Jorge Dávila / Nicaragua

El Nuevo Diario (sin comentarios)

2011-10-12T15:18:00.002-06:00

Haciendo cambios en Almidón

2010-06-08T09:58:00.000-06:00

La semana pasada tuve que modificar un sitio web creado usando Almidón como "manejador de contenidos". Almidón tiene sus bondades pero está muy poco o nada documentado.

Para poder realizar la tarea, tuve que indagar un poco el funcionamiento de Almidón. Acá mis hallazgos.

Primero, no relacionado con Almidón directamente, fue necesario crear la tabla en la base de datos, crear la secuencia y asignarla al campo respectivo de la tabla.

Segundo, mapear la tabla a las clases PHP. Esto es modificar el archivo classes/tables.class.php y agregar el código necesario de acuerdo a la definición de la tabla en la base de datos.

Luego de mapeada la tabla de la base de datos a las clases PHP, es necesario crear el archivo PHP para mostrar los datos de la capa persistente. El archivo creado por mi fue public_html/convocatoria.php

Acá, en la línea 5 aparece una llamada a la función readRecord() con el parámetro 22. El parámetro 22 hace referencia al identificador de página en la tabla página de la base de datos. Esta llamada "carga" el texto del campo texto de la tabla página para ser mostrado.

En la línea 25 se encuentra la llamada a la funcion display() con el parámetro convocatoria.tpl. Los archivos .tpl se encuentran en el directorio templates. Se debe crear el archivo con el código HTML deseado para mostrar la página de la forma como se desea.

Luego, debe agregarse el código necesario en el archivo classes/whereAreWe.inc.php para mostrar un vínculo en la sección administrativa del sitio.

Finalmente, debe modificarse el archivo templates/header.tpl para agregar el enlace en la sección de enlaces principales del sitio web (si eso es lo que se desea).

Espero que a alguno le sea útil este pequeño comentario sobre Almidón.

Audit Record Generation and Usage System

2009-09-23T19:56:00.003-06:00

ARGUS - Audit Record Generation and Usage System (o -según mi traducción: Auditoría de la Generación de Registros y Uso del Sistema) Solamente tres páginas abiertas pero más de 30 conexiones ARGUS [1] es un sistema de monitoreo y auditoría de redes, similar a tcpdump [2] o wireshark [3] en el sentido de que todas ellas pueden hacer inspección de tráfico de red en tiempo real. De hecho, todas las herramientas mencionadas [1][2][3] usan la misma librería libcap creada por los desarrolladores de tcpdump [3]. ARGUS me agrada por la presentación tabular que se puede obtener y los gráficos generados que se pueden obtener. Cierto, wireshark [3] permite también la generación de gráficos pero necesita todo el ambiente gráfico en el equipo auditor. Esta herramienta me ha sido útil para propósitos de diálogo con los tomadores decisiones quienes pueden asimilar las representaciones tabulares y gráficas pero no los datos crudos sobre la utilización del enlace. [1] http://www.qosient.com/argus/ [2] http://www.tcpdump.org/ [3] http://www.wireshark.org/

Amide - Examinador de Imágenes Médicas

2009-03-14T19:03:00.002-06:00

Amide - Examinador de Imágenes Médicas Clic sobre la imágen para agrandar Hoy alguien me dijo que tenía curiosidad por ver qué habían grabado en un CD sobre un exámen médico que se realizó, pero que no sabía como verlo. Al parecer, lo que se realizó fue una tomografía axial (no soy médico - estoy conjeturando). Bien, luego de una breve búsqueda encontré en la paquete de kubuntu 8.10 el software amide. Luego de ejecutar sudo apt-get install amide La imágen mostrada al inicio, es la lectura que hace el software de los datos grabados en CD. Aunque no sé interpretar las imágenes y la persona que quería satisfacer su curiosidad tampoco, al menos ha dado una mirada "profunda" a su cavidad craneal :-D.

iptstate

2008-12-24T19:42:00.002-06:00

GNU/Linux es un sistema operativo de red que provee herramientas potentes con ambientes gráficos de excelente calidad o herramientas de líneas de comandos que hacen la función requerida sin los adornos estéticos, cuestión de gustos la elección sobre cual herramienta usar. De tiempo en tiempo, siempre me encuentro con estaciones de trabajo con flujos de tráfico excesivo o con cierto tipo de tráfico inusual que provoca anomalías en el tráfico de red para los sistemas dentro de las redes protegidas. iptstate es un herramienta sencilla de línea de comandos que despliega en pantalla las entradas de la tabla de estados de iptables. Esta utilidad es muy buena informando sobre los equipos conectados a qué sitios. Tan útil como iptraf y menos intrusiva.

kubuntu 8.10 y kmymoney2

2008-12-23T15:48:00.003-06:00

Aunque he usado durante algún tiempo gnucash en el ambiente kde de la distribución GNU/Linux en mi computador, finalmente decidí buscar algún paquete para manejo de las finanzas proveído para KDE. Hice la búsqueda de la forma sencilla, ejecutando:

davila@nos:~$ sudo apt-cache search money

Lo que me devolvió entre otros paquetes

kmymoney2 - personal finance manager for KDE

Luego de eso, decidí instalarlo

davila@nos:~$ sudo apt-get install kmymoney2

Luego, esta es alguna de las pantallas luego de la configuración de la selección inicial del catálogo de cuentas contables. En otro momento agrego más datos sobre mi experiencia con esta aplicación.

Un servidor de conectividad con Ubuntu

2008-11-23T09:45:00.004-06:00

Describamos nuestro escenario, lo usual: La red interna ( 192.168.1.0/24 ), hace referencia a todos los equipos dentro de la empresa u organización. Por supuesto, se es libre de escoger el rango de direcciones de clase C que desee. El servidor, un equipo con Ubuntu Server 8.04 instalado. Este equipo debe tener dos tarjetas. Una conecta al switch al que están enlazados los equipos de la red interna y la otra tarjeta conecta con el proveedor de servicios de Internet. ¿Paquetes necesarios? Una vez con Ubuntu Server 8.04 en el equipo, necesitamos colocar el software necesario: Squid

apt-get install squid3

Ahora las opciones mínimas en Squid para lograr la configuración son:

redirect_program /usr/bin/squidGuard -c /etc/squid/squidGuard.conf http_port 192.168.1.1:3128 transparent acl red_interna src 192.1.0/24 http_access allow red_interna cache_peer 127.0.0.1 parent 8080 0 no-query no-digest no-netdb-exchange default

SquidGuard

apt-get install squidguard

El archivo de configuración de squidGuard, necesita al menos, el listado de urls y dominios -se pueden descargar desde http://urlblacklist.com/ - : dbhome /var/lib/squidguard/db logdir /ruta/a/los/logs/de/squid

src red_interna { ip 192.168.1.0/24 } acl { default { pass any } red_interna { permitidos !denegados any } }

Falta la parte interesante, el HAVP, el antivirus y proxy HTTP, podría usarse sin squid pero estamos aprovechando Squid para el proxy-caché.

apt-get install havp

Las opciones mínimas que necesita, son:

PARENTPROXY 192.168.1.1 PARENTPORT 3128 BIND_ADDRESS 127.0.0.1

Una vez con todo, re-inicie los servicios:

/etc/init.d/squid3 restart /etc/init.d/havp start /etc/init.d/clamav-freshclam

Por supuesto, no olvide colocar las reglas de firewall para hacer uso del proxy-caché transparente en squid

iptables -A PREROUTING -p tcp -m tcp \ --dport 80 -j REDIRECT --to-ports 3128 iptables -A POSTROUTING -o $nic_internet -j SNAT --to-source w.x.y.z

¿Debian o Ubuntu para escritorio?

2008-11-10T10:41:00.003-06:00

Escritorio GNU/Linux Debian

De tiempo en tiempo alguna persona no informática o algún informático indaga mi recomendación sobre qué distribución GNU/Linux usar para el escritorio de los usuarios. En este punto, me interesa conocer primero cuál es la situación: ¿es un usuario casero? ¿es un usuario dentro de una empresa? ¿qué aplicaciones se ejecutarán en el equipo? Aunque un usuario casero o de empresa, normalmente necesita: .- El sistema operativo .- La suite de oficina .- Otras aplicaciones comunes para: edición de imágenes,creación de gráficos vectoriales, reproducción de archivos multimedia (audio, video) No todas las distribuciones proveen por defecto los codecs para reproducción multimedia, por ejemplo. Ubuntu es una distribución muy amigable, cada vez que no se encuentra un códec instalado en el equipo, muestra una ventana de diálogo solicitando autorización para descargar el códec faltante. OpenSuse también reproduce los archivos multimedia, pero la distribución -OpenSuse- es un poco más exigente con el hardware. Luego, Debian provee también en la instalación por defecto, la capacidad de reproducir archivos multimedia. Fedora no provee la capacidad de reproducir archivos multimedia por defecto. Siendo estas las distribuciones más comúnes, recomendaría Ubuntu para usuarios de empresa o caseros que cuenten con una conexión a Internet para que el sistema descargue por sí mismo lo que haga falta. Si es un usuario casero recomendaría que usara Debian, los DVD de la distribución llevan todo el software que podría utilizar. Por ejemplo, luego de finalizar la instalación de un sistema GNU/Linux Debian la primera tarea es agregar los DVD al conjunto de repositorios de software para que los programas pueden ser fácilmente localizados. Los pasos son: (1) Introducir el DVD en la unidad lectora (2) En una consola, como root, ejecutar:

apt-cdrom -d /media/cdrom add

(3) Repita los pasos (1) y (2) para cada DVD del conjunto Una vez agregados los DVD, puede ejecutar, en la consola, algo como [1]: apt-get install blender audacity inkscape dia scribus scribus-template planner Para obtener un poderoso creador de gráficos en 3D, un editor de audio, un creador de gráficos vectoriales, un programa similar a Visio, un paquete para maquetación y publicación impresa y un programa para administración de proyectos. Estas mismas aplicaciones pueden ser descargadas desde Internet para Ubuntu -si posee conexión a Internet. [1] Puede usar el programa Synaptic para Agregar/Quitar programas de forma gráfica

Servidor Ubuntu 8.04

2008-11-04T13:13:00.005-06:00

Luego de varias pruebas y de alguna adaptación personal a la lógica de los archivos de configuración de la versión de servidor ubuntu 8.04 he decidido colocar un servidor en producción. El equipo mencionado está sirviendo a una red de cerca de 100 usuarios y ha servidor muy bien al propósito de filtrar contenidos, hacer proxy-caché y bloquear el tráfico p2p (con algún esfuerzo adicional porque no es parte de la instalación por defecto) Esta es una muestra de la carga del sistema con la utilidad "top": Como pueden ver, el sistema afronta una carga mínima. El proxy-caché está configurado para guardar objetos (archivos "cacheados") de hasta 2GB -porque este es el máximo que permite la versión compilada de squid3 en Ubuntu 8.04. También, la configuración del firewall para evitar la descarga p2p ha ayudado mucho a incrementar la optimización del uso del ancho de banda. La primera línea en la cadena FORWARD se encarga del bloqueo al tráfico p2p Bien, estos son mis comentarios para la versión de servidor de Ubuntu 8.04

Software libre: ¿Ser o no ser?

