domingo, diciembre 31, 2006

Chequeo Médico

Quedan unos minutos para que empiece la fiesta de fin de año. Sí, la fiesta en Bronxtolex comienza a las 12 de la mañana tomando cervezas y acaba cuando ya no se aguanta más.

Como yo ya tengo una edad no se cuantos días tardaré en recuperarme así que os dejo el artículo de Windows TI Magazine de Diciembre, por si tardo en regresar, sobre NAP que va de lo que voy a necesitar yo después de esta noche. Hasta el año que viene.

Chequeo Médico

A finales del año 2004, gracias a ser MVP de Seguridad en Microsoft fui invitado a asistir al Security Summit que nos ofreció durante una semana la gente de Seguridad en Redmond. Allí, entre muchas cosas, nos contaron el funcionamiento de SenderID, lo que sería el WSUS y también el NAP. NAP son las siglas de Network Access Protection y es de lo que quería hablar este mes porque ya casi está aquí, entre nosotros.

La idea de Microsoft con respecto a esta tecnología consiste en aunar en la industria una forma avanzada y extensible de controlar la configuración segura de todas las máquinas que se le conectan a un sufrido administrador en su red. La idea proviene de las Redes de Cuarentena (Quarantine Networks) de las que disponíamos en las conexiones VPN. En esta tecnología, Redes de Cuarentena, cuando un cliente VPN se intenta conectar a la red principal se lanzan una serie de scripts en la máquina cliente que comprueban la configuración de la misma para ver si cumple la “Política de Salud” exigida por el administrador. A ningún administrador le gusta que se conecte a su red un equipo portátil que está rodando por el mundo, sin parchear, sin tener el firewall conectado o sin las firmas del antivirus actualizadas ya que puede ser un foco de problemas en la red principal.

Si el cliente VPN no cumple la Política de Salud marcada por el administrador entonces no se le conecta a la red principal sino a una red paralela, llamada “Red de Cuarentena” donde va a poder acceder a los “Servidores de Remediación” (Remetidation Servers) que serán, lógicamente, los necesarios para arreglar aquello que hace que un equipo no cumpla la política, es decir, el WSUS para que actualice los parches, el servidor de gestión de software si la distribución está controlada por el administrador, el correo mediante acceso Web por si es una “urgencia”, el servidor de antivirus o lo que el administrador considere necesario.

Esta idea de Redes de Cuarentena estaba bastante avanzada también por Cisco y Trend Micro, así que lo mejor sería trabajar de forma conjunta para poder ofrecer una solución interoperable de futuro. Network Admission Control de Cisco-Trend Micro y Network Access Protection de Microsoft son la evolución de las Redes de Cuarentena y son interoperables como ya nos anticiparon a principios de Septiembre de este año.

En esta nueva tecnología ya no pensamos en una conexión de un Cliente VPN sino en una conexión a nuestra red, ya sea en un Switch, en un Punto de Acceso Wireless, mediante una conexión VPN o de cualquier otra manera. En el momento que la máquina se conecta a la red el Cliente NAP que debe correr en la máquina genera un documento del “Estado de Salud” (Statement of Health “SoH”) de la máquina. Éste es enviado al “Servidor de Política de Red” (Network Policy Server “NPS”), que es el sustituto en Windows Server “Longhorn” de IAS (Internet Authentication Server) en Windows Server 2003. El “Doctor” NPS comprueba con los Servidores de Políticas si el Estado de Salud (SoH) de nuestro “paciente” es correcto para poder estar conectado a la red a la que quiere conectar. Si es un Estado de Salud correcto se le permite la conexión y si no, pues decidimos que hacer. O bien le situamos en una red de remediación o bien optamos por no permitirle la conexión o en otro caso, directamente, en reconfigurar de forma “sana” la máquina en el acto.

Esta rápida descripción del funcionamiento nos permite hacernos dos preguntas. La primera: ¿Depende de donde conectemos la máquina cliente podremos tener diferentes requerimientos de salud? La respuesta es: Por supuesto, es genial, podemos definir la red como zonas distintas de seguridad que nos exigen distintos niveles de salud. La segunda pregunta que seguro que a todos nos viene a la cabeza es: ¿Cómo forzamos la política para que no se conecte una máquina cliente que no cumple el estado de salud requerido? Para ello tenemos varias formas de hacerlo.

1.- Servidor DHCP: Es la forma más sencilla y menos “segura” pero la tecnología NAP intenta ayudar a los administradores y usuarios a no ser vulnerables, no es una tecnología para luchar contra usuarios maliciosos, aunque ayude a ello. En este entorno cuando el cliente DHCP realiza la petición el servidor comprueba el SoH y si no cumple el nivel de salud, se le configura para trabajar en la red de remediación o directamente no se le concede una configuración de red válida.

2.- Servidor VPN: Para aquellas máquinas que se conectan mediante clientes VPN se aplica un funcionamiento similar al de las predecesoras Redes de Cuarentena. Usamos el servidor VPN para configurar al cliente dentro de una red de remediación o directamente no le permitimos la conexión.

3.- 802.1x: En todos los switch de la conexión Lan o VLan de la organización, cuando algún cliente se conecta a un puerto de un switch o a un Punto de Accesso Wireless, mediante el protocolo 802.1x se envía al servidor NPS el SoH de la máquina cliente. Si no cumple la Política de Salud entonces se deniega la conexión al puerto o se le configura de forma dinámica en otra VLan para la remediación.

