Regreso de Sevilla, después de pasar un par de días dabutis. El fumar en el paseo por la noche al lado de la Torre del Oro, tomar unos vinos con flamenquines en el Salvador o un Queso Camenberg frito con mermelada de frambuesa y un tinto de verano con blanca al lao de la Catedral ha estado dabuti, pero ahora hay que seguir con la "fiesta".
Ahora, para los más amigos de la "Fiesta Sangrienta Tecnológica" os paso el artículo que publiqué en la revista E-Security de los meses de Junio y Julio. El artículo lo escribí después de leer en la misma revista que un linux instalado en el 2002 y sin ninguna actualización de seguridad no sería hackeable. Ahí es ná. Así que pensé, "Joder, si en el lado del bien se puede decir lo que quieras, voy a escribir yo un artículo a mi rollito, como si llevara dos copas, un peta y estuviera en una bodega de esas donde tomaba los litros en Móstoles" y me salió esto. Parece que les gustó y me pidieron la segunda parte que sale el mes que viene y en la que creo que ya se me nota el pedo de los litros, las copas y los petas.
Nota: El Artículo se escribió en Mayo del 2006 y los que seguís este blog ya lo conoceréis casi todo.
El mantenimiento de una infraestructura Segura.
Parte 1. Sistemas Actualizados.
Cada mañana me levanto y lo primero que hago es encender el portátil. Esta es una rara dependencia digna de ser mirada por el psiquiatra que muchos de los que nos dedicamos a la seguridad acabamos desarrollando. En mi buzón tengo a primera hora, calentitas, las newsletters a las que, como seguro muchos de vosotros, estoy suscrito. El mecánico proceso me lleva a ver primero que selección de noticias de seguridad vía RSS ha realizado la comunidad hacker de Zone-h y ver, al mismo tiempo, las webs que han sufrido un ataque de defacement (grafittis en web) mientras yo he dormido. Acto seguido leeré el asunto de la newsletter de Bernardo y compañía en Hispasec, para momentos después conectarme a los expedientes de seguridad publicados en la base de datos de Bugtraq id en Securityfocus. Sí la suerte me acompaña recibiré la newsletter quincenal de mis tiendas de comics favoritas (aquí cada uno con sus vicios, yo como el Robe, los tengo todos) y la newsletter mensual del Brujo en Elhacker.net.
Y así comienza un nuevo día, con un montón de problemas de seguridad para todo el mundo. Cada día hay entre 30 y 40 expedientes de seguridad nuevos que afectan a todas las plataformas, alrededor de 3000 sitios hackeados en zone-h (algún día se pasaron los 30.000) y un montón de nuevas herramientas y exploits listos para utilizar por los atacantes de sistemas. ¡Viva la fiesta!.
El mundo ideal de este entorno sería contar con software perfecto [aquel que hace lo que tiene que hacer y nada más], pero como decía Santo Tomás sabiamente, “nada imperfecto puede crear algo perfecto” así que, como nosotros somos seres imperfectos creamos tecnología imperfecta. Esto por desgracia es así y con ello hay que vivir. Además el exceso de orgullo en la ignorancia de esta máxima nos lleva a campañas cómo la de “Oracle makes Linux Unbreakable”, que recibió su último ataque con la presentación de David Litchfield en las BlackHat Federal Conferences (Enero 2006) con su presentación “Oracle Breakable”. Previamente Michael Lynn, en su presentación para BlackHat en Junio de 2005 ya hizo una alegoría a esta campaña con una foto de gente escapando en una lancha del hundimiento de un barco. El título de la diapositiva decía “Another Unbreakable System”. Yo viví una experiencia similar con un amigo que me retó públicamente en una lista de correo a que no le tumbaba su servidor Apache y al final tuvo que postear un reconocimiento de caída de su servidor.
Hay que vivir con ello, y así es. En Microsoft, hace ya varios años, con la puesta en marcha de la Iniciativa de Informática de Confianza (Trustworthy Computing Iniciative) que se pusieron a trabajar desde el principio. Contratando, entre otros a Michael Howard, reconocido en el mundo por sus trabajos sobre seguridad en código [Writting Secure Code] para formar a los ingenieros en el desarrollo seguro de plataformas. Él y su equipo (Microsoft Security Team) se encargan de definir y realizar las pruebas de seguridad que los productos deben de superar, tienen potestad de veto para retrasar el lanzamiento de un producto o quitarle alguna funcionalidad si estiman que este no cumple con los requisitos de seguridad establecidos.
Para mejorar la seguridad de sus productos Microsoft se embarco en varias medidas con el lanzamiento en Enero del 2002 de su iniciativa de informática de confianza (Trusworthy Computing) y hay varias que, a mi juicio, marcan la diferencia con respecto de muchos de sus competidores.
SDL (Security Development Lifecycle - Ciclo de desarrollo seguro)
Es el proceso mediante el cual Microsoft desarrolla software y que define tanto los requisitos como los hitos de seguridad que los productos han de cumplir. Microsoft es una factoría de software que cumple con los ciclos de vida de sus productos, y en ellos se incluyeron 24 subtareas relacionadas con la seguridad entre la fase de desarrollo y mantenimiento. Entre ellas, las referentes a la gestión de fallos de seguridad en los productos.
El Parche
Cuando una nueva vulnerabilidad es descubierta (en más del 90% de los casos esto se produce internamente) se realiza un análisis completo que permita conocer el origen del error para proceder a preparar una actualización que arregle dicha “funcionalidad no conocida” (bug). Dicho parche será puesto a disposición del cliente de la forma más adecuada y siempre pensando en lo mejor para el destinatario de la actualización. Hay que tener en cuenta que la publicación de un parche de seguridad de un producto es el banderazo de salida para la carrera entre los que van a generar una amenaza y los clientes en la puesta en producción del parche. Esto es así ya que la aparición de un parche ayuda a los atacantes a, mediante ingeniería inversa de la actualización, conocer cuales son las partes vulnerables en un sistema sin actualizar. Además, cada parche deberá ser probado exhaustivamente en los entornos de trabajo de los clientes. Un parche que se tarda en programar unas 3 horas puede tener 1 semana de pruebas. Es decir, el cambio de 3 líneas puede generar más de 800.000 pruebas distintas.
