox que suelo seguir cada vez que lo instalo, sólo los puntos 3 y 4 tienen que ver con la seguridad:

1.- Editar - Preferencias - Principal (si trabajas con el sistema operativo Windows, sustituye "Editar - Preferencias" por "Herramientas - Opciones", para este punto y los siguientes), sección Inicio: podemos abrir varias pestañas mostrando cada una de ellas una página de inicio (útil para hacer un seguimiento diario), si escribimos en el formulario cada una de las páginas a abrir separadas por el carácter: | (pulsar simultáneamente las teclas: "Alt Gr" y "1").

2.- Editar - Preferencias - Principal, sección Descargas: selecciono "Cerrarla cuando finalicen todas las descargas" y "Preguntarme siempre dónde guardar los archivos".

3.- Editar - Preferencias - Privacidad, no selecciono nada, excepto: "Aceptar cookies de las webs" (hay páginas que no funcionan bien si quitamos esta selección) y "Limpiar siempre la información privada cuando cierre firefox". En este último punto hemos de presionar el botón "Configuración" que aparece a la derecha y seleccionarlo todo.

4.- Editar - Preferencias - Seguridad, sección "Contraseñas", quitar la selección a "Recordar contraseñas de los sitios".

5.- Editar - Preferencias - Avanzado, selecciono "Buscar texto mientras se escribe". Característica bastante útil para encontrar una palabra en la página que estamos consultando.

¿Algo más que añadir?

P.D.: Me ha parecido muy interesante la entrevista que Expansión realiza a Tristan Nitot, presidente de Mozilla Europa. Ver archivo adjunto.

¿Por qué no me llegan tus correos electrónicos?

El correo electrónico es un medio de comunicación a distancia no confiable. El símil más comúnmente utilizado para describir el funcionamiento del correo electrónico es el correo postal. El clásico servicio de correo postal (envío normal) no garantiza la entrega de la carta al destinatario, al contrario de lo que sí hacen otros servicios de comunicación a distancia, por ejemplo, el fax: un reporte de envío correcto garantiza que el fax ha llegado a su destino. Esto es así, fundamentalmente, porque en el fax hay un establecimiento de conexión entre los dos extremos, el emisor y el receptor, previo al envío de la información (es como si ambos extremos se conectaran con una tubería y comprobaran que, al verter agua por uno de ellos esta sale por el otro, sin ningún punto de fuga). Una vez realizada esa conexión se procede al envío de datos y, finalmente, se libera (se deshace la tubería y quedamos a la espera de volverla a establecer con otro interlocutor distinto). En el servicio de correos, por el contrario, la carta es abandonada a su propia suerte una vez que es depositada en algún buzón de recogida, confiando en el transportista, y no estando el viaje libre de problemas.

Así, vamos a intentar describir cual es el funcionamiento del correo electrónico apoyándonos en la siguiente figura:

Descripción del servicio en tres etapas

Etapa 1: El cliente C1 desea enviar un correo al cliente C2. Procede a su redacción en su programa de correo (Outlook, thunderbird, correos web como: hotmail, gmail, yahoo, etc.), y cuando está listo pulsa el botón de enviar. En ese instante el programa de correo se pone en contacto con su servidor, y deposita el mensaje en él, en nuestra figura en el servidor S1. Este acto es equivalente al que se realiza cuando depositamos la carta en el buzón de recogida de nuestra oficina de correos.

Etapa 2: Posteriormente el servicio de correos va transportando nuestro mensaje por diferentes estafetas (oficinas de correos) hasta que este llega a su destino. En nuestra figura, el mensaje irá siendo transmitido desde nuestro servidor S1 hasta el servidor del destinatario S3, pasando por S2.

Etapa 3: Finalmente el mensaje queda almacenado en el servidor S3 esperando que el cliente C2 se conecte y lo descargue a su programa de correo, donde procederá a su lectura. Este último hecho es equivalente al que realiza el cartero al depositar la carta en el buzón de nuestra vivienda, quedando a la espera de ser recogida, cosa que ocurrirá cuando procedamos a la apertura de nuestro buzón.

Así, si la comunicación fuera limpia, sin problemas, todos los mensajes enviados llegarían a su destino. Pero…

¿Dónde aparecen los problemas?

Al margen de los propios problemas originados en elementos físicos que pueden sufrir las diferentes máquinas que intervienen en el camino: roturas de disco duro, memoria, procesador, etc., los principales problemas son causados por distintos mecanismos de lucha contra el spam o correo basura: es considerado correo basura todo aquel correo no expresamente solicitado y carente de interés para el destinatario. Esta podría ser una definición lo suficientemente genérica, y que refleja la gran carga de subjetividad que encierra la clasificación de correo como spam.

En todos los puntos que atraviesa el mensaje enviado hacia su destino se toman este tipo de decisiones: ¿es este mensaje correo basura? Si la respuesta es sí, el correo es destruido y, por cortesía (ojo, no están obligados a hacerlo y dependerá de como haya sido programada esa máquina, de hecho, hoy en día casi ningún servidor lo hace), se devolverá un mensaje al emisor informándole de tal hecho.

¿Cuáles son los mecanismos más utilizados de lucha contra el spam?

Existen dos: las listas negras y los filtros de contenidos.

Las listas negras, como su nombre indica, recogen una serie de máquinas que alguien ha catalogado como potencialmente peligrosas por el envío, alguna vez, de spam. Las causas de entrar en esa lista negra son múltiples: desde enviar mucho correo en un corto periodo de tiempo (cosa que suelen hacer algunos virus), hasta que alguien, no muy amigo nuestro, señale a nuestra máquina como “dañina”. Es así de subjetivo. Como cuando te meten en el RAI/Asnef porque no has pagado un determinado recibo sin entrar en justificar quien tiene razón: el cobrador o el no pagador.