2008-11-01T12:30:00.002-06:00

NOTA: Originalmente publicado en El Nuevo Diario [http://impreso.elnuevodiario.com.ni/2008/11/01/informatica/88086]

Actualmente muchos usuarios de computadoras tienen la disyuntiva de continuar usando Windows XP, cambiar a Windows Vista o migrar GNU/Linux. La disyuntiva no solamente depende de recursos de hardware, sino también de cuestiones legales. ¿Por qué? Windows Vista requiere para un rendimiento óptimo al menos 4 GB de RAM, un procesador de al menos 1 Ghz, y luego, debido al esquema Digital Right Management (DRM) muchos de los usuarios piratas se ven imposibilitados de instalar todo el software no licenciado que acostumbran usar volviendo con cierta furia y desencanto a Windows XP. Pero, ¿qué pasa en la empresa o en las organizaciones ante este dilema? El trabajo diario no debe detenerse y la opción es pagar por todo el software que se usa: Sistema Operativo Windows, suite de oficina, programación, sistemas contables y todos aquellos softwares en uso en el ambiente laboral de una empresa. En este punto, algunos ven otras opciones en el horizonte, como Ubuntu, OpenSuse, Debian, Fedora y otras distribuciones GNU/Linux disponibles. ¿Es posible usar software libre en la empresa? La batalla entre el software propietario y el software libre es la lucha por el escritorio de los usuarios. En la práctica todos los aspectos de la empresa pueden ser manejados por programas de software libre, desde aplicaciones de mensajería instantánea, pasando por la suite de oficina, programas de contabilidad, hasta llegar a aplicaciones tan potentes y robustas para la empresa como administración de la conectividad, servidores de correo electrónico y aplicaciones para trabajo colaborativo (como el seguimiento del personal humano que ejecuta los proyectos). Si se leen las licencias de software libre y software propietario, una coincidencia básica es que ninguna ofrece garantía sobre los datos que manejan las aplicaciones. Una diferencia importante es que la licencia de software libre no impone restricciones sobre el copiado, distribución y modificación del software libre adquirido y puede elegir pagar por el software libre o implantar alguna distribución gratuita de GNU/Linux. Además, tampoco hay restricciones sobre el número de conexiones a servidores de bases de datos, por ejemplo, más allá de aquellas impuestas por las capacidades que provean los recursos de hardware del equipo. Si se pueden encontrar casos de miles de equipos migrados a GNU/Linux en naciones de primer mundo, con presupuestos de primer mundo, en empresas de alta rentabilidad, dadas las bondades que ofrece el software libre, ¿qué impide a empresas del tercer mundo, con presupuestos de tercer mundo, optar por soluciones de software libre? Los tomadores de decisiones en el área tecnológica del gobierno, organizaciones de la sociedad civil y empresas deben replantearse la estrategia a seguir en lo relativo a tecnología para obtener de la tecnología lo mejor que ésta pueda ofrecer, y ello incluye considerar con mucha seriedad las opciones y oportunidades que brinda el software libre.

Entrevista en Primera Hora, Canal 2

2008-09-27T10:38:00.004-06:00

Una entrevista de 10 minutos en Primera Hora, Canal 2, el día martes 22 de septiembre sobre firewalls. Si en su empresa se hace uso de Internet, tiene Internet en su casa o posee un cyber-café no le molestaría ver la entrevista en el enlace: Entrevista en Primera Hora, Canal 2

Error de licencia de DocuShare

2008-06-09T10:24:00.002-06:00

Hoy he estado indagando algunas especificidades sobre el marco legal del uso del software (propietario o libre) y al tratar de recolectar datos del sitio http://www.mific.gob.ni/ recibí: El personal responsable de las decisiones tecnológicas debe hacer notar las ventajas/desventajas del uso de uso de software propietario o software libre a usar en la empresa u organización. Alguno podría argumentar que el MIFIC (Ministerio de Fomento a la Industria y el Comercio) está violentando la ley de acceso a la información pública.

Squid: parseHttpRequest: Unsupported method

2008-06-07T16:30:00.003-06:00

He estado observando la aparición de numerosas entradas con los siguientes datos:

Jun 7 16:29:39 ns2pub2 squid[2543]: clientReadRequest: FD 78 (w.x.y.z:4994) Invalid Request Jun 7 16:29:39 ns2pub2 squid[2543]: parseHttpRequest: Unsupported method 'entersomenicedatastringshereidontthinkthisislongenoughsoiwilladdmorehehe^M^M162628 233434^M^M '

Por un lado esto genera el llenado excesivo de los registros que al final podría provocar la caída del servidor proxy-caché. Por otro, es un indicado de la existencia cada vez más común de las amenazas provenientes de las redes internas. Además debe temporalmente bloquearse el acceso (vía firewall) para proceder con la "limpieza" del equipo del cual proviene la amenaza..

Nuevo código penal entra en vigencia

2008-05-17T12:55:00.001-06:00

El nuevo código penal de Nicaragua entra en vigencia. Fue publicado en las Gacetas No. 83, 84, 85, 86 y 87 de los días 05, 06, 07, 08 y 09 de mayo del 2008.

Redes P2P ¿Ser o no ser?

2008-05-09T09:42:00.003-06:00

Los programas P2P son hambrientos consumidores de ancho de banda. Su uso para compartir música, video y otros tipos de medios protegidos por derechos de autor y propiedad intelectual hace que permitir o no permitir el tráfico P2P sea un dilema no solo para administradores de red sino también para aquellos interesados en proteger del uso indebido recursos protegidos por leyes de derechos de autor y propiedad intelectual. En Nicaragua alguno ha elogiado el uso de redes P2P [1] pero el gobierno de Francia no ve con ojos amables las actividades relacionadas con las redes P2P [2]. Bien, para mí, este es el segundo caso en el que estoy directamente envuelto en la configuración de un dispositivo para bloquear este tipo de tráfico. He seguido las instrucciones de un artículo [3] del sitio http://www.debian-administration.org/ con algunas modificaciones.

apt-get install libncurses5 apt-get install libncurses5-dev apt-get install gcc-3.3 make CC=gcc-3.3 menuconfig && make CC=gcc-3.3 prepare \ && make CC=gcc-3.3 modules_prepare

Espero sirva a alguno y ahorre el tiempo que me tomó saber estos pasos adicionales. [1] http://impreso.elnuevodiario.com.ni/2005/04/24/informatica/31937 [2] http://french-law.net/index.php?option=com_content&task=view&id=27&Itemid=162 [3] https://www.debian-administration.org/articles/562

metasploit

2008-03-31T14:16:00.013-06:00

Metasploit como dicen los desarrolladores "was created to provide information on exploit techniques and to create a useful resource for exploit developers and security professionals" Si desea instalarla, en Debian debe proceder de esta forma:

apt-get install ruby ruby libruby rdoc libyaml-ruby libzlib-ruby libopenssl-ruby libdl-ruby libreadline-ruby libiconv-ruby rubygems nmap

Luego, descargue la herramienta del sitio oficial. [1] Una vez descargado, descomprima el archivo

tar -xzvf framework-3.1.tar.gz

Ahora, cámbiese al directorio recien creado durante la descompresión

debian:~# cd /home/linux/metasploit/framework-3.1

Ejecute el daemon

./msfd

Cargue la consola

./msfconsole

En este punto, el recorrido es: Para visualizar los posibles ataques Elija el que desee probar Muestre las posibles vías de ataque: Elija una vía de ataque y establezca sus opciones: Ejecute: A la luz de nuestro nuevo código penal ejecutar sin autorización del propietario del servidor la herramienta contra el objetivo puede significar cárcel. Claro, es importante mantenerse al día con las actualizaciones de software, establecer las adecuadas políticas de seguridad perimetral, las adecuadas políticas de personal, planes de contingencia y velar sistemáticamente los servicios y servidores expuestos públicamente. Este documento no se ha escrito con el fin de propiciar más ataques, sino con el fin de mostrar la facilidad con que un intruso con escasos conocimientos técnicos podría hacerse del control de nuestros sistemas. Si desea ver un video puede visitar este enlace [1] http://metasploit.com/framework/

SSH: Depurando mi configuración

2008-03-30T08:53:00.004-06:00

Luego de observar durante varios días un retardo del cliente ssh para mostrar el diálogo de petición de clave para inicio de sesión en el servidor remoto, decidí "rastrear" el problema. Al activar el modo "verbose" para recibí esto:

debug1: An invalid name was supplied Cannot determine realm for numeric host address debug1: An invalid name was supplied A parameter was malformed Validation error debug1: An invalid name was supplied Cannot determine realm for numeric host address debug1: An invalid name was supplied A parameter was malformed Validation error

Luego de indagar en algunas opciones, la orden para evitar el retardo es:

ssh -o "GSSAPIAuthentication no" usuario@1.2.3.4

Claro, la configuración de la opción puede establecer en el archivo ~/.ssh/config

Día de la Libertad del Documento

2008-03-15T08:18:00.003-06:00

El miércoles 26 de marzo se celebrará por primera vez el Día de la Libertad del Documento (DFD). Este es un día para difundir y promover el uso de estándares abiertos. Evento * Fecha: Miércoles 26 de marzo 2008 * Hora: 9:00 am - 5:00 pm * Local: IES/UNI Auditorio Salomón de la Selva * Organiza: Grupo de Usuarios GNU/Linux de Nicaragua (GUL-NIC) Acerca de El Grupo de Usuarios GNU/Linux de Nicaragua (GUL-NIC) está compuesto por cuatro grupos locales de GNU/Linux. * Grupo Ubuntu Nicaragua * openSUSE/NUI Nicaragua * Comunidad Debian GNU/Linux Nicaragua * Fedora Nicaragua Enlaces http://www.linuxtour.org/

¡Gracias al equipo técnico de la Contraloría!

2008-02-29T10:14:00.001-06:00

Ya es accesible el sitio web de la contraloría usando Firefox.

¿Obligándonos a usar tecnología propietaria?

2008-02-15T15:55:00.005-06:00

Hoy decidí anotar un pequeño comentario al sitio web de la Contraloría General de la República. Resulta que al entrar al sitio con el navegador firefox, se muestra la página siguiente: La programación del sitio no admite la navegación usando firefox ¿el gobierno de la república apoya los monopolios? Aunque firefox no presenta alguna opción que permita enviar otra identificación de navegador, con el navegador konqueror es nada más decir que reporte ser IE y listo, ¿por qué tomarse la molestia de ocultar el sitio a firefox? Vuelvo a preguntar, ¿el gobierno de la república apoya a los monopolios? El Artículo 4 Constitucional menciona:

Art. 4. [Promoción y garantía de avances sociales y políticos] El Estado promoverá y garantizará los avances de carácter social y político para asegurar el bien común, asumiendo la tarea de promover el desarrollo humano de todos y cada uno de los nicaragüenses, protegiéndolos contra toda forma de explotación, discriminación y exclusión.

Creo que el obligarme a usar IE para ver un sitio me discrima y trata de excluirme de usar la tecnología que yo desee (tecnologías libres en este caso).