La elección de adelantar la publicación de un parche o no depende del nivel de criticidad de la vulnerabilidad, del nivel de conocimiento externo de la misma y de la existencia o no de exploits que saquen partido de ella. A esto se llama Responsable Discloussure. Esto ha ayudado a las empresas a poder planificar el ciclo de mantenimiento de sus sistemas y poder planificar las fases de pruebas y puesta en producción del software actualizado.
Retroalimentación
Al mismo tiempo que se lanza la tarea de actualizar el software se produce una tarea interna de aprendizaje y eliminación de problemas similares en otras piezas de software. Para eso se sintetiza un patrón que permita encontrar el mismo problema en cualquier código de la compañía y que va a ser introducido dentro de las herramientas de auditoría de código de forma automática. Estas herramientas son lectores de código fuente que están alimentadas con todos los patrones que generan software vulnerable para que puedan ser detectados fallos antes de que los productos lleguen a manos de los clientes.
Delivery
El último punto fuerte a destacar dentro de esta forma de actualizar el software termina con un amplio abanico de posibilidades para la gestion de actualizaciones. Hay soluciones sencillas y gratuitas como los servicios de Microsoft Update Services que permiten, actualizar un equipo o interconectar un Windows Services Update Server (WSUS) para actualizar toda una red. El MBSA, que sirve para auditar el nivel de actualización de un sistema. Para los enternos empresariales mas grades y complejos se puede utilizar la potencia y funcionalidad de SMS
¿Y en el otro lado?
En el mundo de GNU/LINUX las cosas se hacen de otra forma. En primer lugar cada proyecto tiene su propia política en la generación de actualizaciones….un momento, antes de nada, en el otro lado también hay vulnerabilidades, y en concreto en el kernel de Linux cada vez más según Morton, segundo a bordo de Linus Torvalds en el proyecto del kernel quien reconocía el 10 de Mayo en la LinuxTag conference en Alemania, que el kernel está “slowy getting buggier” e incluso Linus Torvalds reconocía que el problema es real aunque no tanto como se quiere hacer ver por ahí.
El primer problema que tenemos es la poca homogenización de políticas en la gestión de vulnerabilidades de seguridad. Lo único que sí que tienen todos es una apuesta por el Full Disclousure. Esta apuesta total a veces va en contra de los intereses de posibles clientes. Crispin Cowan, lider del proyecto Sardonix, que nació para auditar el código de los proyectos Open Source, se lamentaba de que los investigadores de seguridad estaban únicamente interesados en encontrar bugs sorprendentes en lugar de securizar las aplicaciones.
Además de la motivación, claramente decantada hacía el lado del mal…digo hacia la búsqueda del fallo en lugar de hacia la corrección, hay que asumir, en la elección de una plataforma GNU/Linux que el código no cuenta con esa retroalimentación de herramientas automáticas para la búsqueda de fallos de seguridad. No ha sido hasta el año 2006 cuando la Agencia de Seguridad Nacional ha subvencionando el proyecto Bug Hunting entre la Universidad de Stanford y la empresa Coverity para, con herramientas automáticas, auditar el código de los principales proyectos OpenSource. Así se ha visto que el kernel, quizás programado por algunos de los mejores desarrolladores del mundo, tenía 841 fallos (en 3 millones de líneas de código), demostrando así que es necesario el uso de herramientas automáticas para auditar el código. Este análisis mediante herramientas automáticas es lo que Microsoft hace, con sus productos en fase Beta, antes de entregar a sus clientes.
¿Y las distribuciones?
Las distribuciones de GNU/Linux, a pesar de que a veces les hacen parecer como los malos de la peli los mismos partidarios del Open/Free Software, a parte de apoyar económica y con recursos en los principales proyectos, tienen que lidiar entre unos ideales, a veces más fuertes que la realidad tecnológica de algunos, y unos objetivos económicos. Esta disparidad lleva a situaciones como el cierre que se ha producido recientemente de Fedora Foundation [14], entre otros motivos. Este “no control total” sobre el proceso de desarrollo de los principales programas de la distribución hace que el avance tecnológico sea mucho más costoso para ellas ya que son competidoras entre sí. Así Hovsepian, presidente de Novell y dueños de SUSE Linux reconocía que el 60% de los equipos de la compañía aún tienen Windows en arranque dual ya que se dieron cuenta durante el proceso de la migración de que les faltaban componentes clave, en la próxima versión de la distro será.
Hay que tener en cuenta que el costo de solucionar problemas en un producto de software después de su implantación, es unas quince veces superior al costo de detectar y solucionar el problema durante su desarrollo, mediante una correcta ingeniería de software. Si para lo último se ha recurrido, tal y como ya comentamos, a la subvención del Gobierno Americano, para lo primero tendremos que esperar a ver quien paga la factura. De momento lo que hay encima de la mesas es un problema de interoperatibilidad entre distribuciones. Se habla mucho de la interoperabilidad GNU/Linux con plataformas Microsoft, pero el problema de interconectar distribuciones, existe y se agranda, con el nacimiento de las “distro cuartinex” (la de mi cuarto). El sistema de actualización de software que usa SUSE es Yast mientras que, por ejemplo, el que usa RedHat es RPM. Así, si tengo dos tipos de plataformas Linux en mi organización, (RedHat/SUSE) y quisiera poner un servidor de paquetes en mi compañía (para no saturar la conexión de Internet) tendría que montar un servidor de RPMs y un servidor de SUSE, y lo peor, como cada uno paquetiza cuando considera en el tiempo y versión, con dos clientes GNU/LINUX actualizados al mismo tiempo por distinto servidor no podríamos garantizar que tienen la misma versión de software instalado.
sábado, julio 29, 2006
lunes, julio 24, 2006
El Santo Grial
Hay días y días.