Los filtros de contenidos son diferentes técnicas que buscan en el texto del mensaje expresiones que, habitualmente, pueden ser utilizadas para el envío de propaganda no solicitada, promesas de dinero fácil… del tipo: “si elige nuestra opción obtendrá los resultados esperados”. El mensaje puede estar hablando del programa de ventas de la organización que lo distribuye entre distintos agentes (correo legítimo, no spam) o del “viagra”. También, así de subjetivo.

Normalmente, los mecanismos de listas negras suelen ser utilizados en los servidores. En nuestro ejemplo en las máquinas S1, S2 y S3. Y los mecanismos de filtros de contenidos en los clientes, no sólo en el programa de lectura de correo sino en otras “soluciones de seguridad” tipo antivirus / antispam / antiphishing. En nuestro ejemplo en C2.

¿Cómo evitar todos estos puntos de posibles problemas?

Me atrevo a decir que es imposible por el propio funcionamiento de Internet: un determinado emisor de correo, C1 en nuestro ejemplo, sólo puede controlar su programa cliente de correo, y ni eso en el caso de utilizar un servicio de lectura/escritura basado en web (gmail, yahoo, hotmail…), pues en este caso dependerá de los filtros que activen las diferentes empresas que ofrecen el servicio. Por consiguiente, si C1 utilizara su propio programa de correo y tuviera contratado (servicio de pago) su buzón de envío y recepción con el servidor S1, también podría exigir a dicho servidor ciertos tipos de actuación ante el problema, como relajar las políticas antispam empleadas. Otra cosa es que sea escuchado ya que, normalmente, los gestores de ese servidor albergarán a otros clientes en el mismo que no querrán desproteger.

Estos dos puntos más cercanos al emisor, C1, son los más “controlables” pero siempre escaparán de su influjo el resto: S2, S3 y C2.

Conclusiones

1.- Una organización podrá asegurar la correcta recepción de los mensajes de correo enviados entre sus integrantes, si todos ellos disponen de un buzón de correo en un servidor gestionado por la propia organización: correo corporativo. Nuestro esquema se reduciría al siguiente:

Bajo este esquema de funcionamiento la organización tiene todos los controles necesarios para asegurar que el mensaje enviado por C1 ha llegado al buzón de recogida del resto de integrantes, Cn.

Aún así, ese mensaje podría ser descartado por el filtro aplicado en el propio programa de lectura de correo de cada uno de los integrantes. Se podría evitar este último paso ofreciendo la posibilidad de leer el correo vía web, conectándose cada uno de los clientes a través de un navegador al servidor de la organización.

2.- La organización evita realizar los comunicados oficiales utilizando el correo electrónico. Sustituye, pues, esta vía de comunicación por una página web donde va colgando la información que quiere difundir entre sus integrantes. En este escenario el emisor de la información asegura que ésta está disponible (es fácil comprobar que una vez publicada está visible para todos), y delega la responsabilidad de mantenerse actualizado a los integrantes (estos han de tomar la iniciativa de consultar esa página web de información. Pero no olvidemos que cuando se decide leer el correo también se ha de tomar la iniciativa).

Posibles preguntas

¿Por qué no confiar en los acuses de recibo?

Alguien podría pensar que enviar el correo electrónico solicitando acuse de recibo solucionaría esta problemática. Eso no es así, y si cabe, la complica. De nuevo es necesario un procedimiento porque: no todos los programas clientes envían confirmación, es más, por defecto casi todos la traen desactivada, no todos los receptores leerán los mensajes en un tiempo determinado (habrá gente viajando y sin acceso al correo, gente de vacaciones, etc.), se exige un control de todas las confirmaciones y determinar que hacer si estas no se reciben, ¿se vuelve a enviar? ¿cuántas veces más? ¿y si se sigue sin confirmación? ¿cuánto tiempo vamos a esperar entre cada reenvío?

En fin, creo que esto no sólo no soluciona el problema sino que exige más esfuerzo y dedicación para no acabar agravándolo.

¿Quién da más?

;-)

Dejar comentario.

¿Realidad o cuento?

Seguro que más de uno de los que lean este artículo ha recibido alguna vez un mail como este:

URGENTISIMOOOOOOOOOOOO !!!

POR FAVOR, HAZ CIRCULAR ESTE AVISO A TUS AMISTADES, FAMILIA,

CONTACTOS !!!

En los próximos días, debes estar atent@: No abras ningún mensaje con

un archivo anexo llamado:  Invitación, independientemente de quien te lo envíe. 

Es un virus que abre   una antorcha olímpica que quema todo el disco 

duro C de la computadora.

Este virus vendrá de una persona conocida que te tenia en su lista de direcciones.

Es por eso que debes enviar este mensaje a todos tus contactos .

Es preferible recibir 25 veces este correo que recibir el virus y

abrirlo. Si recibes el mensaje llamado:   Invitación , aunque sea

enviado por un amigo, no lo abras y apaga tu maquina inmediatamente .

Es el peor virus anunciado por CNN.  Un nuevo virus ha sido

descubierto recientemente que ha sido clasificado por Microsoft como

el virus mas destructivo que haya existido. Este virus fue

descubierto ayer por la tarde por Mc Afee. Y no hay arreglo aun para

esta clase de virus. Este virus destruye simplemente el Sector Zero

del Disco Duro, donde la información vital de su función es guardada.

ENVIA ESTE E-MAIL A QUIENES CONOZCAS. COPIA ESTE CORREO A UNO 

NUEVO Y MANDALO A TODOS TUS AMIGOS.