4.- IPSec: En este caso el certificado X.509 para IPSec se emite de forma dinámica cuando una máquina es conectada. El proceso es sencillo, primero, el agente NAP genera el SoH que es enviado al NPS que a su vez comprueba si es válido o no con el Servidor de Políticas (PS). Si la cumple un Certificador de Salud genera un certificado X.509 para comunicaciones IPSec que deberá usar el cliente. En el momento que tenga el certificado podrá comunicarse con todos equipos de la red que también tienen el certificado IPSec y si no, quedará aislado.

Al final la idea es ver como restringir a las máquinas que no están sanas de comunicarse con las sanas. Sencillo.

La solución NAP viene con Windows Server “Longhorn” para la parte servidora y preparada para clientes Windows Server “Longhorn” y Windows Vista aunque se tiene prevista una implementación NAP para Windows XP SP2. No obstante clientes compatibles NAC existen ya para Windows 2000/XP SP2. ¿Muchas Siglas? ¡Cómo los médicos!

Más info: Technet

Chema Alonso
Microsoft MVP Windows Security

sábado, diciembre 30, 2006

El Burrito y Yo

La polémica sobre el dichoso Ferrari ha sido buena, incluso el Master Tecnico-less, electo campeón en este año, se hacía eco de ello. El amigo Sergio Hernando, es compañero de pescados y cubatas se hizo eco de ello gracias a que Nacho me lo puso en uno de los comentarios, así que quería comentarlo yo.

No, no me regalaron el Ferrari, snif, pero como sabéis yo estoy mucho por la zona de trabajo maldita de Spectra, así que os voy a relatar todo con lo que he mangado, a saber:

Al responsable de Technet:

- Una XBOX 360
- Un ratón Microsoft Presenter: Inalámbrico, bluetooth, con botones pasa-slides y puntero laser.
- Un móvil QTEK Smartphone con Windows Mobile
- 50 camisetas naranjas aproximadamente.
- 1 Entrada IT Forum

A la antigua responsable de Technet

- Un Creative ZenTouch con 20 GB de HD
- 20 camisas
- 2 abrigos impermeables
- 1 Teclado bluetooth
- 5 ratones bluetooth
- 50 camisetas JUST IT
- 2 Entradas TechED
- 2 Pendrives
- 1 portatil compaq (de segunda mano)
- 1 movil smartphone.

A los responsables de producto

- 5 Mochilas Exchange Server 2003
- 10 Mochilas de Portátil Windows Server
- 20 candados de maletas
- N camisetas y camisas
- Balones de fútbol
- Linternas
- Pendrives. Aproximadamente 5.

Al equipo MSN

- Un sacacorchos de vino hiperpijo con presión de aire
- Camisetas, polos y camisas
- Un abrigo .NET
- Camisetas University Tour
- 1 pendrive

Al equipo de Seguridad

- 2 Abrigos de la nieve
- Un coche teledirigido
- 3 pendrives
- 1 Servidor SUN

Al equipo de XBOX

- 20 juegos XBOX
- 10 juegos XBOX 360
- 20 juegos PC

Sin contar, comidas, cachondeos, disfraces, etc…. Y los regalos de clientes y amigos. Ayer sin ir más lejos, entradas para ver a Fito & Fitipaldis, en zona de Prensa, por ser blogger (jajaja) no,no, por la cara. Lo cual me recuerda que ...

Fito & Fitipaldis.



En fin, no se que pasa en este mundo. [No estuvo mal, pero después de verlo en más de 20 ocasiones en los últimos 5 años, me sigo quedando con el burrito y yo, que fue lo más grande que pude ver sobre un escenario.]

En fin, el poder del goodie es fuerte. Aún me quedan muchos (la mayoría los voy regalando) así que siempre llevo algo en la mochila para entregar en las conferencias. Para el que me vaya a pedir la XBOX 360: NI DE COÑA, que tb me han regalado el Gears War y tengo que morir primero.

viernes, diciembre 29, 2006

Dos Dycs por Dos

Curioseando por la red he dado con una traducción del informe de cibercriminología virtual de Mcafee que habla sobre amenazas, riesgos, etc… os dejo algúna noticia que lo comenta, pero me ha llamado la atención un parrafo sobe los hackers.

[Torrente con un dyc on]
Tras leer una traducción del informe de cibercriminología virtual de Mcafee nos queda claro que estos “macarrillas” del tres al cuarto y baja estofa pueden hacer. Pero lo mejor es que sepais quienes son estos patéticos personajillos.
[/Torrente]

"Los hackers persiguen la admiración en su mundo virtual. […]. Tienden a ser hombres jóvenes y con carencias afectivas, pese a que un número cada vez mayor de mujeres se están uniendo a sus filas."

[Torrente con dos dycs on]
Estos inadaptados no han visto a una mujer en su vida, si tocaran más pelo tendriamos menos problemas y los hombres de bien no nos tendríamos que preocupar de esta lacra de gafotas virginales. ¿Qué ahora se unen mujeres? ¡Serán feas o lesbianas, que todo puede ser, que si la gente follara más, no habría tantas guerras! O tú que prefirirás ¿sexo o doble click?
[/Torrente]

"John Suler, psicólogo especialista en ciberespacio de Rider University, destaca: “¿Qué motiva al hacker? Algunos se sienten cautivados por el desafío y la emoción de aventurarse en territorios prohibidos, en tanto que la motivación de otros es simplemente su carácter rebelde."