Linux Tour 2008 | Inauguración

2008-01-20T10:37:00.000-06:00

Usurpación de identidad

2007-12-06T18:49:00.000-06:00

Algunas veces uno podría creer que un ataque de usurpación de identidad es realmente ridículo. Pero bien, la mayoría de los usuarios no leen el mensaje en pantalla antes de hacer clic y este comportamiento del usuario común es el que hace que estos ataques sean exitosos. Hoy recibí un correo pidiendo renovar mi datos de paypal.com desde mi dirección de correo. Acá los datos del correo que me fue enviado. X-EN-OrigOutIP: 10.1.12.35 X-EN-IMPSID: McEA1Y0050lNALy0000000 Received: from wwwuser by cgi0802.yourhostingaccount.com with local (Exim) id 1J0Qr3-0007W2-N0 for davila@nicaraguaopensource.com; Thu, 06 Dec 2007 19:14:09 -0500 X-EN-Info: U=pow.fredwing P=/zencatalog/blue/test.php X-EN-CGIUser: pow.fredwing X-EN-CGIPath: /zencatalog/blue/test.php X-EN-OrigIP: 82.114.72.76 Message-Id: 1196986449-pow.fredwing@cgi0802.yourhostingaccount.com To: davila@nicaraguaopensource.com Subject: Please Restore Your Account Access From: PayPal Billing department

Conferencia sobre Software Libre UCA

2007-11-26T17:50:00.000-06:00

Estos son distintos fragmentos sobre mi exposición acerca de estándares, tecnología, software libre y software propietario en la Universidad Centroamericana el día viernes 23 de Noviembre del 2007. Los videos están colocados originalmente en http://www.youtube.com/user/DexterNica Fragmento No. 1 Fragmento No. 2 Fragmento No. 3 Fragmento No. 4

Artículo 250 del nuevo Código Penal

2007-11-18T14:11:00.000-06:00

En el nuevo Código Penal de la República de Nicaragua [1], en el artículo 250 se lee: Artículo 250. Protección de programas de computación

Será sancionado con prisión de dos a tres años y multa de trescientos a quinientos días e inhabilitación especial de tres a cinco años para ejercer el cargo, profesión, oficio, industria, comercio o derecho relacionado con la conducta delictiva, quien contraviniendo la ley de la materia fabrique, distribuya o venda mecanismos o sistemas que permitan o faciliten la supresión no autorizada de dispositivos técnicos que se hayan utilizado para evitar la reproducción de programas de computación.

Esto es un punto importante que los profesionales del campo de las Tecnologías de la Información y Comunicación deben tener presente al momento de brindar asesorías y/o consultorías para desarrollar aplicaciones o implementar servicios en las empresas, organizaciones o el gobierno. La práctica de piratería de software que ha sido considerada "normal" en nuestro país, ahora está penalizada. ¿Alternativas? En la plataforma de software libre / código abierto, existen opciones equivalentes para cada una de las funciones requeridas: Sistema Operativo: Ubuntu [2] o RedHat [3] para nombrar dos de las distribuciones más populares. Al adquirir el sistema operativo mediante compra para obtener soporte por hasta cinco años en el caso de Ubuntu. Al comprar, se tiene acceso a algunas funcionalidades que no están cubiertas en las distribuciones gratuitas (como Debian o Fedora). Por ejemplo, se tiene acceso a reproducir formatos de audio o formatos de video propietarios (como mp3 para audio o mpeg para video). ¿Soporte local? Desde hace algunos años el INATEC [4] ha autorizado a algunos colegios técnicos a impartir cursos de administración de servidores con software GNU/Linux. Recientemente, hay escuelas de computación enseñando en los cursos de operadores con software GNU/Linux. Aunque es un tema de amplio debate en círculos académicos, jurídicos y filosóficos qué debemos comprender y entender como un bien común de la humanidad y buscando alternativas que no signifiquen infringir la ley nicaragüense, el software libre / código abierto, es una opción perfectamente legal, viable tecnológicamente al brindar soluciones y alternativas a las aplicaciones de software propietario. Las empresas, a cualquier escala, deben empezar a planificar la migración de sus sistemas de software propietario a sistemas de software libre / código abierto para no ver interrumpida sus operaciones por un cierre intempestivo o el encarcelamiento de su personal por no cumplir con lo que la ley manda. Enumerando las alternativas La licencia de usuario final de los sistemas MS - Windows prohibe la realización o publicación de pruebas comparativas, esto es solo una enumeración de las alternativas disponibles con una breve descripción de la alternativa. Vale decir que estas alternativas vienen en cada distribución GNU/Linux. Microsoft ISA Server -> Squid + netfilter/ iptables Squid es el proxy-caché de facto de la comunidad linuxera para administrar el acceso a Internet. netfilter/iptables son las herramientas usadas como firewall para implementar la seguridad perimetral. Adicionalmente, puede incluirse SquidGuard[5] en esta enumeración. Microsoft Exchange Server -> sendmail + dovecot Un servicio de correo implica realmente enviar y recibir correo. sendmail es usado ampliamente para envío de correo y dovecot para recepción. Compartición de archivos e impresoras -> samba La implementación libre samba del protocolo sistema de ficheros comúnes de Internet (cifs) tiene un excelente rendimiento y funcionalidad. Suite de oficina -> OpenOffice La suite de oficina OpenOffice tiene incluso las mismas teclas de funciones para realizar las tareas y puede leer los archivos de documentos de la suite de oficina de Microsoft. También, puede exportar (o guardar por defecto) los archivos en formato de documento de los documentos de la suite de oficina de Microsoft. Mensajería -> Kopete Kopete es un programa de mensajería instantánea embarcado en el escritorio KDE. Permite la importación de los emoticones más actuales del mensajero de Microsoft. Corel Draw, Adobe Illustrator -> Inkscape Inkscape es un programa de dibujo vectorial en pujante desarrollo. Vale la pena echarle una mirada para ver de lo que es capaz el programa. AutoCAD -> qcad qcad tiene el inconveniente de solo poder crear gráficos en dos dimensiones Creación de animaciones -> blender Sorpréndase, blender es usado ampliamente para crear películas [6] Aclaraciones Internet está basada en protocolos y/o estándares El formato de documentos de OpenOffice es el estándar de la industria no el formato de documento de los documentos de la suite de oficina de Microsoft. Los servicios de correo se atienen a las reglas definidas por los protocolos smtp para envío y pop3 para recepción. El software libre es cuestión de libertad de elegir qué software usar, en que formato guardar los documentos, en qué formato guardar archivos de audio o video. Conclusión Espero que estos comentarios sirvan para ayudar a la toma de decisiones en cuanto tecnología que sean consecuentes con el nuevo marco legal en nuestro país. [1] http://www.asamblea.gob.ni/opciones/agenda/2007/IISESION/AgendaBase/3.5.doc [2] http://www.ubuntu.com/ [3] http://www.redhat.com/ [4] http://www.inatec.edu.ni/ [5] SquidGuard es un filtro de contenido para discriminar el acceso a Internet por dirección url, por dominio, por tipo de contenido (video o audio por ejemplo) o por alguna frase en la dirección url. [6] http://www.blender.org/features-gallery/movies/

Acceso remoto a escritorios

2007-11-14T19:01:00.000-06:00

En muchas ocasiones y por diversas razones me he visto en la necesidad de conectarme a escritorios remotos. Acá los pasos necesarios para lograr el escenario: Configuración de los equipos Windows

Descargue el software TightVNC de http://sourceforge.net/projects/vnc-tight/
Instale el software (Recuerde cambiar la clave) e instalar el software como servicio de Windows
Abra paso el firewall para el puerto 5900/tcp -por supuesto, también asigne este puerto para escucha.

Configuración de los equipos GNU/Linux Lo mostrado acá aplica a Debian Etch Para instalar el software ejecute apt-get install tightvncserver Luego, similar que el paso anterior, recuerde abrir paso en el firewall para el tráfico. Interacción entre el sistema Windows y el sistema GNU/Linux Desde Windows al sistema GNU/Linux Primero, ejecute el servidor tightvnc

:~$ tightvncserver :1

Luego, ejecute el visor y apunte al sistema. Consideraciones de seguridad No use conexiones a escritorios remotos de escritorio a través de Internet a no ser que sea a través de un túnel VPN.

Última hora: Nicaragua SFD 2007

2007-11-12T15:02:00.000-06:00

[Softwarelibre] Última Hora

Leo Gomez leo.telsen en gmail.com Dom Nov 11 18:20:11 CST 2007

Próximo mensaje: [Softwarelibre] Re: Última Hora
Mensajes ordenados por: [ fecha ] [ hilo ] [ asunto ] [ autor ]

Señoras y señores,

Me complace informarles que el evento SFD Nicaragua 2007 ha sido
seleccionado cómo el Mejor Evento SFD del año entre más de 330 eventos en 90
países alrededor del mundo.

Este reconocimiento internacional es para nosotros un gran orgullo y nos
llena de satisfacción el saber de que en Nicaragua sí se pueden hacer las
cosas cuándo se hacen con convicción y con compromiso.

Gracias nuevamente a todos los que pusieron su granito de arena para hacer
de éste el mejor evento a nivel mundial. Estaremos ya el día de mañana
emitiendo un comunicado oficial, el cuál va a coincidir con una conferencia
de prensa internacional que brindará la SFI, organizadora del evento.

Saludos,

PD: Mil disculpas por el envío cruzado...

Política de uso de Internet

2007-11-10T07:45:00.001-06:00

Internet es terreno salvaje, pero ahora, no se piensa en una empresa sin que esta haga uso del recurso Internet. Hacer uso de Internet implica, para la mayoría de los casos, hacer uso de:

Servicio de nombres de dominio
Servicio de configuración dinámica de hosts
Servicio de envío/recepción de correo
Servicio web
Firewalls
Proxy-caché
Filtros de contenido

Esto, mencionando solo los servicios comunes. El servicio de nombres de dominio El servicio de nombres de dominio tiene la tarea de asociar nombres de recursos (por ejemplo: blog.NicaraguaOpenSource.com a la dirección ip 1.2.3.4 ). Organizaciones dispersas geográficamente y con diversos servicios ubicados en distintas ubicaciones remotas podrían hacer uso del servicio de nombres de dominio para mejor su imágen corporativa y organizar mejor su infraestructura tecnológica. Así, podrías usarse nombres similares a:

www.nicaraguaopensource.com Para nombrar el servidor web
correo.nicaraguaopensource.com Para nombrar al servidor de correo
ns.nicaraguaopensource.com Para nombrar al propio servidor de nombres de dominio

A su vez, el propio servidor de nombres podría ser dividido para nombrar a los servicios y equipos internos:

ns1priv1.nicaraguaopensource.com (Para nombrar el servidor de nombres haciendo la resolución de nombres para los recursos a la interno de la organización)
sysadmin.nicaraguaopensource.com (Para nombrar el equipo del administrador de nombres)

El servicio de configuración dinámica de hosts No tener configurado el servicio de configuración dinámica de hosts implica, para el administrador de sistemas, ir de equipo en equipo introduciendo los parámetros de la configuración tcp/ip. El servicio de configuración dinámica de hosts se encarga de enviar los parámetros de la configuración tcp/ip cuando el equipo lo solicita. Los parámetros enviados pueden ser:

Servidor de nombres de dominio
Pasarela predeterminada
Servidor WINS
Tipo de nodo Windows

Además, el servicio de configuración dinámica de hosts ayuda en la identificación de los equipos por su dirección MAC lo que además facilitará las tareas administrativas para localizar tráfico inusual (como el generado por virus que han logrado infectar algún equipo en nuestras redes). El servicio de envío/recepción de correo Los usuarios con acceso al servicio de envío/recepción de correo deben en términos generales:

No hacer uso del correo empresarial para sus comunicaciones personales
No participar en ningún envío de cadenas por correo
No suscribirse a listas de correo usando el correo empresarial a menos que tenga autorización para ello y que su participación en las listas de correo a las que se suscriba no dañe el prestigio o la imagen corporativa de la institución