RECUERDA:

SI LO ENVIAS A ELLOS, NOS BENEFICIAS A TODOS.

Y seguro que jamás ha recibido el citado espécimen malicioso que ha destrozado su ordenador.

Quizá sean los posos que en mi dejó Descartes, el cual, a mediados del siglo XVII e imbuido en la filosofía racionalista de la época, en su análisis hacia la verdad primera, esa piedra angular sobre la cual construir toda su filosofía, nos enseño a dudar de todo: las falacias de los sentidos, la imposibilidad de distinguir la vigilia del sueño, y ese espíritu maligno "de extremado poder e inteligencia que pone todo su empeño en inducirnos a error (Meditaciones, I)". Y es de agradecer ese "aprendizaje" del concepto de "duda razonada" que despierta el sentido crítico (a la vez que hemos de rechazar esa duda que tiende a igualar a todas las opiniones y que acaba derivando en una rebeldía sin causa).

A este tipo de mensajes se les denomina, habitualmente en Internet, Hoax, que en inglés significa engaño o bulo, e incluyen no sólo falsas leyendas sobre virus sino sobre casi todo: sexo, fama, dinero fácil, etc. Los objetivos buscados por estos bulos vienen claramente explicados en su página de Wikipedia, cuya lectura os recomiendo. Simplemente, me gustaría recoger aquí el que yo creo que es el principal: la recogida de direcciones de correo electrónico, por el simple hecho de ser reenviados de unos a otros (¡como no, a nuestros más allegados contactos no queremos que le ocurra nada malo!), las cuales, a posteriori, serán utilizadas para envío indiscriminado de spam.

Respecto a las que se refieren a virus, y si uno está acostumbrado a dudar, es fácil detectarlas y confirmar las sospechas: basta una simple búsqueda en google con los términos apropiados, en este caso: alerta virus invitacion.

También podéis visitar páginas como estas: alerta-antivirus.es, y vsantivirus, donde encontraréis bastante información sobre las últimas amenazas y falsas alarmas.

Obviamente, todos los que utilicéis sistemas operativos Windows, sin más remedio por la gran afluencia, mantened un antivirus actualizado en vuestro PC. Y acostumbraros a visitar, de vez en cuando, algún servicio de escaneo on-line.

Por último, los más "profesionales" e inquietos que sospechen que un determinado archivo puede contener virus, pueden utilizar este servicio, Virus Total, donde, tras enviar la muestra, esta es analizada por varios motores antivirus, haciéndonos llegar un informe de las amenazas detectadas por correo electrónico .

Recuerda: intenta no contribuir a la propagación de estos bulos. Por tu salud, y la de Internet.

Crítica siempre alerta.

Dejar comentario.

Drupal y su módulo "Captcha"

Varias veces hemos tratado aquí el tema del spam en los blogs. Ya lo anunciábamos en este breve artículo allá por el mes de diciembre del año 2004, e intentamos solucionarlo haciendo uso del módulo spam que nos ofrecía nuestro CMS. Lo instalé respetando la configuración por defecto, con las únicas modificaciones de "no publicar lo presuntamente spam" y "avisar al administrador de la detección del mismo". Ésta última hizo que me dieran "un toque" desde mi servicio de hosting porque el volumen de spam provocaba un elevado consumo de procesamiento en el servidor, que se multiplicaba con el envío de los correos correspondientes. Así, tuve que desactivarla y regularmente entrar como administrador a las páginas del módulo, donde comprobaba falsos positivos y borraba manualmente todo lo demás (aquí podéis encontrar la entrada que en su día elaboré con más detalle). Jamás me ha dado un falso positivo y rara vez se ha colado algún comentario que fuera spam (esto lo conseguí reduciendo el número de URL que se permitían en el mismo para ser considerado "maligno").

Posteriormente, el spam comenzó a atacar vía "trackbacks" (tecnología que incorporan casi todos los gestores de contenidos para informar desde ellos a otros "colegas" que has escrito algo relacionado/inspirado con el tema que ellos también tratan). Tanto fue así que llegó el día en el que este tipo de spam superó con creces, según los logs de "esta mi bitácora", a los intentos de spam vía comentarios. Además, nunca recibí un trackback de un blog "amigo" (he de tener pocos :?), así que, como dirían en mi pueblo, tiré por la calle del medio y desactivé dicha funcionalidad: me duele mucho el consumo de ancho de banda y procesamiento sin sentido.

Y desde aquí, a mi pensamiento no le costó mucho saltar a lo siguiente: ¿porqué filtrar los comentarios una vez que se producen y ya han consumido recursos? ¿No será mejor no dejar que se introduzcan en la base de datos del blog? La respuesta a esta pregunta llegó hace mucho tiempo: captcha. Consiste, básicamente, en hacerle un examen al que envía el formulario web para intentar detectar si es un humano o es una máquina (como en Blade Runner). Una de las técnicas más utilizadas es la de mostrar una imagen con letras "distorsionadas", y solicitar la introducción de dichos símbolos en un campo más del formulario web para que éste sea validado, cosa que ocurre si, lógicamente, coincide lo tecleado con lo mostrado en la imagen.

Nuestro módulo captcha está aún en versiones inmaduras: "5.x-3.0-rc3", es por ello, y por algunas pruebas que hice con versiones anteriores cuyo resultado no fue el esperado, por lo que no me había decidido a utilizarlo. Sin embargo, hace una semana probé esta Release Candidate 3. Aunque tiene la posibilidad de funcionar como hemos descrito arriba, utilizando imágenes, y realizando preguntas sobre palabras existentes en frases de texto (ambas opciones disponibles en el propio módulo), preferí quedarme con su funcionalidad básica: realiza una pregunta matemática del estilo, ¿cuál es el resultado de la siguiente suma: 3+4?, y comprueba si el resultado introducido es correcto, validando así el formulario.