[Torrente con tres dycs on]
Dos hostias bien dadas es lo que les falta a estos rebeldes aventureros. ¿Qué se creen Indiana Jones?. Más estudiar historia, arte y religión y menos ver porno por la pantallita.
[/Torrente]

"En casos extremos, un hacker (y, especialmente, el aspirante a hacker) siente la urgencia de demostrar que es mejor y más inteligente que los demás. La bravuconería y la necesidad desesperada de probarse a sí mismo puede ser una de característica más común en el aspirante a hacker que en el hacker experimentado".

[Torrente con cuatro dycs on]
Encima los hay esquimales. Vamos que....Macarras, eso es lo que son. Tuercepollas. Cometrancas. Rascamuños. Ciempollados. La mili, eso es lo que tenían que hacer. La mili. Afeitarse, cortarse esos pelos, lavarse y arreglarse joder. Y dejarse de masturbar ¡coño!, ¡qué se van a quedar ciegos!. ¿Qué creeis, que llevan gafas por las pantallas de ordenador? Noooo, ¡es pq son unos güeinkars!
[/Torrente]

Joder, se me va la almendra. Menos mal que se acaba el año y voy a estar borracho.

jueves, diciembre 28, 2006

La Luz

Bueno, esto se acabó.

Después de estar en unas conferencias de Linux y Software Libre he visto la luz y he decidido hacer un fin en la carrera del mal y dedicarme a colaborar con los proyectos de difusión de las distros locales aceptando la oferta que me ha hecho la gente de Ubuntu y Debian.

Mi función será la de enganche en un comite que relacionará a todas las distros regionales para conseguir una interconexión de las plataformas, más allá de las barreras de los partidos políticos e ideológicas, y con las dos distros citadas, Ubuntu y Debian. También estaremos encargados de competir con Spectra y un poco contra Novell, aprovechando para ello, toda la experiencia que acarrea mi reciente pasado.

Un saludo compañeros. Comienza una nueva lucha.

Ah, por cierto, el comité se llamará "Ensamble Libre".

Feliz Diciembre!

miércoles, diciembre 27, 2006

La Aspirina

Mi mami, que ya sabéis que me llama “josemaricariño” siempre que tengo algo me receta una aspirina. ¿Te duele la cabeza? Tomate una aspirina, ¿te duele un pie? Tomate una aspirina ¿tas cansado? Tomate una aspirina. A veces pienso si también valdría para cuando no se folla o cuando pierde tu equipo al fútbol.

En el mundo de las tecnologías de la información hubo una época en un pasado muy, muy lejano (unos dos años) en el que la solución a todos los males iba a ser el software libre. Hoy en día las cosas están ya mucho más en su sitio y la utilización de software como servicio, software propietario y software libre conviven en una mejor armonía.

Al final, una de las cosas que más se habló fue de la barrera tecnológica para acceder a Internet. Y se le echó mucha culpa al software propietario. Recuerdo con especial cariño una comida con el concejal de tecnología de una comunidad que tiene un Linux propio que defendía el derecho del ciudadano a tener el photoshop. (estuvo muy gracioso el tema).

Bien, el jueves 21 recortaron del País esta columna en la que habla del estudio general de medios.

El último estudio del Estudio General de Medios, identifica a Extremadura como la comunidad con menor número de internautas, decreciendo año a año casi en caída libre (2004: 28%; 2005: 22,3%; 2006: 20%)
Lo relevante es tanto el estudio en sí, como la interpretación que sugiere El País. El propio periodista liga esta circunstancia con la de ser la “comunidad abanderada del Software libre”:

“ … y Extremadura. En esta última comunidad, abanderada del software libre, en el último mes solo se conectó el 20% de su población, seis puntos menos que hace 2 años según la misma estadística.
Extremadura es la comunidad española con menos internautas, a gran distancia de Galicia (31,32%) y de Andalucía (32%), otra de las comunidades que han impulsado fuertemente el Software libre”



Si es que la barrera tecnológica tiene más cosas y no se arregla solo con una aspirina, ¿no?

martes, diciembre 26, 2006

Predictor

En varias ocasiones me han preguntado como veo el futuro de la informática y nunca he tenido la suficiente fuerza para dar una predicción. Supongo que la fase esa en la que se lee con claridad el destino de un sector no ha llegado aún a mi vida.

El caso es que sí que hay gente que hace predicciones, y como no, al igual que la prensa rosa lo hace sobre quien va a ser la estrella del corazón en el año que viene o se hacen las quinielas de quien es el siguiente tipo que palmará en la lista de la muerte, pues también se hace en el mundo de la seguridad informática.

“Según Reuters, los hackers informáticos abrirán "un nuevo frente" en ese mercado multimillonario de la "ciberguerra" en 2007, y tendrán como objetivo los teléfonos móviles, los clientes de mensajería instantánea y páginas de comunidades virtuales como MySpace.“

En vez de ir directamente a por la pasta de los bancos, se va a por la información de las cuentas de los usuarios, bueno, es una alternativa. Ya se hizo en Second Life ¿no?