Hay días en que estás tan ocupado con el curro que no te puedes parar nada más que en cosas importantes y/o urgentes, pero también hay otros días en los que el diablo, cuando no sabe que hacer mata moscas con el rabo.
Hoy es un día en el que estoy tranquilo, tan tranquilo que hasta me aburro, me he bañado en la piscina 4 veces, me he tomado un melocotón, un helado de turrón y me he leido un comic de Warren Ellis de 300 páginas.
He llamado al abuelo, he llamado a amig@s, he visto la tele,... pero aún me ha sobrado algo de tiempo. Así que, me he puesto a surfear y rebuscar en la basura a ver que cosas antiguas tengo por ahí.
Hasta que me he acordado que debía un comentario a mis amigos después de la conferencia en la Fundación Dédalo.
Allí, Sergio Montoro, tras acabar la conferencia y ser superagradable con nosotros escribió este post en su blog http://www.lapastillaroja.net/archives/000897.html
No me pareció mal post, pero por desgracia, nosotros nos entrenamos solitos, y sí, es cierto, buscamos datos, muchos datos, 22 horas al día dedicadas a la seguridad, ese es el curro. Es difícil dar una sesión y esperar que te crean sólo por tu cara bonita, así que, no me creas, sólo busca los datos.
En un post mucho más ofensivo y polémico nos ponían, y a mi personalmente, a caer de un burro: http://mnm.uib.es/gallir/posts/2006/04/26/715/
Así patxangas decía: "P.D Cada día le tengo más tirria al sistema de comercial enrollado tipo Chema alonso que van de gurus y luego no son más que unos vende_elixires_crecepelos"
Patxangas es un buen tipo, y de hecho me cae bien; vino a verme a dar una sesión en Pamplona (a la que él mismo me había recomendado) tiempo después y nos saludamos y me invitó a visitar su empresa "la próxima vez que subiera"; y yo encantado.
La verdad, es que cuando te dedicas a lo que me dedico yo, tienes que llevar bien la crítica, porque si no, te puede dar algo. Yo lo llevo bien y de hecho disfruto en estos días en los que "hasta me aburro".
Luego Sergio, escribió otro post, en el que un amiguete había analizado las llamadas de Apache y de IIS y como son más simples las de Apache había sacado como conclusión que es más seguro. (Creo que ya puse un comentario sobre esto tiempo ha). El caso es que al final hay un link que me encanta. Es el camino hacia el Santo Grial: http://www.lapastillaroja.net/archives/000905.html
El link dice: "Demostrado que el Software Libre tiene menos fallos". Así que avanti, hacemos click y llegamos a un post de un tipo que dice que existe un estudio de la universidad de Stanford que demuestra que el Sw propietario tiene de 20 a 30 fallos por cada mil lineas de código y linka a la Universidad de Stanford (a la home page, con 2 guevos y ahora busca tú allí).
Este artículo que referencia a este famoso estudio lo he visto por muchos sitios, incluso Patxangas, que se quejaba de los "que van de gurú y son vendedores de nosequé" escribió otro post similar con el título: "Demostrado el menor índice de fallos del Software Libre" http://investic.interzonas.info/entrada.php?op=ViewArticle&articleId=365&blogId=6
y de igual forma linka a otro artículo que linka en Stanford a un grupo de investigación donde hay varios estudios, pero ninguno de ellos tiene ese famoso informe. En dicho post Patxangas, saca parte del informe de Coverity (http://scan.coverity.com/) y luego pone los datos del "Santo Grial" de 20 a 30 (viva la exactitud de datos.
El caso es que cuento mucho esta anecdota y en una de las últimas charlas alguien de "nosequé" (y que me perdone que realmente no me acuerdo de su puesto) de Debian me dijo que ese informe no existía.
Y la pregunta es:
Incluso alguien me referenció tb por akí al Santo Grial.
En fín, viva el verano!.
Hay días en que estás tan ocupado con el curro que no te puedes parar nada más que en cosas importantes y/o urgentes, pero también hay otros días en los que el diablo, cuando no sabe que hacer mata moscas con el rabo.
Hoy es un día en el que estoy tranquilo, tan tranquilo que hasta me aburro, me he bañado en la piscina 4 veces, me he tomado un melocotón, un helado de turrón y me he leido un comic de Warren Ellis de 300 páginas.
He llamado al abuelo, he llamado a amig@s, he visto la tele,... pero aún me ha sobrado algo de tiempo. Así que, me he puesto a surfear y rebuscar en la basura a ver que cosas antiguas tengo por ahí.
Hasta que me he acordado que debía un comentario a mis amigos después de la conferencia en la Fundación Dédalo.
Allí, Sergio Montoro, tras acabar la conferencia y ser superagradable con nosotros escribió este post en su blog http://www.lapastillaroja.net/archives/000897.html
No me pareció mal post, pero por desgracia, nosotros nos entrenamos solitos, y sí, es cierto, buscamos datos, muchos datos, 22 horas al día dedicadas a la seguridad, ese es el curro. Es difícil dar una sesión y esperar que te crean sólo por tu cara bonita, así que, no me creas, sólo busca los datos.
En un post mucho más ofensivo y polémico nos ponían, y a mi personalmente, a caer de un burro: http://mnm.uib.es/gallir/posts/2006/04/26/715/
Así patxangas decía: "P.D Cada día le tengo más tirria al sistema de comercial enrollado tipo Chema alonso que van de gurus y luego no son más que unos vende_elixires_crecepelos"
Patxangas es un buen tipo, y de hecho me cae bien; vino a verme a dar una sesión en Pamplona (a la que él mismo me había recomendado) tiempo después y nos saludamos y me invitó a visitar su empresa "la próxima vez que subiera"; y yo encantado.