Por ahora está funcionando muy bien, ni un sólo comentario spam recibido desde entonces (ni un solo log en la base de datos). No obstante, creo que es fácil preparar un script que analice, y pase, este tipo de pruebas…

Ya veremos cuanto tardan. Entonces, evolucionaremos a otras pruebas más complejas(*).

Como siempre, felices experiencias.

(*) Ver también riddler y reCaptcha.

Dejar comentario.

Bloqueando spammers con Drupal

Hoy me han dejado la agradable cifra de 7 comentarios en diversos artículos de este blog. Todos ellos tenían el sugerente título: "people" y en el cuerpo, lo típico, enlaces a sitios que promocionan.

Se puede conocer la dirección IP desde la que se conectaban para dejar dichos recaditos a través del menú de Drupal: "administer -> logs", buscar los comentarios y pinchar sobre ellos. Era siempre la misma: 195.175.37.6, y haciendo un "whois" he obtenido esta información. Corresponde a una dirección de la siguiente subred: 195.175.37.0/25, asignada a ttnet.net.tr, la cual, supongo, será la subsidiaria para prestar servicios ADSL de Turk Telekom.

Con Drupal es muy fácil bloquear a estos seres "robóticos" amigos del incordio, basta con entrar en el menú "administer -> logs -> top visitors", buscar la dirección en cuestión y pulsar sobre el enlace que aparece en su misma fila: "ban". Esto nos llevará a la pestaña "access rules" del menú de administración "administer -> access control", donde aparecerán seleccionadas todas las opciones correspondientes a la regla de bloqueo (Deny / Host / 195.175.37.6) y, por tanto, sólo tendremos que pulsar el botón "Add rule", para activar dicha regla de control de acceso.

Y yo me pregunto, ¿la gente que hace esto creerá que es indetectable, que en Internet todo queda oculto, o simplemente se refugia en la dificultad de denuncia y actuación? Esto último me lleva a una reflexión que, no lo dudo, muestra mi megalomanía: ¿sería posible un defensor del net-ciudadano donde se pudiera dar este tipo de quejas? ¿un organismo capaz de "sancionar" al poseedor de estas IPs (compañía que las tiene asignadas) y obligar que la sanción fuera descendiendo hasta el usuario final que las provoca? Es decir, obligar a la compañía que tire de sus logs y que averigüe cuales de sus conexiones ADSL está haciendo este mal uso (cosa que también es posible y que no cuesta nada). Indudablemente, haría falta una legislación mundial para que este acto, independientemente de donde se cometiera, fuera siempre sancionado de la misma forma. Sería lo más justo. E indudablemente, supongo que habrá pocos países comprometidos hasta este punto pues tendrán temas más importantes que resolver, para los cuales, por desgracia, tampoco existe esa "legislación mundial".

Quedo a la espera de futuros acontecimientos. Y de si necesitan del refinamiento de la técnica.

Seguiremos cuestionándonos dicha medida.

Actualización 29-04-2007: más información aquí (spam module).

Dejar comentario.

Recuperando el gestor de arranque: Grub

ACTUALIZACIÓN: si conoces exactamente la partición raíz (root), por ejemplo: /dev/sda5, la forma más rápida de hacerlo está al final de este artículo. FIN de la ACTUALIZACIÓN

A quién no le ha ocurrido esto: un buen día logramos tener en nuestro ordenador instalados varios sistemas operativos, por ejemplo: un windows y un Debian GNU/Linux. En un momento triste descubrimos que la última aplicación que debemos utilizar no existe en GNU/Linux, o que el último gadget que nos hemos comprado ha de ser “gestionado” desde un windows. Bien, asumimos nuestra tristeza y arrancamos nuestro ordenador para seleccionar en el menú, que nos presenta el gestor de arranque Grub (existen otros gestores de arranque más antiguos y menos versátiles, como lilo), la opción correspondiente al sistema operativo de las ventanas.

En nuestra sesión de trabajo nos conectamos a un par de páginas de internet, hacemos unas cuantas descargas y, sorprendentemente :-o, un virus se adueña de nuestro ordenador. Tras mil y una guerra con los dialers, las bajadas e instalación de malware a nuestras espaldas, etc., decidimos reinstalar el windows original en su partición. Arrancamos…

¡Y descubrimos que esta reinstalación se ha cargado nuestro gestor de arranque!, con lo que ahora ya sólo podemos arrancar nuestra nueva instalación de windows. Pero, ¿qué ha pasado con nuestro Debian GNU/Linux que teníamos instalado? No hay que preocuparse, sigue estando instalado en las particiones en las que estaba. Lo único que hemos perdido es la posibilidad de arrancarlo dado que la reinstalación de windows, como digo, ha borrado el "pequeño programa" que vive en el sector de arranque de nuestro disco duro, y que nos presenta el menú de selección del sistema operativo con el que queremos trabajar justo cuando conectamos nuestra máquina.

Vamos a ver como volvemos a instalar nuestro Grub tal y como estaba antes de que la tragedia ocurriera.

Lo primero que os recomiendo es que os bajéis el último System Rescue CD, y lo tostéis en un CD virgen que nos salvara de este tipo de emergencias. Este minisistema GNU/Linux es muy completo: trae una herramienta para la realización de particiones en modo gráfico: gparted (que ya utilizamos aquí), otra herramienta para realizar copias de seguridad de las particiones existentes: partimage, y reconoce casi todos los tipos de sistemas de ficheros, incluido el NTFS.