“Trend Micro predice que los hackers también tendrán como objetivo a la gente que usa la mensajería instantánea, los teléfonos móviles o las llamadas VoIP.”

Vaya, como decía Cervi, vamos a tener que repetir la misma gira de seguridad de este año, el año que viene.

Voy a hacer mi predicción particular. El año que viene se seguirán atacando páginas web mal diseñadas.

Puedes leer la noticia en este link. Uy, no,no,no,no, en ese no, en este otro link. Perdón.

Bies!

sábado, diciembre 23, 2006

Echando Fud Como el gato

Un fud es algo así como un globo sonda, algo que el lado del mal escupe por su podrida boca para engañar al pobre incauto. Para robar su alma y enviársela al mismísimo Satanás.

Esto ha hecho, que al igual que las religiones se protejan contra los engaños del maligno, que toma muchas formas para robar las almas inmortales, el lado del bien ha creado sus propias herramientas. ¿El agua bendita? ¿La cruz? ¿Los ajos? ¿Un dyc con cola caducao?

No, el FUD. Es como en Mary Poppins, solo tienes que decir la palabra mágica y todo desaparece, solo tienes que decir Supercalifragilisticoespialidoso o ésta que mi papi me enseño de pequeño y nunca se me olvido: Fotocromohuecoitoheliografía. Tu la dices, y al igual que con un conjuro de Harry Potter tu recuperas toda tu stammina y el enemigo queda herido.

Todo lo que no te gusta es un FUD. Esto es un FUD, ello es un FUD, yo soy un FUD, aquello es un FUD. Si no te gusta que dos más dos sean cuatro fudealo con tu fuder y asunto arreglado.

Como decía una de las máximas de la P.A.J.A ¿Para que vais a perder el tiempo analizando las cosas si ya las analizamos nosotros y os damos la opinión?, como la verdad es única vosotros vais a llegar a la misma conclusión, así que para que perder el tiempo, opinar, ya opinamos nosotros por vosotros que al final es la misma opinión y es como si opinarais vosotros, y si alguien os dice algo distinto es un FUD.

Así que cuando algo no te mole, sal echando FuD como el gato.

Según la wikipedia:

“Los partidarios del software libre ahora aplican de manera regular la etiqueta de FUD a las personas a las que ellos creen que atacan a GNU/Linux u otros productos de código abierto como Mozilla Firefox.”

“Esto se agrava por la agresiva y hasta rabiosa postura anti-Microsoft que muchos partidarios del software libre adoptan, en especial en sitios como Slashdot y Barrapunto. Inclusive, los miembros menos radicales de las comunidades del software abierto y del software cerrado han afirmado que las posiciones anti-propietarias y anti-Microsoft generalmente usan tácticas FUD.”


Yo creo que este mensaje de la wikipedia también es un FUD ¿no?

Saludos Malignos!

viernes, diciembre 22, 2006

Abandonar

Muchas veces me preguntan ¿no te cansas de viajar tanto? ¿de estar siempre por ahi? hoy quería dejaros un post, para este finde navideño explicandoos pq no me canso de esto. Que ya está bien de petas y rollos técnicos..... por un día!

Valladolid:


Burgos:


Pamplona:


Santander People:


Albacete:


Rumania:


Valencia:



Barcelona:



Vigo:


Vigo también (quien es el de la pata tumbao?):


Madrid:


Albarracín:


Melilla:



Sevilla:


Huesca:


Codecamp en el Escorial:


Y por supuesto BronXtoleX:


Solo son algunas pocas razones.¿Cuando creeis que lo voy a dejar? Por cierto pájaros. Se que algunos tenéis fotos mias, ¡mandadme una copia!

jueves, diciembre 21, 2006

El marrano gordo

En una de mis piniculas preferidas uno de los protagonistas en mitad de un programa de televisión le dice a otro, “Venga tío, si tu eres uno de esos que suplican por sexo”, a lo cual el otro se ofende muchísimo y contesta “¡¡¡¿Cómo te atreves a decir eso?!!!!” tras lo que el protagonista de esta anécdota responde con rapidez y seguridad “Uno siempre reconoce a sus iguales”.

Viajando en el AVE como he ido hoy con el portátil he mirado alrededor a ver que portátiles usaba la gente, ya sabéis, sólo por curiosidad profesional y por voyeurismo personal (y a ver si podía mangarle pila a alguno que estaba en las últimas), con lo que he podido constatar que era el único que tenía un portátil de más de dos kilos, bueno y de tres, mi cabezón está rellenito, pero me gustan sus carnes. Todos los demás contaban, a mi alrededor, con bonitos Toshiba, IBM e incluso un i-book. El único que llevaba un gordo DELL soy yo. Bueno, he de confesar que viajo en Preferente, como un rey, o como un subnormal que ha comprado el billete a última hora (os dejo elegir).

El caso es que no sólo era el peso del portátil sino también la forma de teclear. En primer lugar mi manera es hiper ruidosa, acostumbrada a aporrear los teclados mecánicos de mi 8088, las máquinas de escribir Olivetti donde comencé a llevarme bien con esta mágica combinación estelar llamada qwerty, y mi Amstrad 6128 con el Ikari Warriors y el Kung-fu Master. En segundo lugar las muñecas, ya que ellos no las apoyan en el portátil (estará sucio) y yo restrego mis tendones sobre la superficie (por lo que no llevo reloj, muñequeras, anillos, ni nada que me moleste) logrando que coja un bonito color diferente y que mi mami calificaría de color “mugre”.