La verdad, es que cuando te dedicas a lo que me dedico yo, tienes que llevar bien la crítica, porque si no, te puede dar algo. Yo lo llevo bien y de hecho disfruto en estos días en los que "hasta me aburro".
Luego Sergio, escribió otro post, en el que un amiguete había analizado las llamadas de Apache y de IIS y como son más simples las de Apache había sacado como conclusión que es más seguro. (Creo que ya puse un comentario sobre esto tiempo ha). El caso es que al final hay un link que me encanta. Es el camino hacia el Santo Grial: http://www.lapastillaroja.net/archives/000905.html
El link dice: "Demostrado que el Software Libre tiene menos fallos". Así que avanti, hacemos click y llegamos a un post de un tipo que dice que existe un estudio de la universidad de Stanford que demuestra que el Sw propietario tiene de 20 a 30 fallos por cada mil lineas de código y linka a la Universidad de Stanford (a la home page, con 2 guevos y ahora busca tú allí).
Este artículo que referencia a este famoso estudio lo he visto por muchos sitios, incluso Patxangas, que se quejaba de los "que van de gurú y son vendedores de nosequé" escribió otro post similar con el título: "Demostrado el menor índice de fallos del Software Libre" http://investic.interzonas.info/entrada.php?op=ViewArticle&articleId=365&blogId=6
y de igual forma linka a otro artículo que linka en Stanford a un grupo de investigación donde hay varios estudios, pero ninguno de ellos tiene ese famoso informe. En dicho post Patxangas, saca parte del informe de Coverity (http://scan.coverity.com/) y luego pone los datos del "Santo Grial" de 20 a 30 (viva la exactitud de datos.
El caso es que cuento mucho esta anecdota y en una de las últimas charlas alguien de "nosequé" (y que me perdone que realmente no me acuerdo de su puesto) de Debian me dijo que ese informe no existía.
Y la pregunta es:
¿Cómo se puede realizar un estudio como el de coverity que se genera mediante el análisis automático del código fuente si el software propietario no tiene publicado el código?
Incluso alguien me referenció tb por akí al Santo Grial.
En fín, viva el verano!.
(P.P.P.P.P.P.P)
Plataforma Para que el Padre Parada Ponga un Puto Post
El rubio pelocho, el abuelo, el padre parada, el azote narizote,... son muchos los nombres que le acompañan al pájarraco este, pero llámale como le quieras llamar, tiene que volver a currar!
No nos mires, únete y escríbele un mail a kapuyo de Padre Parada que está de Vacaciones en la playa para joderle las vacaciones y escriba un Puto Post en su blog.
Ya sabemos que el tipo es de riego lento y si no le damos el "Recuperabuelos" (mezcla de Sintrom, Red Bull, 2 gotitas de Viagra, media copa de Juanito el Caminante y un pizca de limón) no funciona, pero es que YA LLEVA CASI UN AÑO SIN POSTEAR NADA!.
Así que le mandas un mail con el siguiente formato:
Asunto: Basta ya! P.P.P.P.P.P.P.
Texto: Este es un mensaje de la "Plataforma Para que el Padre Parada Ponga un Puto Post" con el único fin de que postees de una puñetera vez. Si no lo haces no volverás a tener sexo never and ever!
Postea ya Abuelo!!
Y RECUERDA: "El Deathmath Linux Vs Windows sigue vivo"
Deathmatch
No nos mires, únete y escríbele un mail a kapuyo de Padre Parada que está de Vacaciones en la playa para joderle las vacaciones y escriba un Puto Post en su blog.
Ya sabemos que el tipo es de riego lento y si no le damos el "Recuperabuelos" (mezcla de Sintrom, Red Bull, 2 gotitas de Viagra, media copa de Juanito el Caminante y un pizca de limón) no funciona, pero es que YA LLEVA CASI UN AÑO SIN POSTEAR NADA!.
Así que le mandas un mail con el siguiente formato:
Asunto: Basta ya! P.P.P.P.P.P.P.
Texto: Este es un mensaje de la "Plataforma Para que el Padre Parada Ponga un Puto Post" con el único fin de que postees de una puñetera vez. Si no lo haces no volverás a tener sexo never and ever!
Postea ya Abuelo!!
Y RECUERDA: "El Deathmath Linux Vs Windows sigue vivo"
Deathmatch
jueves, julio 20, 2006
Deathmatch
Cuac, cuac!
El verano arrecia y hay que mojarse, así que mañana se para la producción en toda la empresa y nos vamos de fiestorro los 20 a que me pegue mi equipo unos bolazos al paintball, a decirnos de tooo en la barbacoa y bañandonos en la piscina que hace calor. Mola.
Un día extra de descanso en medio del calor será dabuti, pero antes de irme, quiero dejar aquí posteada alguna cosa.
En primer lugar, después de un leve combate con los Sergios (si sigues el blog sabrás quienes son estos golfos que con un poco de suerte se subirán a Madrid y los emborracharemos hasta que vendan su alma al lado del ma) me han dejado cierta noticia sobre cierto estudio de offises en Francia para que pusiera algo de "carnaza" aquí en el blog, pero.... lo dejo para que lo encontréis vosotros.
Yo os voy a poner la idea que me dio un compañero de andanzas, de comida y de amigo.
"Que pasa Chema,
Sin verme no sabrás quien soy, pero nos hemos visto unas cuantas veces en eventos, soy amiguete del abuelo.
El caso es que quiero soltarte una paja mental que me ronda:Siempre tenemos esta lucha entre el mal y el bien :-D y aunque podemos esgrimir ciertos estudios y estadísticas parece como que al final siempre se deja la lucha por imposible.