Arrancamos nuestro ordenador, con el System Rescue CD introducido para que, obviamente, arranque desde él. Veremos una pantalla de bienvenida, pulsamos intro para que continúe… y al final vemos una pantalla de instrucciones y una línea de comandos que nos invita a interactuar con el sistema.

Ahora necesitamos conocer los siguientes datos: la tabla de particiones de nuestro sistema, y su correspondencia con los distintos directorios existentes en el árbol de una instalación GNU/Linux. Esto se puede obtener de la siguiente forma:

[18:23:18(godo@surco)~]> mount /dev/hdb1 on / type reiserfs (rw) tmpfs on /lib/init/rw type tmpfs (rw,nosuid,mode=0755) proc on /proc type proc (rw,noexec,nosuid,nodev) sysfs on /sys type sysfs (rw,noexec,nosuid,nodev) procbususb on /proc/bus/usb type usbfs (rw) udev on /dev type tmpfs (rw,mode=0755) tmpfs on /dev/shm type tmpfs (rw,nosuid,nodev) devpts on /dev/pts type devpts (rw,noexec,nosuid,gid=5,mode=620) /dev/hdb2 on /boot type reiserfs (rw,notail) /dev/hdb7 on /home type reiserfs (rw) /dev/hdb8 on /tmp type ext3 (rw) /dev/hdb5 on /usr type reiserfs (rw) /dev/hdb6 on /var type reiserfs (rw) /dev/hdb4 on /mnt/vm type reiserfs (rw,nosuid,nodev,user=godo) [18:51:16(godo@surco)~]>

Es tan fácil como teclear mount cuando nuestra máquina está funcionando bien, y conservar su salida en una hojita impresa, o en una página web que tengamos accesible ;-). Si no lo hemos hecho previamente, y nos encontramos con que no sabemos qué partición albergaba un determinado árbol de directorios, tendremos que ir montando una u otra, y viendo lo que tienen dentro, o utilizar herramientas como fdisk o cfdisk, ejecutándolas como se muestra a continuación:

[20:11:19(root@surco)/mnt/vm/serie-debian]> fdisk -l /dev/hdb

Disk /dev/hdb: 203.9 GB, 203928109056 bytes 255 heads, 63 sectors/track, 24792 cylinders Units = cylinders of 16065 * 512 = 8225280 bytes

Device Boot Start End Blocks Id System /dev/hdb1 1 486 3903763+ 83 Linux /dev/hdb2 487 729 1951897+ 83 Linux /dev/hdb3 730 5118 35254642+ 5 Extended /dev/hdb4 5119 24792 158031405 83 Linux /dev/hdb5 730 1945 9767488+ 83 Linux /dev/hdb6 1946 3161 9767488+ 83 Linux /dev/hdb7 3162 4377 9767488+ 83 Linux /dev/hdb8 4378 4863 3903763+ 83 Linux /dev/hdb9 4864 5118 2048256 82 Linux swap / Solaris [20:11:25(root@surco)/mnt/vm/serie-debian]> [20:11:55(root@surco)/mnt/vm/serie-debian]> cfdisk /dev/hdb

La primera, fdisk, como podéis observar, no muestra mucha información, sólo las particiones y el tipo de sistema de ficheros que tienen asociado. La segunda, cfdisk, muestra una pantalla estructurada en columnas, y una de ellas tiene información sobre el punto de montaje, sobre el árbol de directorios que vamos buscando.

Observando esta información (la que anteriormente resultaba de ejecutar mount, que es donde más fácil se ve) podemos conocer que nuestro sistema raíz GNU/Linux, indicado por la / , está ubicado en nuestro segundo disco duro “hdb” y en su primera partición: /dev/hdb1. Y que el sistema de archivos utilizado es “reiserfs”.

Igualmente, vemos que el directorio /boot está ubicado en nuestro segundo disco duro y en su segunda partición: /dev/hdb2, con sistema de archivos “reiserfs”.

Por tanto, desde la línea de comandos que nos aparece tras haber arrancado con nuestro CD de recuperación, tecleamos:

[18:51:16(godo@surco)~]> mkdir /mnt/temp1 [18:51:16(godo@surco)~]> mount /dev/hdb1 /mnt/temp1 [18:51:26(godo@surco)~]> mount -o bind /dev /mnt/temp1/dev [18:51:36(godo@surco)~]> mount -o bind /proc /mnt/temp1/proc

Con lo que montamos la partición raíz del sistema GNU/Linux que queremos recuperar en el directorio que nos ofrece nuestro sistema de recuperación: /mnt/temp1. Es decir, ahora mismo nuestro habitual sistema raíz está accesible a través del directorio /mnt/temp1. Tanto es así, que si hacemos:

[18:51:16(godo@surco)~]> cd /mnt/temp1 [18:51:16(godo@surco)~]> ls bin dev initrd lib opt sbin tmp vmlinuz boot etc initrd.img media proc srv usr vmlinuz.old cdrom home initrd.img.old mnt root sys var

Podemos observar la estructura correspondiente y “navegar” a través de ella. Las líneas que comienzan con "mount -o bind" se utilizan para evitar los problemas de "población dinámica del directorio /dev" por udev (ver esto para más información).

Sin embargo, nuestra raíz actual es / correspondiente al sistema GNU/Linux de recuperación con el que hemos arrancado, Y NO /mnt/temp1 que es donde está el raíz que correspondería si hubiéramos arrancado normalmente desde nuestro GNU/Linux. ¡OJO, sé que lo que acabo de decir puede resultar algo confuso para un principiante! Aseguraros bien de que lo entendéis, si no, buscad más información.