Así es, a mi me gustan los marranos gordos y a ellos los que no pesan. Pero cuando he paseado, saliendo de mi paraíso en la zona preferente a juntarme con la gentuza de mala ralea de los vagones de turista (esta es mi grandeza), por eso de estirar las piernas y mezclarme con el populacho, he visto a un chavalote con el pelo medio desgreñao con una cinta al pelo de color morada haciendo ruido con las teclas de otro ordenador, los cascos enchufados a su portátil y escribiendo algo en su ordenador. Uno bien gordo, un HP gordo. Al pasar en visto la huella de un pie en el escritorio. (je)

Uno siempre reconoce a alguien que como yo suplicaría por sexo. ¿Qué portátil tienes tú?

Saludos Malignos!

miércoles, diciembre 20, 2006

El carné por puntos

Ayer me fui a ver la obra de teatro de Echanove “Plataforma” y estuve impactado durante toda la obra desde el minuto 1. Un montaje espectacular con porno duro desde el principioi para hablar sobre el turismo sexual en Tailandia, la explotación infantil, la incomunicación de occidente, la hipocresía. Joder, la caña. Cuando digo porno explicito digo explicito. Estuve impactado y tapándome la cara toda la obra. Supongo que el sexo es así, violencia que nos atrae. La mejor escena es cuando se masturba con “la Tapadera” de John Grisham y escupe al público simulando que es semen mientras se la sacude por dentro del calzoncillo.

Estaba yo pensando en hacer lo mismo con este artículo de mi amigo. Esta intriga es como la de la Tapadera a lo menos. Extraigo de él, al igual que los libros del Capitán Alatistre al final, unas perlas de ingenio:

“Microsoft ha aplastado a sus competidores y se ha impuesto de manera incontestable en el mercado, convirtiéndose en un monopolio de facto en sistemas operativos y suites ofimáticas.“

Hecho: Ya no lo neguemos ¿eh? Spectra tiene la cuota más alta y además no decrece, si quieres te doy datos. Al igual que IBM es líder en su sector (hosts, mainframes, etc…) y Oracle en el suyo, cada uno a sus cosas. Y sí, es así y OpenOffice y Linux para Desktop no le han quitado cuota a Spectra se la han quitado a otras suites (Wordperfect, unix, y otras cosillas).

“La empresa de Gates no ha escatimado esfuerzos a la hora de librarse de los competidores, […] copiando descaradamente su tecnología”

Comentario: Vamos tio, que me pones links en el artículo incluso a tus posts antiguos y este hecho no lo referencias. Además no solo es copiando, no,no. Además con alevosia y mala leche porque es “descaradamente”. De hecho existe el Windows XP “Desperadamente copiado” Edition.

No quiero polemizar en este apartado porque le quiero dedicar un análisis más largo en algún momento, pero cosas como lo de Reactos o como la “curiosidad” esta de que OpenOffice 2.1 haya tenido “exactamente” la misma vulnerabilidad que el 0 Days de Word de estos días siendo programas que se han desarrollado sin que ninguno sepa nada del otro.

Te pongo un comentario de un programador, ya sabes, esa gente aburrida que quiere datos.

“Can someone explain to me, and keep in mind I am a developer, generically speaking how would an independently developed project have the exact same vulnerabilities? I mean this boggles my mind.”

Seguimos con tu obra:

"Microsoft ha conseguido un dominio inigualable en el mundo del software."

Comentario: En todo no, en el mundo del desktop y office, que es su nicho. En el resto hay muchas empresas “en el mundo del software” No te las cito porque te las sabrás.

"Al menos hasta que llegó Internet, y el sistema operativo Linux empezó, lenta e imperceptiblemente, a hacerse valer en el mundo corporativo."

Bronxtolita: Sí, lenta, muy lenta. De hecho, desde el año 1991 que nace, hasta el 2006 Spectra ha rentabilizado W 3.1, 3.11 para trabajo en grupo, 95, 98, ME (jo, este tb), NT 3.51, NT 4, 2000, XP, 2003 y ahora Vista y Longhorn y con sus versiones SP2 y R2. Es decir, ¿15 años no es un periodo un pelín largo en tecnología? Más, cuando viene de un sistema operativo llamado UNIX que ofrecía su código.

Veamos. Es un HECHO que Linux es el heredero de UNIX. ¿Hacerse valer en el mundo corporativo? Joder, tío, si cuando yo empecé a currar es que ¡¡no había otra cosa en el mundo corporativo!! Lo raro fue cuando empezó a entrar un Windows NT Server. Sí, antes no había ninguno, luego los 3.51 entraron un poquito, pero na y menos, el NT entro bastante más (un sistema operativo de unos 10 años, 6 menos que Linux) luego el NT murió y apareció 2000 que entró más aún en el mercado corporativo y luego 2003 Server. ¿qué Linux no ha hecho más que crecer? Jajaj ¿Qué crees que ha hecho Windows Server? ¿Decrecer? Venga tío que sabes la respuesta. Ha sido todo a costa de UNIX. Lo sabes tú, lo se yo, lo sabe IBM, SUN, HP, etc…

“Linux ha evolucionado de manera espectacular.”