Me gustaría poder tener algo palpable, algo que nadie me pudiera discutir y se me ha ocurrido una idea.La idea consistiría en un reto un deathmath entre dos equipos, uno usaría tecnología de Microsoft y otro de Linux y software libre (estoy seguro que en tu blog encontraríamos a gente con ganas de enfrentarse apoyando el frente linux, aunque es importante que fuera gente "consagrada" y con mucho nivel).
El enfrentamiento consistiría en configurar una solución, dicha solución seria escogida al azar el día del enfrentamiento, delante del publico de un total de 5 o mas escenarios que definirían de forma genérica los requisitos de la solución.Los escenarios podrían ser por ejemplo Acceso Remoto, Branch Office, Publicación de servicios en Internet, correo electrónico, etc.
Los dos equipos contarían con el mismo hardware, numero de miembros y tiempo.Una vez montada la solución, cada equipo tendría un tiempo para explicar como lo ha montado y la arquitectura que ha empleado, también podría explicar que valor añadido proporciona su solución.
En esta fase, ganaría el que terminara antes, siempre y cuando se haya probado la solución y funcione.
En la siguiente fase, cada solución se tendría que enfrentar a 5 pruebas de cambio o mantenimiento.
Es una paja mental, lo se, pero ¿a que seria divertido de narices verles hacerlo?Esto se me ha ocurrido en lo que metía una entrada en mi blog sobre el Suse Linux Open Enterprise de Novell, desde luego el post no tiene la calidad literaria de los tuyos, pero me ha recordado "nuestra lucha" :-D
http://dmatey.spaces.msn.com/blog/cns!3B6FB47901ABC772!566.entry?_c11_blogpart_blogpart=blogview&_c=blogpart#permalink "
Publico este mensaje y su link al blog pq me parece una idea divertida para todos. Él me ha pedido participar en el equipo de Windows y seguro que podremos hacer los equipos.
La pinicula esta la he hablado con Technet y con MSDN en España y no solo les ha molado sino que han dicho que adelante, que vamos a montar esto. La idea será buscar que el evento no sea de Microsoft sino que esté la Universidad, La Empresa, Microsoft, alguna de Linux y alguien de Adminstración pública para organizar el evento. Luego hemos pensado en empezar un día por la mañana con la elección de los escenarios. La gente tendría que currar en el escenario mientras que se van dando charlas y se les va entrevistando y viendo lo que hacen con el cañon de video. (yo me pido presentador que siempre he querido ser como la Paula Vázquez o la La Miriam). Luego al día siguiente seguimos y se valoran los resultados. La gracia es hacerlo en un hotel y si los equipos tienen que trasnochar para hacerlo rular..... jejeje.
Lo divertido es que no solo sería de plataforma, sino también de desarrollo con lo cual podremos divertirnos más.
El objetivo es: DIVERSIÓN no hacer de esto una batalla campal, ahora que sí hay que matar se mata, que para algo somos de Bronxtolex. ;)
¿Quien se apuntaría?
El verano arrecia y hay que mojarse, así que mañana se para la producción en toda la empresa y nos vamos de fiestorro los 20 a que me pegue mi equipo unos bolazos al paintball, a decirnos de tooo en la barbacoa y bañandonos en la piscina que hace calor. Mola.
Un día extra de descanso en medio del calor será dabuti, pero antes de irme, quiero dejar aquí posteada alguna cosa.
En primer lugar, después de un leve combate con los Sergios (si sigues el blog sabrás quienes son estos golfos que con un poco de suerte se subirán a Madrid y los emborracharemos hasta que vendan su alma al lado del ma) me han dejado cierta noticia sobre cierto estudio de offises en Francia para que pusiera algo de "carnaza" aquí en el blog, pero.... lo dejo para que lo encontréis vosotros.
Yo os voy a poner la idea que me dio un compañero de andanzas, de comida y de amigo.
"Que pasa Chema,
Sin verme no sabrás quien soy, pero nos hemos visto unas cuantas veces en eventos, soy amiguete del abuelo.
El caso es que quiero soltarte una paja mental que me ronda:Siempre tenemos esta lucha entre el mal y el bien :-D y aunque podemos esgrimir ciertos estudios y estadísticas parece como que al final siempre se deja la lucha por imposible.
Me gustaría poder tener algo palpable, algo que nadie me pudiera discutir y se me ha ocurrido una idea.La idea consistiría en un reto un deathmath entre dos equipos, uno usaría tecnología de Microsoft y otro de Linux y software libre (estoy seguro que en tu blog encontraríamos a gente con ganas de enfrentarse apoyando el frente linux, aunque es importante que fuera gente "consagrada" y con mucho nivel).
El enfrentamiento consistiría en configurar una solución, dicha solución seria escogida al azar el día del enfrentamiento, delante del publico de un total de 5 o mas escenarios que definirían de forma genérica los requisitos de la solución.Los escenarios podrían ser por ejemplo Acceso Remoto, Branch Office, Publicación de servicios en Internet, correo electrónico, etc.
Los dos equipos contarían con el mismo hardware, numero de miembros y tiempo.Una vez montada la solución, cada equipo tendría un tiempo para explicar como lo ha montado y la arquitectura que ha empleado, también podría explicar que valor añadido proporciona su solución.
En esta fase, ganaría el que terminara antes, siempre y cuando se haya probado la solución y funcione.
En la siguiente fase, cada solución se tendría que enfrentar a 5 pruebas de cambio o mantenimiento.
Es una paja mental, lo se, pero ¿a que seria divertido de narices verles hacerlo?Esto se me ha ocurrido en lo que metía una entrada en mi blog sobre el Suse Linux Open Enterprise de Novell, desde luego el post no tiene la calidad literaria de los tuyos, pero me ha recordado "nuestra lucha" :-D
http://dmatey.spaces.msn.com/blog/cns!3B6FB47901ABC772!566.entry?_c11_blogpart_blogpart=blogview&_c=blogpart#permalink "
Publico este mensaje y su link al blog pq me parece una idea divertida para todos. Él me ha pedido participar en el equipo de Windows y seguro que podremos hacer los equipos.