Podemos cambiar “virtualmente de raíz” con el siguiente comando:

[18:51:16(godo@surco)~]> chroot /mnt/temp1

Una vez fijada la nueva raíz a la que correspondería si arrancáramos desde el disco duro, tenemos que montar las particiones correspondientes al árbol de directorios /boot (donde se encuentra la información de arranque: kernel, datos de grub, etc.) y al árbol /usr (donde se encuentran los binarios o ejecutables de grub y otras herramientas de administración del sistema). Esto lo conseguimos con el siguiente par de comandos:

[18:51:16(godo@surco)~]> mount /dev/hdb2 /boot [18:51:16(godo@surco)~]> mount /dev/hdb5 /usr

Recuerda que esto es posible porque previamente hemos modificado la raíz de nuestro sistema de directorios (lo que hemos hecho con chroot).

Ya sólo nos queda ejecutar grub-install para instalar el gestor de arranque en el sector correspondiente al primer disco duro de nuestro sistema: hda. Esto es así porque, habitualmente, los sistemas con dos discos duros están configurados para arrancar desde el primero, pero podría ser de otro modo. Finalizamos nuestra tarea ejecutando:

[18:51:16(godo@surco)~]> /usr/sbin/grub-install /dev/hda

Nos salimos del entorno “chroot” con:

[18:51:16(godo@surco)~]> exit

Y rearrancamos nuestra máquina:

[18:51:16(godo@surco)~]> shutdown -r now

Hemos de tener la precaución de sacar el CD justo cuando comience el encendido, para evitar así que se ejecute otra vez el sistema GNU/Linux de recuperación y obligar a que arranque desde el disco duro.

¡Tachán! Nuestro viejo GRUB vuelve a estar en su sitio.

Y una sonrisa vuelve a brillar en nuestro rostro.

Salud.

–

16-03-2008 Actualización:

Una manera rápida de recuperar grub, si conocemos cual es nuestra partición raíz (root == ) en nuestro GNU/Linux es: 1º.- Arrancar con un CD LIVE (recomiendo ultimas versiones de Knoppix). 2º.- sudo grub 3º.- grub> root (hd0,4) 4º.- grub> setup (hd0) 5º.- grub> quit Siendo hd0 nuestro primer disco duro, en mi portátil por ejemplo es: /dev/sda, y el 4 corresponde con el número de partición donde se encuentra nuestra raíz, en mi caso la raíz "" está en /dev/sda5. Grub comienza la numeración de las particiones en 0, mientras que el kernel comienza en 1, es por eso que a sda5 le corresponde el 4.

Esto funciona incluso si hemos cambiado el orden de las particiones, como suele ser el caso si hemos cambiado de disco duro y hemos restaurado unas copias de seguridad realizadas con "partimage".

Fin de la actualización

30-03-2020 Actualización:

En el pdf que hay al final de este artículo hay otra forma de hacerlo utilizando un Live CD/USB de la familia derivada de Debian GNU/Linux. Lo encontré redactado para Ubuntu, pero yo lo he probado haciendo lo mismo con MX Linux y también funciona.

Fin de la actualización

P.D.: Aquí hablamos de como recuperar el arranque de Windows.

Microsoft, el IRPF ... y ¡GNU/Linux?

Esta semana he vivido un acontecimiento que, mezclado con algunos de los artículos que estaba leyendo sobre: males y remedios de la antigua "sociedad de la información" (y actual "sociedad del conocimiento") en España, me han hecho pensar y escribir este artículo de denuncia.

Una calurosa tarde me llama un amigo por teléfono para comentarme lo que le había ocurrido en su Windows XP: "…me aparecen extraños cartelitos diciéndome que la copia no es original, acompañados de temporizadores que evitan que los cierre hasta que no expiran, y me invitan a poner remedio a esta situación "legalizando" el producto. ¡Alucinante! ¿no?". Bueno, supongo que habrá tantos alucinados en este impaís como copias ilegales. El porcentaje ha de estar rondando el 100%.

No había visto nada de eso. Uno lleva trabajando en Debian GNU/Linux alrededor de 4 años a tiempo completo, y casi 10 de forma esporádica (en casa, fundamentalmente). Pero sigue la pista a lo que va ocurriendo en el mundo Windows obligado por amigos y clientes. No dudé en hacer un par de búsquedas en google, y no tardé en encontrar la descripción del problema y su solución (arrancas en "modo a prueba de fallos", abres una consola "inicio-ejecutar-cmd", te vas al directorio "c:\windows\system32" y eliminas los archivos "WgaTray.exe y WgaLogon.dll". Por miedo a acciones legales aclaro: no estoy desvelando como se piratea un producto sino como evitar que aparezcan unos molestos cartelitos. Evidentemente existen otras soluciones: trabajar con productos legales). En fin, una tontería más para ir aclimatando el entorno: Microsoft sabe como evitar, creo, que se pirateen sus copias. Al menos saben hacer cosas que sean más sofisticadas que lo que han hecho, pero, ¿hasta donde está interesada en ello? Porque no me puedo creer que la solución a un problema tan grave sea tan sencilla, y no me puedo creer que hayan creído que nunca se conocería.

Aprovechando la situación, intento crear iglesia y le suelto a mi amigo:

• Ya tienes un motivo más para cambiarte a Debian, ¿me paso por tu casa, me invitas a un cerveza, y te lo voy instalando?
• ¿Y cuando termines con la instalación de Debian, me instalas el programa "PADRE", y me echas una mano a hacer la declaración?
• pues… va a ser que no.

Nuestra querida Agencia Tributaria, que ha mejorado mucho en los últimos años, aún sigue sin poner a disposición de los ciudadanos el programa de ayuda sobre el sistema operativo GNU/Linux. ¿Cuánto tiempo más van a seguir así? ¿Existe algún movimiento de presión en este sentido? ¿Algún grupo parlamentario a "instado al gobierno" a emprender el camino, o ni siquiera se lo están planteando?