El servicio web El sitio web empresarial debe reflejar correctamente la imágen corporativa de la empresa. Debe estar actualizado, tener una clara descripción de los servicios y/o productos ofrecidos por la empresa e identificar claramente las vías de contacto con el personal de la institución. No debe contener información confidencial que pueda ser accedida vía web. Firewalls Los firewalls sirven para crear la defensa perimetral tanto de los dispositivos públicamente expuestos como de los sistemas de escritorio de los usuarios, no debe desactivarse. Proxy-caché Los proxy-caché ayudan a optimizar el uso del ancho del banda contratado. Cuando un usuario de la red interna visita un recurso (léase, un documento html o página web) el proxy-caché crea una copia local del recurso, luego, cuando otro usuario visita el mismo recurso se le entrega la copia local sin volver a descargarlo del sitio web remoto. Filtros de contenido Los programas de filtro de contenido también ayudan a optimizar el uso del recurso Internet dando la posibilidad de bloquear el acceso, por ejemplo, a contenido pornográfico. Consideraciones sobre la seguridad de los servicios Los párrafos siguientes no deben tomarse tomarse como material acabado sobre el aseguramiento de los servicios, solo son sugerencias mínimas para contribuir a la estabilidad de los servicios de Internet. Servicio de nombres de dominio y servicio de configuración dinámica de hosts El servicio de nombres de dominio debe estar disponible para que los recursos sean localizados basados en nombres DNS. Parte de esta disponibilidad incluye también la realización de transferencias de zona DNS, las cuales solo deben ser admitidas desde los servidores de nombre autorizados. Los servidores DNS del dominio deben estar configurados para admitir las transferencias de zona solo entre los servidores de nombre del dominio. Asimismo los firewalls deben bloquear el tráfico de transferencias de zona que no provenga de los servidores de nombre autorizados. El servidor DHCP también debe "atarse" al servidor de nombres para facilitar la administración. El tráfico de la comunicación entre el servidor de nombres y el servidor de configuración dinámica de hosts debe estar protegido mediante protocolos criptográficos y autenticado. Servicio de envío/recepción de correo El servicio de correo debe también estar protegido con protocolos criptográficos. Debe filtrarse la cola de correos de los servidores de correos en búsqueda de virus y usar encriptamiento con protocolos criptográficos para proteger los correos con datos sensible durante su transmisión por Internet. Servidores web Los servidores web solo deben servir los lenguajes humanos y codificaciones esperadas y solo deben cargarse los módulos necesarios. Firewalls Los firewalls deben ser restrictivos. Inspeccionar tanto el tráfico que entra como el que sale. Solo debe abrirse paso para el tráfico entrante/saliente esperado. Observación válida tanto para servidores como para estaciones de trabajo. Proxy-caché y filtros de contenido Ambos servicios solo deben estar disponibles para los usuarios de las redes internas y al igual que el resto de servicios, en constante monitoreo y actualización. Conclusión No hay bala de bala de plata para aniquilar al monstruo, para librarnos de todas las amenzas. Estos comentarios son solo un pequeño aporte personal para mejorar las prácticas sobre el uso de Internet. Espero sean de utilidad a alguno.

Administración de cuotas de discos

2007-11-06T12:01:00.000-06:00

Normalmente, en cualquier sistema operativo, los administradores deben lidiar con la asignación del espacio en disco para los usuarios con acceso al sistema. Ello es relevante, por ejemplo, para la administración:

Usuarios con archivos/directorios compartidos en una red interna
Usuarios que alojan sitios web con proveedores de servicios de Internet

Se ha probado la configuración mostrada acá en un sistema Debian Etch. Primero, debe instalarse los binarios a utilizar: apt-get install quota quotatool Luego, cambiar la configuración en el archivo /etc/fstab para el sistema de ficheros al que deseemos activar la administración de cuotas, en este ejemplo es /home /dev/mapper/ns2priv1-home /home ext3 defaults,nosuid,nodev,usrquota,grpquota 1 2 Una vez hecho el cambio, remonte el sistema de ficheros: ns2priv1:~# mount -o remount /home Llegó el momento de establecer las cuotas por usuario: ns2priv1:~# setquota -u 100 200 10 15 -a /home También, pueden establecerse cuotas por grupo: setquota -g 5 100 6 10 -a /home No olvide agregar los usuarios al grupo específico al que se ha habilitado la administración de cuotas. Puede solicitar ahora el reporte de las cuotas con: ns2priv1:~# repquota -g /home ns2priv1:~# repquota -u /home Referencias: [1] http://souptonuts.sourceforge.net/quota_tutorial.html

Ataques de ingeniería social

2007-10-31T19:24:00.000-06:00

Los ataques de ingeniería social requieren destrezas sobre el manejo de las relaciones personales, conocimiento sobre el manejo de los proceso humanos dentro de la organización objeto de los ataques. Vale decir que las guerras nos han enseñado a los seres humanos que los medios de comunicación masiva son capaces de tergiversar las noticias para dar otro sentido a la realidad que se vive [1]. Es tanto así que el pueblo alemán no tenían noción de lo que realmente estaba ocurriendo en la II guerra mundial y creían de buena fe que estaban siendo llevados por buen camino (!!!). Algunos ataques son tan simples como hacer una llamada al administrador de sistemas de turno y pedir el restablecimiento -"reseteo"-de su clave de correo debido a que se olvidó la misma (o de algún otro recurso protegido detrás de la pareja usuario/clave). Si el administrador no es consistente identificado al usuario al otro lado de la línea (mediante número de factura/contrato - que también podría haber sido robado) podría verse obligado a restablecer inmediatamente la clave o colgar y regresar la llamada al número de teléfono registrado por el usuario durante la contratación del servicio. Otros ataque más atrevido es ingresar a la planta física de la institución y hablarle a la gente como si la conociera - saludarla, intercambiar algunas palabras sobre el tiempo, sobre acontecimientos coyunturales - ello ayuda a que las personas a su alrededor descansen la mirada vigilante y digan "es de los nuestros". También, hay variantes diseminando información falsa o tergiversada para hacer que las personas interesadas en la información falsa o tergiversada difundida indagan dando a su vez sus datos personales. En general, es bueno verificar la fuente de los datos, observar si los mismos datos son vertidos por diversos canales (televisión, radio, periódicos). Diferenciar comunicaciones oficiales de rumores que pretenden conocer y reconocer la reacción de las personas ante la ocurrencia de algún suceso. Como dicen los padres, "no hablés con extraños". Es un sano consejo. [1] http://en.wikipedia.org/wiki/Joseph_Goebbels

Probando GNU/Linux

2007-10-29T19:03:00.000-06:00

Es cierto, no importa cuánto cuesta. Lo que importa es que haga lo que supone que tiene que hacer. Estuve conversando hoy con un técnico de una empresa de servicios TIC privada. Me comentó que finalmente se decidió a probar GNU/Linux en su computadora portátil. Como me pareció interesante la conversación, decidí preguntar qué era lo que más le había llamado la atención del proceso de migración personal. Así, por decirme que bueno, tenía el inconveniente de que la gente dentro de la empresa donde trabaja se resiste a usar OpenOffice aunque tenga que hacer piratería para usar Microsoft Office 2007. Los dos hacen lo mismo pero uno tengo que robarlo -SÍ, ROBARLO, o comprar licencia de unos $ 300 dólares para poder usarlo mientras el otro solo lo descargo, lo instalo y lo uso. También me comentó que usa Acetone en lugar de Alcohol para manejo avanzado de CD/DVD. Claro, se descargó Nero [1] para GNU/Linux. Acá mi impresión es que bueno, yo uso k3b y para nada me he visto en necesidad de Nero [1] o de Acetone. Para mensjaería instantánea se escogió Kopete. Por cierto, el instalador reconoció perfectamente su hardware, tarjeta inalámbrica incluida. [1] http://www.nero.com/eng/linux3.html

Comunidad en orkut.com

2007-10-28T15:26:00.000-06:00

He creado una comunidad en http://www.orkut.com/Community.aspx?cmm=40919026 Talvez alguno de todos los que van aterrizando en mi blog se animan a entrar en ella.

Seguridad corporativa

2007-10-25T15:28:00.000-06:00

No existe actualmente un estándar acabado que detalle para las empresas los procedimientos a seguir para asegurar la infraestructura tecnológica que poseen. La seguridad por sí misma, no es un producto, si no un conjuntos de procesos y procedimientos en constante cambio para adaptarse a las nuevas particularidades de los cambiantes entornos tecnológicos. ¿Por qué cambiantes? Los usuarios de las redes corporativas son migrados de Windows XP a Windows Vista o incluso a sistemas GNU/Linux o algún otro sistema operativo para satisfacer necesidades particulares. Por ejemplo, se ha abierto una nueva sucursal del negocio en una localidad remota geográficamente que necesita acceso a recursos internos de la oficina central (bases de datos, registros de clientes). O, el uso de dispositivos capaces de transportar enormes cantidades de datos (que podrían ser sensibles para la empresa) se han masificado - como las memorias flash y las computadoras portátiles. Debido a la necesidad de garantizar la estabilidad de la plataforma tecnológica y que continúe operativa incluso en caso de desastres (incendios, tormentas, ataques masivos en caso de guerra convencional o incluso en caso de guerra atómica). Vale decir acá que Internet nació como proyecto de investigación avanzado del Departamento de Defensa de los Estados Unidos de América [1] y tenía como uno de sus objetivos que la conectividad de las redes de computadoras no se viera interrumpida por un desastre en algún punto particular de la red. Viendo todo el bosque y no solo el árbol al que algunos se han acercado, la seguridad corporativa tiene como propósitos que estos elementos no se vean afectados:

Confidencialidad
Integridad
Disponibilidad

No siendo afectados, se garantiza la disponibilidad de datos y servicios. Esto haciendo referencia a la triada CIA [2] cuyo enfoque también es cuestionado [3]. Así, el término confidencialidad hace referencia a que los datos solamente sean conocidos por aquellos usuarios debidamente autenticados (José es quien dice ser, las pruebas biométricas, huella dactilar o identificación retinal lo han identificado positivamente como José) y autorizados a tener acceso al archivo del cliente X ubicado en Chinandega. Entendiendo por autorizado como "José (que ha sido debidamente identificado) tiene acceso al archivo del cliente X ubicado en Chinandega". Puede implementarse Redes Privadas Virtuales [4] para proteger la confidencialidad e integridad de los datos entre dos puntos remotos. La disponibilidad depende de la condiciones de la red entre todos los puntos que unirían las redes locales remotas. Integridad se refiere a que los datos no sean alterados en su almacenaje o durante el envío, tránsito o recepción. Disponibilidad, es más comprensible, los datos deben estar disponibles para cuando el cliente solicite o el personal deba consultarlos. Para enumerar, los servicios de seguridad que deben proveerse a las corporaciones son:

Autenticación
Autorización
Monitoreo
Auditoría

En la mayoría de ambientes en nuestro país, sino en todos, la autenticación está basada en el par nombre_de_usuario/clave_de_usuario sin ningún protocolo criptográfico habilitado. Es decir, cualquiera, con solo el conocimiento de cómo se instala un programa, dentro del perímetro del usuario que intenta iniciar una sesión para tener acceso, por ejemplo, a un servidor de archivos puede lanzar un analizador de tráfico y capturar la pareja nombre_de_usuario/clave_de_usuario. Una autenticación diferente, basado en certificados de seguridad [5] puede ser usada pero también implica una complejidad mayor para la implementación dentro de la empresa. La autorización en la mayoría de los entornos ni siquiera está considerada como un elemento importante; basta nada más que el usuario que intenta acceder a un recurso particular que ya ha sido identificado provenga de cualquier dirección de nuestra redes internas. Los accesos también pueden determinarse por rangos de direcciones ip, por una sola ip, por los campos del certificado de seguridad [5]. Es muy usual que cualquier usuario con una computadora portátil se acerca a nuestros enlaces inalámbricos se conecte a ellos y con ello a nuestra red y a nuestros recursos que están abiertos normalmente a todas las redes internas [6]. Hay que mencionar la insuficiencia o inexistencia total de sistemas automatizados de monitoreo dentro de las empresas que notifiquen de ataques en progreso o de anomalías en el comportamiento del tráfico en la red o de intentos de inicio de sesión fallidos o inicios de sesión fuera de horas de trabajo o en horas inusuales. No hay - al menos en mi apreciación empírica del estado del arte en mi país - una conciencia clara en los administradores de sistemas y administradores de red de que los sistemas de monitoreo ayudarían a decrementar las estadísticas de incidentes de seguridad. Incluso, los programadores tampoco se preocupan de las buenas prácticas de programación y no existe un diálogo de equipo entre desarrolladores y administradores sobre la implementación de los sistemas informáticos que incluyan consideraciones de seguridad para los sistemas informáticos empresariales y para los sistemas de servidores en los cuales descansan las aplicaciones y servicios empresariales. Una configuración mínima podría ser: La auditoría es un tema ligado también al tema de monitoreo. La mejor analogía es hacer referencia a las auditorías contables que se realizan. Se debe verificar que cada registro de error o de advertencia, para poner un ejemplo, sea debidamente evacuado para reportar la naturaleza de la falla, notificarla y repararla de acuerdo a planes de contingencia. Claro, parte de la temática de seguridad es el análisis de riesgos y la creación de planes de contingencia. Teniendo experiencia, conocimientos y habilidad en todos los aspectos referidos acá, espero que este artículo ayude a crear conciencia sobre la necesidad de establecer como un propósito de las empresas, el establecimiento de estándares de seguridad corporativos. [1] http://en.wikipedia.org/wiki/Darpa [2] http://en.wikipedia.org/wiki/CIA_triad [3] http://en.wikipedia.org/wiki/Parkerian_hexad [4] http://en.wikipedia.org/wiki/Vpn [5] http://en.wikipedia.org/wiki/Public_key_certificate [6] http://en.wikipedia.org/wiki/Local_area_network

Cyber-ataques: Registro y seguimiento

2007-10-22T19:03:00.001-06:00

Hay muchas opciones de configuración de los sistemas GNU/Linux que permiten el registro y seguimiento de cyber-ataques. Una opción de configuración a activar es la opción de registrar los paquetes "marcianos". El término "marcianos" hace referencias a paquetes que nuestros sistemas "ven" pero dichos paquetes no tienen direcciones asociadas a las rutas que manejan nuestros sistemas. Para activar el registro

echo 1 > /proc/sys/net/ipv4/conf/all/log_martians

Si desea ver todas las opciones de configuración

ls -l /proc/sys/net/ipv4/*

Una vez activado, si ocurre alguna incidencia, se verá un registro similar a esto:

Oct 22 19:46:44 host kernel: martian destination 0.0.21.0 from 172.16.45.49, dev eth0

También podría agregar una regla de firewall para bloquear ese tipo de paquetes.

iptables -I INPUT 1 -p all -i eth0 \ ! -s 172.16.45.0/24 -j LOG --log-prefix "Martian :" iptables -I INPUT 2 -p all -i eth0 \ ! -s 172.16.45.0/24 -j DROP

Espero que a alguno le sirva este pequeño comentario.

Elecciones municipales y ataques informáticos

2007-10-12T15:44:00.000-06:00

Hoy día, recibí de Noel Vargas un aviso de otro ataque en progreso al nic.ni. Los propios criminales dieron notificación de su acto delictivo en progreso. En países como China o Estados Unidos de América donde la conciencia de la amenaza, de la ejecución de la amenaza y de sus implicaciones es diáfana y clara, tales actos podrían incluso llegar a considerarse actos de guerra. ¿Por qué son graves los ataques al nic.ni? Ataques exitosos al nic.ni implican una amenaza real a toda la Internet nicaragüense independientemente de cuán seguros tengan los administradores de dominios particulares sus servidores. El nic.ni es la autoridad de Internet para Nicaragua y almacena las configuraciones para todos los dominios .ni (dominios de tercer nivel correspondiente a Nicaragua). Lograr insertar datos incorrectos sobre la configuración de un dominio particular en el nic.ni implica la propagación de los datos incorrectos a todos los clientes DNS que consulten al nic.ni sobre un dominio particular (léase "usted insertando una dirección en su navegador web para entrar a entrar a un dominio .ni"). De cara a las próximas elecciones donde los datos deben transmitirse los más pronto posible -los resultados de cada Junta Receptora de Votos- un dato incorrecto podría llevar a la aplicación que envía los datos a un sitio DNS falsificado, en el caso de que la aplicación de envío de datos esté ligada a nombres DNS. En nuestro país, el retardo en el envío de datos por ataques exitosos a la infraestructura tecnológica desembocaría en impugnaciones, reclamos de un partido u otro, protestas de simpatizantes de un partido u otro, representaría problemas que no tendríamos si se tomaran cartas en el asunto, se aprobaran leyes y se procediera al castigo de personas que deliberadamente atentan contra la infraestructura tecnológica de nuestro país. Es decir, la usurpación de la identidad DNS implicaría literalmente la posibilidad real de redirigir todo tráfico que vaya dirigido a un servidor DNS hacia el servidor DNS falso. Honorables diputados nicaragüenses, autoridades de la Universidad Nacional de Ingeniería, por contribuir al necesario clima de estabilidad social y política en el país, tomen en serio estos juegos infantiles, representan una amenaza real a nuestras instituciones, a nuestra estabilidad social, a las elecciones municipales que están por realizarse. Tomen cartas en el asunto.

Otro más

2007-10-12T11:34:00.000-06:00

Bien, otra víctima de los ataques vandálicos a la infraestructura tecnológica de Nicaragua. Las autoridades nicaragüenses deberían tomar en serio esta actividad delictiva y proceder a castigar con todos los medios que la ley permita a estos individuos. También, deberían implementar de una vez por todas leyes contra los delitos informáticos.

Piratería de software ¿Para qué?

2007-10-11T12:11:00.000-06:00

Hace una media hora terminé de conversar con un grupo de personas heterogéneo. En el grupo había dos adolescentes estudiantes de secundaria, otros en la universidad y una persona mayor. Bien, luego de estar conversando, salió el tema GNU/Linux. Entonces, también salieron las preguntas habituales de usuarios de otros sistemas operativos:

¿Cómo voy a chatear?
¿"El office" y todo lo demás que uso?

Así, fue saliendo una y otra pregunta. Existe una máxima filosófica que reza: "Contra los hechos no hay argumentación posible" Para hablarlo de otra manera, en un mediodía soleado podría argumentar con los mejores e intrincados argumentos para aturdir su entendimiento y comprensión de las cosas, para convencerlo de que es medianoche, pero solo necesita levantar la vista y ver nuestro hermoso sol tropical. Para responder a las preguntas de mis interlocutores, encendí el equipo y fui mostrando primero, la interfaz bonita que tiene el gestor de sesiones de Gnome (aunque muchos usan KDE en GNU/Linux GDM se usa ampliamente para manejar el inicio de sesiones). En el Debian Etch que les mostré vieron la interfaz elegante y bien estilizada del tema elegido para el inicio de sesión -el tema Debian Ayo para GDM. Luego, les gustó ver lo limpio de la carga del escritorio y la pantallita anunciadora mostrando la carga de cada componente en KDE. Una vez cargado el escritorio KDE, abrí el navegador web Iceweasel (nombrado Firefox en la mayoría de las distribuciones GNU/Linux) para navegar en Internet. Ejecuté también Kopete para iniciar sesión de mensajería instantánea. También les mostré la examinación de galerías de fotos con gthumb. gthumb es un programa muy amigable, permite configurar el tamaño de las miniaturas de imágenes, la calidad con que se visualizarán y permite también visualizar las imágenes como presentación de diapositivas. Igual, cargué Inkscape para hacer los dibujos vectoriales. También les mencionó la no existencia de amenazas provenientes de virus informáticos. Por supuesto, fue necesario también cargar las aplicaciones de oficina con OpenOffice para mostrar que amigablemente se trabaja en ellas. Terminado de ver un video, uno de ellos preguntó que cómo sabía cual era el programa que tenía que abrir para ejecutar determinado tipo de archivo de video. Le dije que la misma pregunta tenía que responderse para reproducir videos en formato AVI, videos en formato MPEG, videos en formato QuickTime, archivos de música (audio) en formato CDA o archivos de música en formato MP3. La respuesta es asociaciones de archivo que -asústense- también son opciones configurables de archivos llamadas "Asociaciones de archivo" para determinar qué tipo de archivo de música o audio es reproducido por tal o cual programa y está en el mismo lugar que en otros sistemas operativos la opción de configuración. Después de todo, me preguntaron: Ajá! Está bonito, ¿pero cómo lo instalo? Pues bien, no necesita la "pila" de CDs como otro sistema operativo: el antivirus, la suite de oficina y luego, otro CD por cada nueva aplicación. Solamente necesita configurar su PC en el BIOS para cargar el sistema operativo desde la unidad óptica, luego, insertar el medio óptico (CD o DVD según sea el caso) en la unidad óptica y re-iniciar el equipo. Una vez iniciando, en la pantalla de bienvenida, dar "Enter" y seleccionar luego unas pocas opciones sobre el tipo de instalación -muy similares a las pocas opciones que también se seleccionan para instalar otros sistemas operativos. Luego, se instalarán todos los componentes y después el sistema queda listo para usarse. ¡Sin piratería! Saltó otra pregunta: ¿Cómo lo obtengo para instalarlo? Bueno, eso es más fácil:

puede descargarlo de Internet si dispone de conexión
conozco un lugar (SIMAS) donde puede obtener una copia LEGAL
o puede también comprar en línea de las mayores empresas que DESARROLLAN y dan SOPORTE a GNU/Linux

Escoja la que usted prefiera.

Explotando un servidor DNS recursivo

2007-10-08T15:29:00.000-06:00

El escenario es un servidor DNS recursivo. Una persona interesada en explotar esa debilidad en la configuración, envía una consulta DNS al servidor DNS recursivo especialmente construida para colocar un dato registro de dirección incorrecto para un dominio específico. Ello quiere decir, que previamente ha insertado un registro de dirección incorrecto en un servidor DNS bajo su administración o alguno previamente atacado exitosamente. Una vez que se ha colocado el dato incorrecto en el servidor DNS recursivo -a traves de la consulta especialmente construida, TODOS los clientes detrás de ese servidor serán redirigidos hacia la dirección incorrecta que han recibido del servidor DNS recursivo explotado exitosamente. Si mil usuarios estás detrás del servidor en el que se ha colocado exitosamente el dato registro de dirección incorrecto, mil usuarios serán redirigidos hacia una dirección que no corresponde con la dirección a la que ellos quieren ir. Es decir, podrían ser redirigidos al sitio web falsificado de un banco, introducido sus datos y expuesto sus finanzas al atacante. Aunque el ataque es muy sencillo de ejecutar, es potencialmente muy peligroso por lo que puede derivarse de ello.

Memoria flash encriptada

2007-09-27T15:49:00.002-06:00

A propósito de que talvez algunos deseen tener la seguridad de que mueven sus datos de forma segura y de que en caso de robo del dispositivo de almacenamiento extraíble los datos no sean revelados, acá unos pocos comandos en GNU/Linux para configurar el encriptado de la memoria flash. Primero, prepare el dispositivo para el encriptado. Perderá todos los datos que se encuentren en él.