La pinicula esta la he hablado con Technet y con MSDN en España y no solo les ha molado sino que han dicho que adelante, que vamos a montar esto. La idea será buscar que el evento no sea de Microsoft sino que esté la Universidad, La Empresa, Microsoft, alguna de Linux y alguien de Adminstración pública para organizar el evento. Luego hemos pensado en empezar un día por la mañana con la elección de los escenarios. La gente tendría que currar en el escenario mientras que se van dando charlas y se les va entrevistando y viendo lo que hacen con el cañon de video. (yo me pido presentador que siempre he querido ser como la Paula Vázquez o la La Miriam). Luego al día siguiente seguimos y se valoran los resultados. La gracia es hacerlo en un hotel y si los equipos tienen que trasnochar para hacerlo rular..... jejeje.
Lo divertido es que no solo sería de plataforma, sino también de desarrollo con lo cual podremos divertirnos más.
El objetivo es: DIVERSIÓN no hacer de esto una batalla campal, ahora que sí hay que matar se mata, que para algo somos de Bronxtolex. ;)
¿Quien se apuntaría?
viernes, julio 14, 2006
¿Te hackearon porque debían? ...ó
¿Por qué te hackearon Debian?
Hay un traidor en la comunidad. Este ha sido el primer pensamiento de muchos.
Muchas discusiones que he tenido han circulado sobre la política de parches. Recientemente he publicado un artículo en la revista Esecurity [http://www.esecuritymagazinecom] en su versión escrita, en la sección de opinión, sobre esto mismo [El Mantenimiento de una Infraestructura Segura (I): Sistemas Actualizados].
(Prometo publicarlo aquí que estaba bastante quemado por otro artículo anterior de uno de esos que me motivan y me salio un poco subido de tono, para que podamos discutir bien)
Hoy Debian.org publicaba un mensaje en el que avisaba de que uno de sus servidores, Gluck, había sido comprometido por un ataque. Esto les obligaba a reinstalar el sistema y a parar todos los servicios de Debian para la comunidad hasta que se pudieran parchear los sistemas.
La gente de Zone-h especulaba sobre un exploit de 0-days para el kernel de Linux utilizado, pero este exploit solo puede ser utilizado desde una cuenta del servidor. Al final este parece ser el camino seguido para hackear el servidor.
La respuesta oficial es que una cuenta de uno de los desarrolladores ha sido comprometida (es decir, que le han mangao la password de alguna manera) y luego los atacantes han usado esas credenciales para hackear el sistema. ¿Desde cuando la tenían?
Primero, la política full disclousoure de publicar los bugs en cuanto se conocen va en contra de los procedimientos de las empresas y organismos para la actualización de sistemas, ahí está el caso de estos servidores; para ellos no es facil parar el servicio en cualquier momento y parchear, necesitan planificar. Esto ha llevado a que la misma Debian tuviera sin parchear sus servidores y ahora estén sin servicio un tiempo, vaya,vaya, vaya. ¿Y si reconsideramos un poco la política?
En segundo lugar, un bug, se conozca o no el exploit, es un fallo y hay que arreglarlo.
En tercer lugar, explotable en local, no tiene ningún problema si no tienes usuarios de tu servidor, pero si hay servicio SSH y/o Telnet, cualquier usuario que se conecte es un usuario local del servidor. Es local, siempre y cuando no consigan una cuenta. (mejor aceptar esto, que la tenebrista, especuladora y catastrofista teoría de la conspiración de que haya un traidor)
Bueno, ...Segundos fuera!!
Muchas discusiones que he tenido han circulado sobre la política de parches. Recientemente he publicado un artículo en la revista Esecurity [http://www.esecuritymagazinecom] en su versión escrita, en la sección de opinión, sobre esto mismo [El Mantenimiento de una Infraestructura Segura (I): Sistemas Actualizados].
(Prometo publicarlo aquí que estaba bastante quemado por otro artículo anterior de uno de esos que me motivan y me salio un poco subido de tono, para que podamos discutir bien)
Hoy Debian.org publicaba un mensaje en el que avisaba de que uno de sus servidores, Gluck, había sido comprometido por un ataque. Esto les obligaba a reinstalar el sistema y a parar todos los servicios de Debian para la comunidad hasta que se pudieran parchear los sistemas.
La gente de Zone-h especulaba sobre un exploit de 0-days para el kernel de Linux utilizado, pero este exploit solo puede ser utilizado desde una cuenta del servidor. Al final este parece ser el camino seguido para hackear el servidor.
La respuesta oficial es que una cuenta de uno de los desarrolladores ha sido comprometida (es decir, que le han mangao la password de alguna manera) y luego los atacantes han usado esas credenciales para hackear el sistema. ¿Desde cuando la tenían?
Primero, la política full disclousoure de publicar los bugs en cuanto se conocen va en contra de los procedimientos de las empresas y organismos para la actualización de sistemas, ahí está el caso de estos servidores; para ellos no es facil parar el servicio en cualquier momento y parchear, necesitan planificar. Esto ha llevado a que la misma Debian tuviera sin parchear sus servidores y ahora estén sin servicio un tiempo, vaya,vaya, vaya. ¿Y si reconsideramos un poco la política?
En segundo lugar, un bug, se conozca o no el exploit, es un fallo y hay que arreglarlo.
En tercer lugar, explotable en local, no tiene ningún problema si no tienes usuarios de tu servidor, pero si hay servicio SSH y/o Telnet, cualquier usuario que se conecte es un usuario local del servidor. Es local, siempre y cuando no consigan una cuenta. (mejor aceptar esto, que la tenebrista, especuladora y catastrofista teoría de la conspiración de que haya un traidor)
Bueno, ...Segundos fuera!!
lunes, julio 10, 2006
No serán tan malos
Han ganado el campeonato del mundo, así que no serán tan malos. Sí, vale, a nadie le gusta como jugó Italia, pero nadie le ha ganado un solo partido en todo el mundial. Así que no serán tan malos.