Y cerrando la disertación: de los miles de millones destinados a "disminuir la brecha digital" que nos separa de los paises más desarrollados, ¿cuántos harían falta para desarrollar el programa "PADRE" para S.O. GNU/Linux? ¿Es ético ayudar a los ciudadanos obligándoles a adquirir un producto que enriquece a una empresa privada cuando existen iniciativas libres (y gratis) que servirían para lo mismo? ¿No es contradictorio tanto apoyo de gobiernos autonómicos a iniciativas de software libre con este tipo de situaciones?

Cualquier información al respecto será bienvenida. Y si conocéis alguna iniciativa en marcha (recogida de firmas, etc.), indicádmela, por favor.

Dejar comentario.

¿Soy un hacker?

Uno tiene la costumbre, y el entrenamiento, de intentar perderse los menos detalles posibles. El emblema que preside esta página: hermann-uwe, la cual visito desde hace mucho tiempo, me intrigaba. Cuanto más tiempo transcurría sin saber su verdadero significado mayor era la intriga. Hoy he podido leer a placer…

Este emblema es el elegido por la comunidad hacker para, entre otras cosas, fortalecer las señas de identidad de la misma. Es curioso el uso, y la justificación de éste, propuesto por su creador, Eric Steven Raymond.

¿Quién puede usarlo? Según el autor del mismo, aquel que se sienta identificado por la cultura hacker, aunque no sea uno de ellos.

¿Y cuál es la cultura hacker? Para responder a esta pregunta tenía que leerme el pequeño documento en el que este mismo autor intenta explicar: "Como llegar a ser un hacker".

La conclusión que he obtenido es la siguiente: ser un hacker es la unión de dos cosas, la primera es mantener una determinada actitud ante la vida, la segunda consiste en desarrollar una serie de habilidades. Tanto más hacker se es cuanto más avancemos en cada una de ellas, y cuanto mejor sea la mezcla de ambas en nosotros.

¿En qué consiste el desarrollo de la "actitud vital"? 1.- Los hackers creen en la libertad y en la ayuda mutua. Los hacker resuelven problemas y crean soluciones útiles para la humanidad (entre ellas lo que hoy todo el mundo conoce como Internet). 2.- Los hackers piensan que Ninguno de estos problemas a los que se enfrentan debería resolverse dos veces partiendo desde cero, para lo cual es imprescindible la comunicación y el compartir la "sabiduría". Esto no quiere decir que no existan mejores soluciones que otras, precisamente para utilizar esta palabra es necesario poder conocer y comparar. 3.- El aburrimiento y el trabajo tedioso (repetitivo) son malos. Luchar contra esto, automatizando todo lo que se pueda esas "tediosas" tareas, es una de las principales metas del hacker. 4.- El hacker AMA LA LIBERTAD, por ello lucha contra las actitudes autoritarias. Esto no significa que esté contra toda autoridad y contra todo sistema. 5.- El hacker cree en el desarrollo de habilidades (en el documento les llaman "competences"==competencias), en el aprendizaje, fundamentándose éste en la inteligencia, práctica, dedicación y trabajo duro.

¿Cuáles son las habilidades a desarrollar? 1.- Aprender a programar en varios lenguajes ("It's best, actually, to learn all five of Python, C/C++, Java, Perl, and LISP"). 2.- Conseguir un sistema operativo "tipo" UNIX y aprender a usarlo (evidentemente, en el amplio sentido de la palabra usarlo: ser capaz de utilizar toda su funcionalidad). 3.- Comprender los fundamentos de la WEB y saber crearla. Propone el conocimiento de las especificaciones actuales de HTML y, más concretamente, XHTML. Incluso apunta que el inicio del "no programador" a través de uno de estos lenguajes podría ser conveniente: son más fáciles de aprender y ayudan a "ir creándose" una forma de pensar. 4.- Conseguir un buen nivel de inglés. No por ser el idioma del imperio (que lo es) sino porque los mayores desarrollos técnicos, y por tanto la mayor cantidad de literatura, se han venido produciendo en ese idioma (una curiosidad que apunta para respaldar este punto es el caso de Linus, parece ser que comentó el código fuente del kernel que creó en su día ya en inglés… así podría compartirlo con más gente).

Bien, pues todo este conjunto de actitud y habilidad es condición necesaria pero no suficiente: sólo se es hacker cuando los demás te atribuyen esa condición.

Uno, a esta edad, se conoce lo suficientemente bien para saber que no es un hacker y que, muy probablemente, nunca llegará a serlo. Pero igualmente, uno reconoce encontrar en ese pequeño cachito que ha ido descubriendo de sí mismo ciertas coincidencias con, al menos, la "actitud vital" del hacker.

Por todo esto, a partir de hoy, habrá un "guiño" a esa "manera de vivir" en la cabecera de este sitio web.

Para profundizar en esta historia os recomiendo seguir los enlaces existentes en toda la página, leer y pensar. Yo me quedo pendiente de seguir investigando si todo esto tiene algo que ver con el humanismo. A priori se me antoja una evolución del mismo.

Salud, y disfrutad de vuestros sueños.

Dejar comentario.