# cryptsetup luksFormat /dev/sdb -y

Luego, abra el dispositivo para formatearlo con el sistema de ficheros que desee usar

# cryptsetup luksOpen /dev/sdb ENCRIPTADO

Formatéelo

# mkfs.xfs -L ENCRIPTADO /dev/mapper/ENCRIPTADO

Ahora, creamos el punto de montaje:

# mkdir -p /mnt/ENCRIPTADO

Asignamos el propietario del punto de montaje. Esto es para hacer más fácil la vida a la persona que usare el dispositivo de almacenamiento extraíble encriptado:

# chown -R jorge:jorge /mnt/ENCRIPTADO

Montamos el sistema de ficheros encriptado:

# mount -t xfs,o=rw /dev/mapper/ENCRIPTADO \ /mnt/ENCRIPTADO

Puede ver el estado del dispositivo mediante:

# cryptsetup status ENCRIPTADO

Una vez que está hecha la configuración puede escribir los archivos que desee hacia el directorio /mnt/ENCRIPTADO. Cuando finalice de trabajar, desmonté el sistema de ficheros

# umount /mnt/ENCRIPTADO

Cierra el dispositivo encriptado:

# cryptsetup luksClose ENCRIPTADO

Para automatizar el proceso de abrir/cerrar la memoria flash para trabajar sobre ella:

#!/bin/bash case "$1" in

abrir)
cryptsetup luksOpen /dev/sdb ENCRIPTADO
mount -t xfs,o=rw /dev/mapper/ENCRIPTADO /mnt/ENCRIPTADO RETVAL=$? ;;
cerrar)
umount /mnt/ENCRIPTADO
cryptsetup luksClose ENCRIPTADO RETVAL=$? ;; *)
echo $"Uso: $0 {abrircerrar}" exit 1 ;;
esac
exit
$RETVAL

Espero le sea de ayuda a alguno que esté preocupado por el uso de estos dispositivos.

Algunas reglas para protegerse de tráfico sospechoso

2007-09-19T18:49:00.000-06:00

En nuestro país es común el uso de GNU/Linux para proveer servicios de Internet en muchas empresas (grandes, medianas, pequeñas) pero también es común que los muros de fuego de los servidores en Internet no se configuren de tal forma que identifiquen el tráfico de red que podría signficar un ataque a la pila tcp de los servidores públicamente expuestos. Por ejemplo, un ataque común es enviar pings de difusión a las redes directamente alcanzables por el atacante. Desde un equipo GNU/Linux es muy sencillo enviar pings de difusión

debian-1:~# ping -b -i 5 -p 1024 172.16.45.255 PATTERN: 0x1024 WARNING: pinging broadcast address PING 172.16.45.255 (172.16.45.255) 56(84) bytes of data.

En ese ejemplo se está enviando tráfico icmp a la dirección de difusión 172.16.45.255. El tamaño de los datos es 1024 bytes y se solicita una respuesta cada 5 segundos. Bien, enviar tráfico de difusión implica un incremento exponencial del tráfico de red porque todas aquellas estaciones que no estén "explícitamente" configuradas para no responder enviarán tráfico. Luego de cierto intervalo de tiempo, la red podría colapsar por o los equipos podrían no establecer más conexiones tcp. Este es tráfico capturado en mi estación de trabajo al tráfico icmp generado localmente (el ping de difusión).

IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:14:2a:68:e9:fe:08:00 SRC=172. 16.45.7 DST=255.255.255.255 LEN=43 TOS=0x10 PREC=0x00 TTL=128 ID=50812 PROTO=UDP SPT=2000 DPT=2001 LEN=23

Como puede verse, el destino (DST) en la entrada de registro, se ha cambiado a 255.255.255.255 lo que implicaría tráfico a todas la redes directamente alcanzables. Para protegerse de inundaciones por pings de difusión podría colocar una regla como esta:

iptables -t mangle -A PREROUTING -d 255.255.255.255 \ -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec \ -j LOG --log-prefix "Ping de difusion: " iptables -t mangle -A PREROUTING -d 255.255.255.255 \ -p icmp -m icmp --icmp-type 8 -j DROP

La primera regla es para registrar el origen del ataque, la segunda para no permitir ese tipo de tráfico en particular. Por supuesto, hay muchos tipos de ataques que representan ataques a la pila tcp, a los recursos del servidor como CPU, memoria RAM o disco duro que provienen del tráfico malintencionado generado contra los servidores públicamente expuestos.

netfilter workshop 2007

2007-09-15T11:04:00.000-06:00

Las conferencias de la última reunión de desarrolladores de netfilter/iptables se realizó del 11 al 14 de septiembre. Acá un enlace que podría ser de interés para aquellos administrando servidores de alta demanda.

Muro de fuego en GNU/Linux

2007-09-10T19:33:00.002-06:00

La configuración del muro de fuego en GNU/Linux es la configuración de iptables para definir cómo se manejará el tráfico de las conexiones hacia los servidores bajo nuestra administración. Pueden mencionarse dos filosofías para la implementación de muros de fuegos:

Permitir todo y cerrar explícitamente el tráfico que no queremos recibir
Denegar todo y abrir explícitamente el tráfico que queremos permitir que llegue a nuestros servidores.

En lo personal, soy devoto de la segunda filosofía. Así, pueden definirse las políticas de cadena para las cadenas INPUT y OUTPUT cómo:

iptables -P INPUT DROP iptables -P OUTPUT DROP

Para seguir ejemplificando, deseamos permitir hacia nuestro servidor el tráfico en respuesta a conexiones originadas desde dentro de nuestra red:

iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED

También, deseamos permitir permitir el tráfico entrante a los servicios que ofrecemos:

# Puerto 25/tcp | smtp

iptables -A INPUT -p tcp -s 0/0 --dport 25 \ -m state --state NEW -j ACCEPT

# Puerto 53/tcp | transferencias de zona dns

iptables -A INPUT -p tcp --dport 53 -s $ip_servidor_dns \ -m state --state NEW -j ACCEPT

# Puerto 80/tcp | http

iptables -A INPUT -p tcp -s 0/0 --dport 80 \ -m state --state NEW -j ACCEPT

# Puerto 110/tcp | pop3

iptables -A INPUT -p tcp -s 0/0 --dport 110 \ -m state --statet NEW -j ACCEPT

# Puerto 53/udp | consultas DNS iptables -A INPUT -p udp -s 0/0 --dport 53 -j ACCEPT

Como se ha establecido la política en la cadena OUTPUT a DROP, debemos abrir paso explícitamente en ella para el tráfico saliente

iptables -A OUTPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A OUTPUT -p tcp -s 0/0 --dport 25 -j ACCEPT

iptables -A OUTPUT -p tcp -s 0/0 --dport 80 -j ACCEPT

iptables -A OUTPUT -p tcp -s 0/0 --dport 53 -j ACCEPT iptables -A OUTPUT -p tcp -s 0/0 --dport 110 -j ACCEPT

Esta configuración es una configuración mínima. No está considerada para servidores en producción y solo es una referencia para mostrar la facilidad con que puede ser configurado el muro de fuego en GNU/Linux y no está considerado, en esta configuración, que el dispositivo que hace de muro de fuego también actúe como enrutador.

Sobre ataques al CSE

2007-09-03T11:30:00.000-06:00

Primero que nada, gracias Noel por la aclaración publicada en http://list2.enicaragua.org.ni/pipermail/softwarelibre/2007-September/003805.html http://list2.enicaragua.org.ni/pipermail/softwarelibre/2007-September/003806.html Por otro lado, contribuyendo a la discusión, podemos diseccionar el problema en más detalle (atendiendo al análisis de la supuesta inyección SQL para obtener el padrón electoral). Es un secreto a voces acá que el padrón circula entre la población, por otro lado, para analizar la inyección SQL, dividamos el problema en

(1) Servidor web | | (2) módulos del servidor web para el lenguaje | | (3) programas del lado del servidor | | (4) driver de la base de datos | | (5) BD

El servidor web es donde el navegador "golpea" primero al entrar en contacto con el sitio web remoto y puede ser objeto de ataques (el navegador) no necesariamente provenientes del servidor web como se muestra en este excelente documento Luego (1) podría ser explotado por una vulnerabilidad en el núcleo del servidor web que implicaría una violación de seguridad para todos los sitios web alojados por el servidor y para el sistema operativo en que descansa. Los servidores y servicios expuestos públicamente deben ser constantemente examinados en busca de vulnerabilidades (con una frecuencia al menos diaria) y una vez localizada la vulnerabilidad, debe procederse a estudiar la solución, planificarse para no interrumpir abruptamente a los usuarios que hacen uso de los servicios y ejecutar la solución a la vulnerabilidad encontrada. Por otra parte, (2) muchos administradores dejan al servidor web con todos los módulos habilitados. No es necesario dejar habilitado un módulo cuya funcionalidad no será usada porque ello implica otro punto de ataque. Incluso, es bueno eliminar del servidor web las configuraciones que atañen también a los lenguajes en que se espera servir los documentos HTML (por ejemplo, ruso). Además, (3) los programas creados también deben ser auditados en búsqueda de inconsistencias que impliquen violaciones de seguridad que conlleven a la pérdida, alteración o revelación de datos. Como sabemos, el lenguaje en el servidor supuestamente "hackeado" es php. En php, las consultas SQL están embebidas dentro del código del lenguaje. Una vez realizada la consulta, el propio programa php debe "saber" qué hacer con los resultados de la consulta. Es decir, aunque se logre inyectar una consulta SQL, es necesario un programa del lado servidor capaz de manipular los datos obtenidos de la consulta. Ello implica, si se logra, colocar un programa alterado, una violación al sistema de ficheros del servidor web, es decir, escalada de privilegios más allá de una inyección SQL. Igual, (4) el driver de la BD pudo ser alterado o (5) se pudo alterar la BD. La noticia, tal como fue colocada en el sitio web del Nuevo Diario, no hace referencia o no da ningún indicio que nos ayude a analizar o comprender la naturaleza del ataque. De nuevo, gracias Noel por la aclaración.

Algunas características avanzadas de iptables

2007-08-29T15:27:00.001-06:00

Después de algunos reportes de sitios con páginas HTML alteradas, se me ocurrió publicar una entrada con algunas alusiones a características avanzadas del firewall de GNU/Linux que podrían resultar interesantes. Dos características avanzadas que se tratan son:

Restricción del número de conexiones con la extensión --limit
Restricción de las conexiones con la extensión --recent

La extensión --limit Para usar la extensión recent se necesitan crear reglas similares a esta:

iptables -m state --state NEW -p 6 -dport 22 -i eth0 \ -m state --state NEW -m limit --limit 10/hour --limit-burst 5 -j ACCEPT

Las reglas que usen la extensión limit pueden usarse para reducir los efectos de los ataques de denegación de servicio. Así mismo, ayudan a prevenir los ataques de fuerza bruta y/o ataques de diccionario para adivinar las contraseñas.