Algo así pasa con la tecnología de MS, es muy mala, pero luego me suelta la misma persona que me dice que es "patetica el diseño del sistema de MS" que quiere que se publique el código fuente y el diseño, para ver como es y que se difunda el conocimiento.
¿Pero... si ya has dicho que es patético es que ya conocías el diseño y el código, no? ¿o es que has dicho que era patético por inercia? ¿por que quieres aprender de algo malo? ¿Hay que aprender de los buenos, no?
Pero da igual, si se quiere aprender sobre el código de windows y el kernel existe un proyecto desde principios de este año que publica hasta el 80 % del código de ntoskrnl.exe http://www.msdnaacr.net/curriculum/pfv.aspx?ID=6191 para profesores y estudiantes. Yo ya lo he visto por muchos sitios. Además hace comparativas sobre diferentes kernels, lleva incluido el libro de Mark Russinovich y David Solomon de Windows Internals, etc...
Yo he visto mucho de ese código y la verdad es que no me entero de un carajo. Tal vez los que lo reclaman sí que lo entiendan. La verdad es que es dificil no saber lo que hace si realmente estás interesado en la materia. Es como cuando oyes a De la Rosa contar como se espían las escuderías entre sí, parece de pinicula. Con el código de windows, bueno, pues como dice mi psicopata particular que me modifica los codigos de los programas al vuelo. "Siempre tienes el código, está en binario y en ensamblador, ¿tu no sabes ensamblador chema?" Es un bastardo y cuando bebe encima es un bastardo gracioso el joputa ;). ¿Y sin saber ensamblador quieres hacer un sistema operativo? no me lo creo!. Tienes que saber ensamblador seguro, lo que pasa es que te gusta que te lo pongan fácil, pq ... no serás un bocas, ¿no?
En fin, no serán tan malos, ¿verdad?
Algo así pasa con la tecnología de MS, es muy mala, pero luego me suelta la misma persona que me dice que es "patetica el diseño del sistema de MS" que quiere que se publique el código fuente y el diseño, para ver como es y que se difunda el conocimiento.
¿Pero... si ya has dicho que es patético es que ya conocías el diseño y el código, no? ¿o es que has dicho que era patético por inercia? ¿por que quieres aprender de algo malo? ¿Hay que aprender de los buenos, no?
Pero da igual, si se quiere aprender sobre el código de windows y el kernel existe un proyecto desde principios de este año que publica hasta el 80 % del código de ntoskrnl.exe http://www.msdnaacr.net/curriculum/pfv.aspx?ID=6191 para profesores y estudiantes. Yo ya lo he visto por muchos sitios. Además hace comparativas sobre diferentes kernels, lleva incluido el libro de Mark Russinovich y David Solomon de Windows Internals, etc...
Yo he visto mucho de ese código y la verdad es que no me entero de un carajo. Tal vez los que lo reclaman sí que lo entiendan. La verdad es que es dificil no saber lo que hace si realmente estás interesado en la materia. Es como cuando oyes a De la Rosa contar como se espían las escuderías entre sí, parece de pinicula. Con el código de windows, bueno, pues como dice mi psicopata particular que me modifica los codigos de los programas al vuelo. "Siempre tienes el código, está en binario y en ensamblador, ¿tu no sabes ensamblador chema?" Es un bastardo y cuando bebe encima es un bastardo gracioso el joputa ;). ¿Y sin saber ensamblador quieres hacer un sistema operativo? no me lo creo!. Tienes que saber ensamblador seguro, lo que pasa es que te gusta que te lo pongan fácil, pq ... no serás un bocas, ¿no?
En fin, no serán tan malos, ¿verdad?
jueves, julio 06, 2006
Juguetes
Debemos reconocer que esta vida que llevamos es como no crecer. Ser informático es un poco como ser Peter Pan, discutimos como niños, nos peleamos como niños y siempre estamos jugando. Somos como niños con juguetes. Nos descargamos herramientas y jugamos. Es guay!
¿Cuantas veces os han dado el nombre de una herramienta y no la habéis encontrado en Internet y os habéis quedado jodidos? A mi me pasa. Si los juguetes encima son de seguridad la cosa aún es más excitante.
¿Has visto bloover para robar agendas de móviles por Bluetooth? ¿Has probado Cain para PDA? ¿Has hecho el ataque 0 a wireless desde Windows? Cuando te hacen preguntas de este tipo y la respuesta es no, lo que estás deseando es llegar a casa sacar a los cabezones (ya no tanto desde los TFTs, sniff) y jugar con los nuevos juguetes.
Pues así estoy yo desde que me mandaron hace un mes y algo la lista de las 100 herramientas de seguridad que más gustan. Muchas os sonarán y ya las habréis probado, pero seguro que acabaréis haciendo como yo, descargandolas todas y metiendolas todas juntitas en un cd. Je,je,je.
Nessus (número 1), snort (3), netcat (4), metasploit (5), Kismet (7), Cain (9), Ethercap, Paros, Netstumbler, Tcpdump, hping2, nmap, shadow security scanner, gfi languard, aircrack, superscan, retina, sysinternals, ... mogollón de juguetes que conoceréis casi todos, pero.... yo he visto juguetes que no usaba. Seguro que hay alguno nuevo para tí tb ;).
http://sectools.org
Si es que somos como niños!!
PS: ¡Aprobé los examenes de mi uni de Junio!
¿Cuantas veces os han dado el nombre de una herramienta y no la habéis encontrado en Internet y os habéis quedado jodidos? A mi me pasa. Si los juguetes encima son de seguridad la cosa aún es más excitante.