Windows: sobreviviendo a la primera sesión

El objetivo de este artículo es aconsejar unas normas iniciales de actuación, mínimas, para evitar la destrucción/corrupción de los sistemas windows en sus primeros minutos de funcionamiento. La causa que me ha llevado a escribirlo es la mezcla de sentimientos de tristeza, desesperación e impotencia que muchos familiares, amigos y conocidos me muestran cuando les ha ocurrido este tipo de cosas. El problema: La instalación por defecto de los sistemas windows (Windows 9X, Windows 2000, Windows XP, etc.) es bastante insegura, como muestra este documento (y en más detalle todos los que en el se referencian al final). Concretando: los sistemas windows recien instalados tienen una serie de puertas de entrada abiertas, bien conocidas por los crackers (que no hackers como los llama mucha prensa mal informada), y que son explotadas por miles de virus, gusanos y todo tipo de variedades englobadas bajo el "palabro" inglés malware (software maligno), que quieren fastidiarnos la vida por el mero hecho, la mayoría, de hacerse notar. Las soluciones: a) Básica para usuarios de Windows XP: Seguir los pasos detallados en este documento. b) General, para los usuarios de todo tipo de Windows (y que yo prefiero por no confiar en las tecnologías de una única empresa). Seguir estos pasos:

1.- No conectar un ordenador nuevo (recien comprado o recien instalado el sistema operativo) a internet hasta haber completado los siguientes pasos. Esto quiere decir que, físicamente, el cable está desconectado de la roseta de teléfono, o que está deshabilitada la tarjeta de conexión inalámbrica, o apagado el punto de acceso o router inalámbrico.

2.- Disponer de un CD con el siguiente software actualizado: firewall personal, antivirus, navegador web y lector de correo (para los que no utilicen correo web al estilo de gmail, hotmail, terra, etc., sino que utilicen correo basado en los protocolos pop3 o imap). Un ejemplo freeware (gratis) de cada uno de estos productos (seleccionados por mi experiencia con ellos y otros similares, y sin pago de comisiones :-)) es: zonealarm (ojo, tener cuidado que hay una versión de pago, la PRO, y otra gratuita), EZ Antivirus (licencia de prueba durante 30 días), firefox y thunderbird. Hoy en día, que todo el mundo tiene una grabadora de CD, es conveniente tener un CD-RW (reescribible) con estos programas grabados, preocupándonos de tener siempre la última versión. Si no disponemos de ellos, o de otros parecidos, hemos de conseguirlos.

3.- Consultar el tutorial inicial del firewall (en nuestro caso zonealarm) e intentar comprenderlo. Para más información consultar esto (qué es un firewall) y esto (como configurar correctamente zonealarm, con capturas de pantalla y explicaciones). Igualmente, consultar el tutorial del antivirus para saber utilizarlo y actualizarlo.

4.- Instalar el firewall, el antivirus, el navegador firefox y, en su caso, el lector de correo thunderbird.

5.- No utilizar el "internet explorer" ni el "outlook" o "outlook express" y utilizar firefox y thunderbird en su lugar. Este comentario está hecho desde la fundamentación estadística: el número de vulnerabilidades que afecta a los productos "internet explorer" y "outlook" es muy grande (no voy a entrar en los motivos, ni en las justificaciones, por no ser el objetivo de este artículo).

6.- Cuando estemos seguros de que tenemos bien instalados el firewall, el antivirus y el navegador, conectaremos el ordenador a internet.

7.- Una vez conectados a internet, lo primero que hemos de hacer es ir al sitio de actualizaciones de microsoft: windowsupdate, y seguir los pasos para actualizar nuestro sistema operativo con los últimos parches desarrollados. ¡OJO! Esto hay que hacerlo con el navegador de microsoft, internet explorer, porque no funciona con ningún otro.

8.- Date un paseo por aquí y aprende algo más sobre seguridad informática. Además de las noticias que ocupan la parte central de la página de bienvenida, son especialmente importantes todos los temas del menú (en azul) situado a la izquierda, accede a ellos e infórmate. La educación en las nuevas herramientas que nos acompañan en esta época es fundamental, como siempre lo ha sido.

Con estos sencillos pasos habremos aprendido algo más de informática personal y evitaremos malos ratos, pérdidas de tiempo innecesarias y, lo que es más importante, la pérdida de nuestra información valiosa. No me gustaría acabar este artículo sin dar un par de consejos más:

• Cuando instaléis, o reinstaléis, cualquier sistema operativo deberíais hacer, al menos, dos particiones en el disco duro: una para instalar el propio sistema operativo y aplicaciones adicionales, y otra sólo y exclusivamente para vuestros datos: documentos, hojas de cálculo, etc. Así, si alguna vez tenéis que formatear el sistema por cualquier problema, bastará con formatear la partición del sistema y reinstalar este y las aplicaciones, sin haber perdido nada de vuestra partición de datos. Sé que este párrafo puede resultar algo confuso al usuario excesivamente neófito, pero bueno, sirva como apunte para seguir investigando/aprendiendo, como suele decirse: google es tu amigo, busca y encontrarás.
• Como medida de precaución, y norma de comportamiento higiénico, no abras ningún documento que no hayas solicitado, aunque proceda de un correo de tu mejor amigo (este puede tener virus y el envío puede no haber sido hecho a conciencia). La norma es: desconfía de todo lo que te llegue al no ser que conozcas el porqué te llega.

Y a modo de colofón (sin sectarismo alguno }:-)), vete pensando en cambiar a Debian GNU/Linux, o cualquier otra distribución GNU/Linux, como: Ubuntu o Guadalinex, este último especialmente indicado para los autóctonos andaluces ;-).

Algunos enlaces de interés: 1.- Como instalar un sistema windows xp "limpio" (en inglés). 2.- Un windows más seguro (en inglés). ¡OJO! no hacer nada de esto si no sabemos lo que hacemos. 3.- National Security Agency. Security Recommendation Guides. Windows XP Guides. 4.- Clasificación de enlaces y software interesantes desde el punto de vista de la seguridad. 5.- Cracker :sick: no es igual que HACKER :-O.

Dejar comentario.