Comentario. Te dejo este link de “lomalodelinux” (donde amantes del pinguino expresan sus pesares) para que veas que no todo es jauja (no te dejo mis comentarios sobre esto que sería demasiado egocentrico), pero … ¿No crees que la frase sería. “La tecnología ha evolucionado de forma espectacular”? ¿Crees que Spectra no ha evolucionado? Vamos tio, te paso una versión de 180 días de Vista para que juegues un poquito que te va a gustar. Con lo que te gustan los cacharrines, y luego pruebas en otras partes. Porque ... ¿no serás tú de los que te sorprendes pq la imagenes se puedan ver en una caja a través de ondas no?

“Primero, gracias al esfuerzo de miles de programadores que han hecho avanzar el sistema operativo libre hasta cotas inimaginables.”

Pájaros y Flores. Dime alguna cota donde haya llegado en competencia con Spectra y que Spectra no haya llegado. Dame datos, datos, ya se que son aburridos, pero es que a mi no me gustan las flores, se me da mal cuidarlas.

“En los últimos cinco años la empresa de Bill Gates ha intentado competir con Linux con aquellas tácticas que tan bien funcionaron en el pasado, pero han tenido escaso éxito.”

Ja,ja. A ver tío, o Spectra es líder dominante o ha fracasado, pero no me digas las cosas contrarias en el mismo artículo, vamos, vamos. ¿Ha facasado o ha crecido? ¿Quieres que te saque cuotas de venta, crecimiento y uso? Vamos, que seguro que tienes datos de Gardner, IDG, etc… si no te saco datos de ventas.

"Se encargaban estudios "imparciales" y muy bien pagados por Microsoft que demostrasen empíricamente que Linux era más inseguro, o más caro, o más inestable, o menos potente que su homólogo Windows.”

Ay,ay,ay: Veamos, veamos, veamos. Que al principio hablas bien de varias empresas que encargan estudios como IBM, RedHat, etc… (sí, ellas encargan estudios) y luego te parece mal que lo hagan. A ver, cuando se encarga un estudio es porque interesa que se aporten datos. Para eso se crea una metodología de estudio, que se debe de hacer pública, y se aportan las pruebas y los datos. Vamos, vamos. Dime algún estudio que esté mal por algún dato o que diga mentiras o falsedades. Dámelo. Yo tengo mi Porno-Desktop lleno de estudios de todos los tipos y colores, ¿quieres alguno?

“Microsoft ayudó económicamente de manera descarada a SCO en el pleito que le enfrenta –aún hoy– con IBM sobre el copyright de Linux, un caso que le va a costar la existencia a SCO porque no era más que un movimiento más de Gates contra el enemigo.”

Hecho: Es cierto, la única preocupación de Gates es gobernar el mundo, por eso deja Spectra. Te cubres de gloria tron. ¿Te has leído la Tapadera? Gisham estaría encantado con ciertas de estas teorías conspiratorias.

“El problema surge de enfrentarse a un enemigo tan amorfo como Linux: no lo pueden comprar, porque Linux es libre”

Si te oyen Stallman y Linus te pegan. Linus por decir que Linux es Libre porque el cree que los derechos de autor importan y que el copyright es un hecho y RMS pq no es Linux sino GNU o y sólo en el caso de que el kernel sea Linux, GNU/Linux. Vamos tio que no es tan difícil saber que es el Software Libre.

“si compran una empresa quedarán otras muchas, y aún comprando todas mañana podría surgir otra distribución de Linux competidora.”

Esta te va a costar 3 puntos en el carné pq te la debías saber. Spectra solo compra Startups con buena tecnología, no competidores. WhaleComunicatios, Giant Software, GeCat, Sybari, etc… no son competidoras compañero son startups que pueden aportar tecnología. ¿Comprar Spectra una empresa de distro? Mira tío en mi uni se han hecho varias distribuciones, creo que Spectra tiene tecnicos (pero esto solo lo creo, no lo he confirmado) para poder hacer una distro… si quisiera. Solo tendrían que aprenderse bien este programa, pero a lo mejor necesitamos a alguien que les enseñe, ¿alguna recomendación personal?

"La libre competición en el mercado es arriesgada, porque Linux tiene muy buenos argumentos en el campo de los servidores para enfrentarse a Windows 2003.”

Di la realidad, déjame darle la vuelta a tu frase: Windows 2003 tiene muy buenos argumentos en el campo de los servidores para enfrentarse a UNIX.

“Es difícil competir por precio, dado que miles de empresas utilizan versiones gratuitas de Linux, y las más grandes contratan servicios de soporte con las grandes empresas más económicos que los de Microsoft para sus sistemas operativos.”

Tio, no has contratado servicios en RedHat, IBM o HP sobre Linux, eso de que son más económicos no lo has comprobado, ¿te saco tarifas? Ahora con el boom de Oracle dando soporte de Linux sí es más barato, pero… ¿qué soporte? Y bueno, no te cuento lo del TCO pq un tipo de tu condición lo sabe, pero ha sido gracioso lo de Birmingham.

“Que Linux está creciendo es un hecho difícil de discutir, y en Microsoft lo saben aunque no lo reconozcan.”