La regla escrita anteriormente aplicará a todos los paquetes nuevos que intenten iniciar una conexión a una shell remota (protocolo 6, puerto 22/tcp) hacia nuestro servidor. La regla permitirá un máximo de 10 conexiones por hora y un máximo de 5 conexiones simultáneas. Otro uso posible sería limitar el número de conexiones por unidad de tiempo para los usuarios de la red área local que tienen acceso a Internet a través de nuestro servidor ( o las conexiones al servidor proxy-caché). Para comprender mejor la regla piense en un pequeño balde de agua donde --limit representa la velocidad del flujo del agua saliendo de la manguera para llenar el balde y --limit-burst es el volúmen del balde. La extensión --recent Esta extensión permite crear dinámicamente una lista de direcciones ip para luego ser usada en otras reglas de diversas maneras. Un posible uso sería determinar la dirección ip origen desde donde se está lanzado un escaneo de puertos hacia nuestro servidor o desde donde se esté lanzando un ataque de fuerza bruta. También podría evitar la creación de muchas conexiones a nuestro servidor web con el fin de "botar" conexiones posteriores -ataque DoS.

iptables -A INPUT -m recent --name webconn --rcheck \ --seconds 300 -j DROP iptables -A INPUT -p tcp -i eth0 --dport 80 -m recent \ --name webconn --set -j DROP

Las dos reglas anteriores implican la creación del mecanismo para permitir conexiones hacia el puerto 80/tcp (hacia el servidor web) provenientes de la misma dirección cada 5 minutos. Si su pretensión es usarla en servidores en producción tenga presenta el comportamiento de los usuarios yendo de una página a otra en su sitio. Puede tomar una idea de dicho comportamiento analizando los registros del servidor web para obtener un estimado del tiempo que los usuarios cambian de una página a otra en su sitio web. Otro uso posible es usar reglas similares para proteger el acceso a puertos/protocolos que solo deben ser accedidos por el personal técnico y no por el público en general. Conclusión Internet es terreno salvaje y cada punto débil tratará de ser explotado, la única manera de protegerse o mitigar los intentos de violación a la seguridad es ser consistente y sistemático eliminando las fallas de seguridad que vayan siendo detectadas.

Sitios web con aplicaciones dinámicas

2007-08-26T17:28:00.000-06:00

Preámbulo Esta entrada es mi comentario a la noticia aparecida en El Nuevo Diario en http://www.elnuevodiario.com.ni/2007/08/26/informatica/57270 Elementos en la escena Al colocar un sitio web con una aplicación en línea son diversos los factores que entran en juego, a saber:

Sistema operativo del usuario
Navegador del usuario
Protocolos usados para la comunicación entre el servidor web y el navegador
Protocolos usados para transferir los archivos de la computadora de los desarrolladores hacia el servidor público donde la aplicación descansará
Enrutadores intermedios
Servidor web
Firewall configurado del lado del servidor (en el propio servidor web o en un dispositivo enfrente de él)
Sistema operativo del servidor web
Lenguaje de programación
Sistema de bases de datos relacionales

Sistema operativo del usuario El sistema operativo que el usuario tiene instalado en su computadora personal. Este puede ser, para mencionar los comunes en nuestro país:

MS Windows XP
MS Windows Vista
GNU/Linux

GNU/Linux tiene reconocimiento mundial por su estabilidad y seguridad. En la práctica puede decirse que no existen virus para sistemas GNU/Linux. Para cualquier caso, el sistema operativo debe estar licenciado, actualizado, con un sistema antivirus y adecuadas políticas de firewall. Navegador del usuario El navegador del usuario, igual que el párrafo anterior, para mencionar los más comunes:

Internet Explorer
Mozilla Firefox

En Europa, Mozilla Firefox es el preferido según estadísticas internacionales, menos susceptible a ataques (como fraude electrónico). Protocolos usados para la comunicación entre el servidor web y el navegador Siempre se usa http que es un protocolo inseguro (la comunicación es enviada en texto claro) lo que quiere decir que cualquier puede "ver" lo que está enviando (correo electrónico o mensajería instantánea). Así, si usa webmails para correo y en el navegador ve http:// quiere decir que alguien ubicado en su red de área local o alguien ubicado en la misma red pública puede leer su usuario / clave y luego tener acceso a sus correos donde usted podría pedir que se le enviaran sus claves. Adicionalmente, los administradores de los sitios web utilizan ftp para transferir archivos hacia el sitios web. Lo que se dijo en el primer párrafo para http aplica para ftp, es un protocolo inseguro y el nombre / clave de usuario que hace las transferencias de archivos al sitio web puede ser captura y luego entrar al directorio y tener la potestad de alterar archivos. Es lo que mayormente ha pasado en los casos que se documentan en El Nuevo Diario. Enrutadores intermedios Los enrutadores intermedios son todos aquellos dispositivos de interconexión de redes entre usted y el servidor web que visita. Se hace la reseña a ellos porque alguien podría apoderarse de uno y colocar rutas falsas (cómo alguien que lo llevara a Granada cuando realmente lo está llevando a Chinandega) y obligarlo a visitar un sitio web falso (por ejemplo, el sitio web de un banco para tener acceso a su nombre de usuario / clave ) para luego hacer una transferencia a una tercera cuenta y ¡zas! el hacker ve su esfuerzo recompensado. Honestamente, requiere esta técnica de una sólida comprensión de los protocoles TCP/IP y de administración de redes y sistemas para lograr un ataque de este tipo. Sistema operativo del servidor web El sistema operativo de servidor ampliamente usado para servicios de Internet es GNU/Linux. De hecho, Internet fue desarrollada bajo sistemas UNIX del cual GNU/Linux es pariente. Servidor web El servidor web más usado es Apache según la estadística pública en NetCraf, el servidor web de Microsoft es el más cercano perseguidor del servidor web Apache. El servidor web de Microsoft ha sucumbido a nivel mundial a numerosos ataques, como el de CodeRed que logró hacer sucumbir miles de servidores web. El servidor web es lo primero en que entra en contacto el navegador. A partir de allí, se estable conexión con la aplicación dinámica detrás de él. Un diagrama simple sería:

cliente--navegador--enrutador--Internet--enrutador--servidor web--aplicación--base de datos

Firewall configurado del lado del servidor (en el propio servidor web o en un dispositivo enfrente de él) La opinión generalizada es incluso no colocar firewall en el servidor web porque solo se dejan los servicios necesarios al público. Ese enfoque está totalmente equivocado y puede resultar muy perjudicial. Aunque usted tiene abierta la puerta de su casa para que las visitas puedan entrar, no quiere decir que no esté vigilando la puerta cuando alguien entra y si le resulta sospechoso , claro que le cerraría el paso. Una función similar es la que realiza un firewall cómo netfilter/iptables, que es un firewall con inspección de estado y muy configurable que estando ubicado en la frontera entre los visitantes que llegan de Internet y el servidor web, es la primera línea de defensa contra los intrusos. Lenguaje de programación El lenguaje de programación también es importante punto de vulnerabilidades. Los formularios se presentan en la página web pero la lógica detrás de ellos descansa en el lenguaje elegido, PHP es muy común acá y también ASP. Una violación a la capa de lógica del negocio o una violación a la capa de presentación (a los programas que se encargan de la comunicación usuario/aplicación web), podría implicar una violación al sistema operativo en que descansa y por ende a los procesos a cargo del núcleo del sistema. En los casos que documenta la noticia, lo que ha ocurrido es la explotación de las malas prácticas de programación por un lado y luego la falta de atención de los administradores de sistemas de no vigilar sistemáticamente el tráfico en el servidor web para notar la excesiva frecuencia de las consultas en corto periodo de tiempo al sistema de bases de datos cuando las inyecciones SQL están ocurriendo (para poner un ejemplo). Sistema de bases de datos relacionales El sistema de bases de datos relaciones también puede ser configurado para responder a consultas únicamente generadas desde el sistema local, si nota, el usuario remoto con su navegador únicamente habla con el servidor web, el servidor web habla con la aplicación y la aplicación habla con el sistema de bases de datos. Los administradores acá normalmente dejan expuesto también el sistema de bases de datos relacional y además, lo dejan con las configuraciones por defecto. Conclusión La seguridad informática es una carrera larga donde como dice el dicho popular, la cadena no es más fuerte que el eslabón más débil. Cada parte que entra en juego, sistema operativo del usuario, navegador del usuario, enrutadores intermedios, servidor web, sistema operativo del servidor, programas de la aplicación web y el sistema de bases de datos relacionales, debe ser asegurada. Cada eslabón de la cadena debe ser fortificado. Algunos eslabones dependen de los administradores de sistemas locales que deben encargarse de tener los sistemas operativos de la red de área local debidamente licenciados, actualizados, con sistemas antivirus al día, adecuadas políticas de firewall en los equipos de escritorio y en el enrutador o servidor de conectividad local. ¿No se ha imaginado que si alguien es capaz de "crackear" un sistema licenciado para ponerlo a disposición sin el pago de la correspondiente licencia también es capaz de agregar algún código de programación para que le informe de sus pulsaciones de teclas, de los sitios que visita o de los correos que manda o de las conversaciones de mensajería instantánea? Otros eslabones, como los enrutadores intermedios, están fuera de la responsabilidad de los administradores locales o de los administradores de sistemas de los servidores web. Lo único que los salvaría, tratando de dar una respuesta ahora de cómo protegerse, es algún tipo de seguridad no basada en claves ni en direcciones ip sino en certificados de seguridad que identifiquen a servidor web y usuario. El servidor web, la lógica detrás del servidor web (los programas) y el sistema de bases de datos relacional están bajo la responsablidad del administrador de sistemas del sistema que brinda los servicios de Internet (como web y correo) que debe ser lo suficientemente diligente para detectar anomalías en el tráfico que llega a su servidor, anomalías en los servicios (5 mil correos de un solo usuario en un mismo día deberían llamar su atención o consultas a razón de decenas o centenas por minuto deberían indicar la ocurrencia de un posible ataque de inyección SQL). Concluyendo, la responsabilidad es compartida pero los casos documentados en El Nuevo Diario apuntan a neglicencia administrativa de los administradores de los sistemas expuestos publicamente que no han sido diligentes en la detección de anomalías ni en los escenarios previos cuando su sistema está siendo perfilado para un ataque. También, es responsabilidad de los programadores de las aplicaciones web que no han aplicado las adecuadas "fortificaciones" en el código que escriben.

Creando una aplicación web (I parte)

2007-08-23T16:06:00.000-06:00

Una aplicación web es una aplicación que genera documentos html (o xhtml) para ser vistos desde un navegador. Tome nota de que ese navegador puede ser ejecutado desde un equipo con arquitectura Intel, arquitectura "Mac", arquitectura RISC. Además, el sistema operativo en la plataforma de hardware podría ser:

MS Windows
GNU/Linux
Mac OS
Solaris
....

Ese navegador al ser lanzado y apuntar a la dirección http://www.dominio.com/ mostrará el documento de índice principal que podría ser un archivo con la extensión:

.asp
.jsp
.php
...

De acuerdo a la tecnología que se esté usando del lado del servidor. Alguna interacción entre el navegador y la aplicación web alojada en el servidor remoto es manejada mediante lenguajes del lado del cliente (por ejemplo, mediante Javascript). Imagine, por ejemplo, que al dirigir el navegador hacia http://www.dominio.com/ está entrando a un sitio web que contiene una aplicación web disponible públicamente (todavía no se está haciendo referencia a una tecnología en particular porque se está analizando la teoría de la interacción entre el navegador y el servidor y ello es válido para cualquier sistema operativo del lado del cliente y cualquier sistema operativo del lado del servidor). Al entrar al sitio, mostrará la página principal por defecto, lo común es tener un formulario de inicio de sesión (por ejemplo para iniciar sesión en su servidor de correo basado en web). Allí, escribe sus datos (usuario/clave) para poder tener acceso a sus correos. ¿Qué está sucediendo internamente? El formulario "sabe" a que programa enviar los datos porque ese parámetro (quién recibe los datos del formulario) está definido por el desarrollador al momento de crear el formulario. El programa encargado de procesar los datos, también "sabe" los datos que debe recibir. Una vez recibidos y verificados los datos, el programa "ejecuta" la lógica necesaria para interrogar a la base de datos sobre la existencia del usuario y sobre la validez de la clave; sin son válidas, se permitirá el inició de sesión, sino, se notificará al usuario que las credenciales no son válidas. Si son válidas, se devuelven al usuario la interfaz que muestra sus carpetas de correo y sus correos. Toda la comunicación entre el navegador y el servidor ocurre mediante el protocolo HTTP (o HTTPS) según sea el caso. Este protocolo debe ser implementado en sistemas de servidor propietario o en sistemas de servidor de software libre / código abierto. Luego, el servidor web debe "saber" cómo llamar a los programas de la aplicación web necesarios para que la interacción con el usuario remoto ocurra. A su vez, dichos programas "conocen" cómo se debe hablar con la base de datos que aloja los datos de la aplicación a través del driver de la base de datos particular que se esté usando. Una aplicación web escribe código HTML (o XHTML) para el navegador similarmente como los viejos programas en modo texto escribían caracteres para la pantalla. ¿Qué se necesita saber para escribir una aplicación web?