¿Has visto bloover para robar agendas de móviles por Bluetooth? ¿Has probado Cain para PDA? ¿Has hecho el ataque 0 a wireless desde Windows? Cuando te hacen preguntas de este tipo y la respuesta es no, lo que estás deseando es llegar a casa sacar a los cabezones (ya no tanto desde los TFTs, sniff) y jugar con los nuevos juguetes.
Pues así estoy yo desde que me mandaron hace un mes y algo la lista de las 100 herramientas de seguridad que más gustan. Muchas os sonarán y ya las habréis probado, pero seguro que acabaréis haciendo como yo, descargandolas todas y metiendolas todas juntitas en un cd. Je,je,je.
Nessus (número 1), snort (3), netcat (4), metasploit (5), Kismet (7), Cain (9), Ethercap, Paros, Netstumbler, Tcpdump, hping2, nmap, shadow security scanner, gfi languard, aircrack, superscan, retina, sysinternals, ... mogollón de juguetes que conoceréis casi todos, pero.... yo he visto juguetes que no usaba. Seguro que hay alguno nuevo para tí tb ;).
http://sectools.org
Si es que somos como niños!!
PS: ¡Aprobé los examenes de mi uni de Junio!
lunes, julio 03, 2006
El primo fascista de Chorchinaguer y su blog
Estoy recien parado un minuto después de sufrir los avatares de p*$%* IBERIA de los c*j$nE$ y estoy muerto, pero el mail de Ander me ha devuelto la sonrisa en esta repletita semana de trabajo.
Además de ir a la partyquijote, ya confirmado, me han pedido que vaya, después de la peta del año pasado incluido, a la Euskal, así que a ver como sale esto.
El post de hoy se lo voy a dedicar a un blogger. De este personaje sabemos, que tiene un MCSE sacado al estilo Roldán, pues en uno de sus mágicos hechos dice:
"Ask any Linux hacker where Linux came from, and they will surely inform you that it was written from scratch by the Finnish programmer Linus Torvalds. They will tell you that he started by writing the “Kernel”.
Fact File: What is a Kernel? This component is used for typing in simple commands like “dir” and “more”. Windows has a component called “cmd.exe” which serves a similar purpose but comes with better commands. Windows programmers often use a modern graphical user interface in preference to a kernel, however Linux users do not have this luxuary."
Además, sabemos que es Sacerdote de la santa cruzada del enigma del bit encantado, porque nos hace la siguiente definición:
"My computer does everything I could possibly want: I can do my work, submit my taxes and even search the Bible."
Además, tiene muy claro quien es quien, los hackers europeos quieren dinamitar el "american way of life" ya que
"Like most things that are worth owning, Computers are an American invention."
También son interesantes poseer otras invenciones no americanas como la jamona nórdica, el jamón de guijuelo, la maria amsterdana o el rojo libanés. Sin contar .... mejor me fujitsu.
Sigue el primo del chorchi con una larga retaila totalmente técnica como:
"Osama uses Linux because he knows designed to counterfit DVDs, curcumventing the Digital Millenium Copyright Act, and defraud companies like Disney."
Por que es sabido que Osama piratea Disney Channel y los copia en DVD para venderlos en los pueblos.
jajaja. Es que me desguevor!.
Os pongo alguna perla más:
"It’s a computer program that was initially developed in Finland as a means of circumventing valuable copyrights and patents owned by an American company called SCO Group."
Linux creado para no pagar a SCO...
y el pie de foto dice:
"This alcoholic has Linux installed on his laptop."
Bueno, bueno, os dejo el link con todas las perlas sobre linux que no tiene desperdicio:
Blog del "pacifista"
y sobre una traducción de uno de sus mejores posts:
Traducción
Mi opinión: Con gente así quien quiere krustys?
Además de ir a la partyquijote, ya confirmado, me han pedido que vaya, después de la peta del año pasado incluido, a la Euskal, así que a ver como sale esto.
El post de hoy se lo voy a dedicar a un blogger. De este personaje sabemos, que tiene un MCSE sacado al estilo Roldán, pues en uno de sus mágicos hechos dice:
"Ask any Linux hacker where Linux came from, and they will surely inform you that it was written from scratch by the Finnish programmer Linus Torvalds. They will tell you that he started by writing the “Kernel”.
Fact File: What is a Kernel? This component is used for typing in simple commands like “dir” and “more”. Windows has a component called “cmd.exe” which serves a similar purpose but comes with better commands. Windows programmers often use a modern graphical user interface in preference to a kernel, however Linux users do not have this luxuary."
Además, sabemos que es Sacerdote de la santa cruzada del enigma del bit encantado, porque nos hace la siguiente definición:
"My computer does everything I could possibly want: I can do my work, submit my taxes and even search the Bible."
Además, tiene muy claro quien es quien, los hackers europeos quieren dinamitar el "american way of life" ya que
"Like most things that are worth owning, Computers are an American invention."
También son interesantes poseer otras invenciones no americanas como la jamona nórdica, el jamón de guijuelo, la maria amsterdana o el rojo libanés. Sin contar .... mejor me fujitsu.
Sigue el primo del chorchi con una larga retaila totalmente técnica como:
"Osama uses Linux because he knows designed to counterfit DVDs, curcumventing the Digital Millenium Copyright Act, and defraud companies like Disney."
Por que es sabido que Osama piratea Disney Channel y los copia en DVD para venderlos en los pueblos.
jajaja. Es que me desguevor!.
Os pongo alguna perla más:
"It’s a computer program that was initially developed in Finland as a means of circumventing valuable copyrights and patents owned by an American company called SCO Group."
Linux creado para no pagar a SCO...
y el pie de foto dice:
"This alcoholic has Linux installed on his laptop."
Bueno, bueno, os dejo el link con todas las perlas sobre linux que no tiene desperdicio:
Blog del "pacifista"
y sobre una traducción de uno de sus mejores posts:
Traducción
Mi opinión: Con gente así quien quiere krustys?