Sí, está creciendo en Servers a base de quitar UNIX, Windows está creciendo mogollón en Servers también, ¡¡si hasta HP que vendía HP-UX vende Linux!! ¿¡¡cómo no va a crecer Linux!!?.

Joder tio, vaya pedazo de artículo, todo son perlas, creo que le voy a dedicar una segunda parte mañana a comentarlo pq es que cada frase es una obra en sí mismo holística.

Malignos días

lunes, diciembre 18, 2006

Windows barato, barato

Alucino vecino. Resulta que en el ayuntamiento de Birmingham se deseaba pasar a plataformas Linux por los motivos que ya sabemos todos que tiene como ventaja, pero después de terminar el piloto lo han cancelado.

¿Por qué?

Pues porque se han gastado 535.000 Libras (algo así como 750.000 euralios). Claro, diréis, es que han hecho un megaproyecto de la hostia con mucha arquitectura, o así. Pues la idea era ponerlos en 1.500 bibliotecas, y toda la pasta se gastó en una prueba de 200. El desktop les ha costado algo así como 3.750 € . Con lo que han decidido migrar a tecnología Spectra que sale más económica.

Una de las consultoras que estuvo en los comienzos del proyecto dijo sobre el problemilla de los fondos:

“It's an unbelievable cock-up... They decided to do it all themselves, without expertise in the area"

Joder, si no se gastaron la pasta en gente que supiera, ¿en que se la gastaron? ¿A ver si la operación Malaya va a aparecer por aquí? Quién sabe, pero parece que el coste más alto ha sido la forma de gestionar el management de los equipos.

No es por ser abogado del agelito, pero hasta para mi es exagerado esto. Flipo como todos.

Noticia en ZDNET

¿Será este el nuevo futuro tras la especulación urbanística?

domingo, diciembre 17, 2006

Soy un mindundi

Acabo de leer el documento y de verdad que me doy cuenta de lo que es ser un mindundi. Os lo voy a explicar, un mindundi soy yo y cualquiera que pensemos que sabemos como funciona este mundo. Cuanto me queda por aprender joder.

Hace ya mucho tiempo, pero más de 1 año. En una comida con un amiguete me dijo: “Ya no vamos a usar el término de neutralidad”. “¿Por qué?” le pregunté y me dijo “Porque (político X) ha utilizado el mismo término en su discurso y creemos que se quiere confundir a la opinión pública así que nos hemos posicionado con un nuevo término “Libertad de opción”.

Así se quedó la cosa. Después se produjo una votación sobre cierta ley que ya sabéis que no salió adelante y ahora se ha votado una Proposición No de Ley sobre titulada:

“Proposición no de Ley, relativa a la promoción del software libre. “

Vamos, una proposición No de Ley que habla sobre el software libre y en ella nos encontramos un documento chulo. Empieza:

“Debemos generar condiciones para la libertad de opción, en concreto la libertad de elegir el software utilizado para cada necesidad.”

[Bronxtolita on]
Ale, viva la libertad de opción, que ya no estamos en una dictadura en la que haya que obligar a usar un software u otro.
[/Bronxtolita off]

“Valoramos muy positivamente fenómenos como el software libre y los estándares abiertos, […]”

[Bronxtolita on]
No penseis que piensan de vosotros que soys unos desharrapaos, os valoran y quieren.
[/Bronxtolita off]

Reconocen que el SL tiene ventajas, como:

“Optimización del coste de acceso al software.”

[Bronxtolita on]
Aunque ya saben que no tiene pq ser más barato en global.
[/Bronxtolita off]

“Seguridad y privacidad de los datos.—Da lugar a confianza por transparencia. Cualquier persona puede ver cómo se almacenan los datos. De este modo, se garantiza la perdurabilidad de la información; con lo cual, existe mayor dificultad para introducir código malicioso, espía o de control remoto, ya que el código fuente puede ser revisado y se pueden detectar posibles «puertas traseras» «backdoors».”

[Bronxtolita on]
Como lo puede ver cualquier persona no me vengáis luego con problemas. Lo de poder significa que cualquiera puede usar el vi para verlo, no que tenga capacidad para hacer lo que dice el párrafo.
[/Bronxtolita off]

“En el ámbito de la enseñanza y la formación, la Administración debe promover la educación en los estándares abiertos y en la independencia tecnológica.”

[Bronxtolita on]
Eso, ya está bien que en las universidades solo se vea Linux y los chavales salgan de allí sin saber que es un adm, una gpo o para que sirve la replicación entre sites en el AD.
[/Bronxtolita off]

Y el premio gordo, el mejor, el espíritu de la ley, donde está lo importante: LA PASTA.

“7. Introducir el criterio de que en todo concurso público o compra de aplicaciones o desarrollos a medida por parte de la Administración Pública se deben evaluar tanto las soluciones de software libre como las de software propietario, en caso de existir, bajo los criterios de coste, funcionalidad, seguridad e interoperabilidad, evitando recomendaciones o preferencias sólo en función del tipo de licencia de la solución. “

Criterios de coste (todos), funcionalidad (XD), Seguridad (en SQL Server se están frotando las manos, gracias señor por poner en el camino espinas a Oracle y a los otros) e Interoperatibilidad. Y se deben evaluar las soluciones de Software Propietario en el caso que existan, no sabemos si existe alguna alternativa a OpenOffice y Linux en el mundo propietario, pero si existiera se debe evaluar.