HTML (el lenguaje de facto en Internet para los navegadores)
CSS (Hojas de estilo en cascada)
Diseño gráfico
Algún lenguaje de programación para web
Algún marco de desarrollo para aplicaciones web
SQL

Siendo que el mayor porcentaje de servidores web en el mundo se ejecutan sobre GNU/Linux usando Apache, es muy sano pensar en aprender algún lenguaje multi-plataforma o PHP. Vale decir, que la tendencia está siendo Java -liberado para la comunidad de software libre / código abierto. En nuestros entornos todavía no hemos llegado al grado de requerir una elevada especialización de los departamentos IT y por ello, es normal encontrar en la mediana y pequeña empresa, que una sola persona realiza las labores de:

Diseño gráfico
Maquetación HTML
Creación de la interfaz dinámica
Lógica de negocios
Administración de sistemas
Administración del Sistema de Bases de Datos Relacionales

Los CMS (Content Management System) aunque son una excelente alternativa, no resuelven totalmente las necesidades de procesamiento de datos que una aplicación web requiera.

Inseguro por diseño

2007-08-18T09:01:00.000-06:00

El FBI, agencia del gobierno de los Estados Unidos, está solicitando al congreso de EUA que todo futuro equipo de enrutamiento contenga "back-doors" para que las fuerzas de la ley puedan activar mecanismos de espionaje sobre el tráfico que pasa a través de esos dispositivos. [1] Recuerdo ahora la decisión de un colega de optar por adquirir equipo con hardware dedicado para la implementación de tecnología de Redes Privadas Virtuales. Hay muchos protocolos inseguros por diseño, HTTP y FTP son ejemplos claros de ellos donde cualquier persona con un analizador de tráfico puede espiar el tráfico http o ftp (por ejemplo) y obtener las parejas usuario/clave para luego ingresar a los sistemas donde los usuarios a los cuales se les haya capturado sus credenciales tienen acceso. Como puede verse en la figura, las credenciales de acceso (usuario/contraseña) son mostradas por el analizador de tráfico. ¿Qué se necesita luego para tener acceso a los recursos disponibles vía ftp, como por ejemplo, los archivos de un sitio web? Se necesita nada más un cliente FTP y apuntar hacia el mismo servidor cuyo tráfico se estuvo inspeccionando. Por supuesto, pueden re-emplazarse el uso de protocolos inseguros como HTTP o FTP por sus pares de protocolos que usan tecnología criptográfica para evitar el espionaje de las sesiones HTTP o FTP. Así, si se desea que los usuarios inicien sesión en servidores remotos para revisar el correo por ejemplo, vía los ya muy conocidos webmails es mejor HTTPS y para transferir archivos es preferible usar SFTP en lugar de su par inseguro FTP. Acá, puede verse cómo usar o no usar tecnología propietaria se vuelve un asunto de seguridad nacional en los EUA y también debería verse como un asunto de seguridad nacional en Nicaragua. [1] http://news.com.com/Networking+exec+blasts+wiretapping+rules/2100-1036_3-6136344.html?tag=news.1

"Connection refused" recibida del sitio web de La Prensa

2007-08-05T09:09:00.001-06:00

Buen día lista:

Simple error humano o ataque DoS [1] ? No he logre acceder al sitio web de La Prensa.

Saludos,

Jorge Dávila.

[1] http://en.wikipedia.org/wiki/Denial-of-service_attack

ERROR El URL solicitado no se ha podido conseguir

Mientras se intentaba traer el URL: http://www-ni.laprensa.com.ni/

Ha ocurrido el siguiente problema:

* Conexión fallida.

El sistema ha devuelto el siguiente mensaje:

(111) Connection refused

El equipo remoto o la red pueden estar fuera de servicio. Por favor, intente de nuevo la petición.

Jorge Isaac Davila Lopez Nicaragua Open Source +505 430 5462 davila@nicaraguaopensource.com

FOSS, software propietario, estándares y el tercer mundo

2007-08-04T16:50:00.000-06:00

Preámbulo He escrito este documento en aras de contribuir a la discusión sobre el uso del software libre / código abierto y el uso del software propietario. Acá la discusión de diversos puntos. En las tecnologías de la información y la comunicación (TIC) el tercer mundo tiene una elección estratégica a tomar: elegir FOSS (Free and Open Source Software – Software Libre / Código Abierto) elegir software propietario para la administración pública, infraestructura tecnológica de negocios (por ejemplo: servidores de correo y servidores web, dispositivos de interconexión de red). También elegir FOSS o software propietario para la educación pública. La discusión se dividirá para fines de este artículo en: (1) estándares, (2) formatos de ficheros y sistemas de ficheros, (3) sistemas manejadores de bases de datos relacionales, (4) lenguajes de programación, (5) servicios de Internet (como correo electrónico, www). Estándares Los estándares pueden definirse como un conjunto de reglas que determinan el funcionamiento y características particulares de los servicios de Internet para dar un ejemplo. Ello quiere decir que la manera cómo es recibido, procesado y enviado el correo electrónico de un usuario conectado a un servidor de correo con software propietario o con software libre / código abierto sigue las mismas reglas independientemente de la plataforma en que descansa el servicio. Si no funcionara de esta manera, Internet, cómo la conocemos ahora, ¡no existiría! Los estándares hacen posible que la mayoría de usuarios (en Nicaragua) usando software propietario (licenciado o pirata) puedan comunicarse con los servidores de correo de los proveedores de servicios de Internet (PSI) locales sin que ello sea un impedimento para la aplicación propietaria cliente de correo funcione correctamente. Nótese que el formato de documentos de la suite de oficina distribuida con GNU/Linux es el formato estándar y no el formato de la suite de oficina distribuida con el software propietario. Formatos de ficheros y Sistemas de ficheros Un hecho interesante es que en muchos lugares se pide al personal elaborar un documento de texto para abarcar algún tópico en una misiva corporativa interna. Luego, ese mismo documento podría ser visto por público diverso en una presentación de diapositivas durante una conferencia o una sesión de trabajo. Posteriormente, ese mismo documento debe ser colocado en el sitio web corporativo. Más todavía: Ese mismo documento debe poder ser visto por usuarios conectados a Internet desde sus computadoras portátiles o desde sus celulares. Es notable que el documento pasa por diversas “transformaciones”. XML definitivamente es el formato de marcación requerido para que el creador del documento, un periodista por ejemplo, elabore el documento una sola vez y que un programador dedicado a XSLT codifique las hojas de transformación que tomaran el documento en formato XML y crearán la lógica necesaria para que de forma programática se produzcan de forma automática los documentos en los diversos formatos para su presentación. Una suite de oficina decente debe ser capaz de guardar los documentos en formato XML. El usuario solo debe ser consistente en la forma en que esquematiza su documento y aplica los formatos para que al momento de guardar el documento no tenga nada más una lista larga de párrafo sino un documento jerarquizado de acuerdo al esquema que se haya definido. El reconocimiento de los estándares posibilita que archivo de imagen pueda ser transportado en una memoria usb (dispositivo electrónico), almacenado en un disco duro (tecnología electromecánica) o respaldado en una unidad de cd o dvd (tecnología óptica). Las características particulares del sistema de ficheros subyacente donde se almacenan los ficheros es materia de la que deben preocuparse los administradores de sistemas y no los usuarios. Los sistemas de ficheros deben proveer las suficientes características para garantizar un acceso granular a los ficheros que almacena (por ejemplo: por contenedores lógicos –llamados grupos o por usuario). Además, debe ser lo suficientemente versátil para permitir al usuario la libre elección del sistema de ficheros donde descansaran sus archivos. Esto es, los ejecutivos son libres de elegir el maletín en que guardarán sus archivos y para el maletín no es relevante si el ejecutivo escribe en hojas de papel o cartulina, solo se encarga de resguardarlos y tenerlos a disposición para cuando el ejecutivo desee tener acceso a ellos. Los sistemas de ficheros de GNU/Linux garantizan la inter-operabilidad con los sistemas de ficheros del software propietario. Sistemas manejadores de bases de datos relacionales. Los sistemas manejadores de bases de datos relacionales manejan cada uno un sub-conjunto del estándar SQL. El código SQL que se escribe para software libre / código abierto es exáctamente el mismo. No hay diferencia. Lenguajes de programación Las secuencias de código escritas por los programadores son las encargadas de dialogar directamente con el motor de bases de datos subyacente, obtener los datos y presentarlos al usuario. La tendencia ahora son sistemas conectados a Internet que proveen a los negocios y gobiernos la posibilidad de actualización en tiempo real de los datos. Siendo que casi el 80% de los servidores de Internet ejecutan software libre / código abierto ele lenguaje a elegir debe ser un lenguaje usado en la plataforma de software libre / código abierto si se quieren maximizar las bondades del uso de la tecnología de Internet. El lenguaje de programación a escoger debe ser multi-plataforma (capaz de ejecutarse en entornos de software libre / código abierto y en entornos de software propietario) para poder con facilidad portar las aplicaciones de negocios de una plataforma a otro sin que ello sea una experiencia traumática. En todos los casos es mejor capacitar a los programadores en lenguajes multi-plataforma que sufrir luego el impacto que una migración pueda tener sobre las aplicaciones de negocio. ¿Los entornos para desarrollo para crear las aplicaciones? Existen, son de licencia pública, de acceso gratuito. La tarea es solo descargarlos, instalarlos, aprender a usarlos –aprendizaje que además representa la creación de aplicaciones que podrán sobrevivir a una migración de plataforma. Servicios de Internet Los servicios de Internet, casi el 80%, se ejecuta en servidores GNU/Linux que sostiene servidores de correo, servidores web, servidores para transferencia de ficheros, servidores con software para implementar centrales telefónicas, aplicaciones para la comunicación personal como la mensajería instantánea o aplicaciones de voz sobre IP (para hablar a otra persona que se encuentra en una localidad remota). Los servicios de Internet que necesita una empresa a nivel nacional, multinacional, transnacional, están cubiertos por las aplicaciones de software libre / código abierto con igual o mejor funcionalidad que las aplicaciones disponibles en el software propietario. Conclusión Los gobiernos del tercer mundo, las empresas, las organizaciones, la educación pública deben incentivar la adopción de las tecnologías relacionadas con el software libre / código abierto. Hay muchas otras razones, como razones de seguridad de seguridad que otros han aducido, acá solo están discursando sobre las razones técnicas. Las elecciones sobre la plataforma tecnológica deben ser considerando el respeto que la plataforma elegida tenga a los estándares. Deben hacerse pensando en crear una plataforma tecnológica empresarial sólida. También, se debe ser ético y no continuar la piratería de software.