Como primer caso de estudio le echaré un ojo a lo de Birmingham que ha sido tope gracioso.

Leete el documento en la siguiente URL.

sábado, diciembre 16, 2006

Plataforma de Ayuda a Jóvenes en Apuros

Hola otra vez, desde mitad de la vorágine. Siento los retrasos en los posts, pero he tenido un pequeño percance de salud que me retuvo en la cama la noche de ayer debido al cansancio.

Desde que salí para Pamplona todo fue bien. En el aeropuerto me recogieron con un cartel que ponía “Doctor M. SPECTRA” (cabrones graciosos). Luego, la gente de Gruslin y del centro de Java y Open Source vinieron a verme a la charla así que estuvo mejor que bien. En la foto se puede ver como Ptarra, usuario de Gruslin, ha decidido besar la verdadera fé.


El regreso, tras las cerves, me llevo a ver una sesión del señor Atar que nos hizo unas demos de algunas de sus herramientas, todas ellas disponibles en la web www.514.es. Muy ilustrativo y educativo. No os perdáis las diapos de la sesión que dio en la NCN de Mallorca y probar las tools. Son chulas. Ya os las comentaré un día en detenimiento pq molan. De ahí comida con él y con Anelkaos (este capullo, como siempre tan puesto en todo) y a preparar rápidamente la charla con el abuelo que dimos en la que contamos un poco lo que habíamos ido haciendo hasta que se consiguió el premio que le entregaron a Spectra en los I Trofeos de la seguridad de Red & Seguridad.


La velada se alargó hasta más allá de las 5 y en algún lugar debí de dejarme la voz, pq por más que busco no la encuentro. Además, curiosamente, me levanté el viernes deshidratado (después de todo lo que bebí la noche antes!!). No lo entiendo.

Levantarse rápido recoger al gran Ricardo Varela y dar una sesión por la mañana sobre seguridad con él para preparar la sesión de por la tarde en la que formamos “La Plataforma de Ayuda de Jóvenes en Apuros” Porque todos podemos hacer una gran P.A.J.A. En esa sesión abandonamos nuestra vida anterior para convertirnos en una nueva raza. Ya no queremos ser programadores ni nada así, así que hemos decidido ser Técnico-Less. Le dimos a la gente Tecnicas-Less para ser Tecnicos-less, del porte que podéis ver en las fotos y de ahí a game over físico.


De momento, solo disculpas y cachondeo. Ni un minuto he tenido, con la de cosas que tengo para contaros!. El lunes empiezo, con lo de Birmingham, lo de la ley de apoyo al SL, la navidad, etc ...

Ah! Y queremos que el movimiento de la P.A.J.A crezca así que no nos mires y muévete que todos podemos cooperar en la P.A.J.A.

miércoles, diciembre 13, 2006

A pamplona hemos de ir

Cuando realizamos los roadshows que nos llevan a diferentes ciudades mola llegar el día antes, salir a cenar, ... y a lo que surja, pero a veces la vorágine de curro no nos deja ni respirar. Lo peor son las fechas de entrega de los artículos que, alegremente, nos comprometemos a entregar. Además, los cabrones, suelen tener a gente debuti en este sector que hace que siempre nos apetezca, como el señor Comino o el señor Carles del Collado, editor de Windows TI Magazine. Acabando la gira de Seguridad allá por Octubre, Cervi y yo ibamos a Valencia, creo recordar, con la preocupación de tener que entregar en dos días los artículos a Windows TI. El mio era fácil, era de opinión, je. El de Cervi era un pedazo de artículo técnico de Exchange Server 2007 de tres pares de guevos que ahora se entrega impreso en la gira LOVE y que podéis leer en linea en la web de Windows TI, en la revista de noviembre.

Yo os pongo el que escribí aquí, sólo por curiosidad, que el que realmente mola es el del cervi, ...y me piro que a Pamplona hemos de ir.

************************************************************************
************************************************************************
Forefront 2006. La madurez

Aún recuerdo con añoranza aquellos años con mi pelo cortito, con un flequillete a lo
Lucky Luke, mi traje y mi corbata impartiendo formación sobre Proxy Server 2.0.
En aquellos momentos las implantaciones de las aulas se hacían a base de tiempo, pues las imágenes y las máquinas virtuales aún no eran de uso extendido las primeras y una realidad las segundas. En aquellos momentos, Proxy Server 2.0 ofrecía un primer nivel de seguridad en la organización y una optimización del escaso y caro ancho de banda de que disponíamos entonces, con su caché activa, caché pasiva, caché negativa y los trabajos de caché. Su principal objetivo era ofrecer sistemas de caché, su nombre no engañaba a nadie, era un servidor Proxy. Fue un nacimiento dulce aunque quisieron exigirle más de lo que daba.

La evolución nos llevó a Internet Server & Acelerator (ISA) 2000 en la que ya hablamos de un firewall para la pequeña y mediana empresa, que además de sus trabajos en caché, empezaba a ser parte de ese Internet y esa web aún llamada sin versión que ni pensaba en la aparición de la famosa WEB 2.0 de hoy en día. Con ISA 2000 el producto mantuvo todas sus opciones de caché con un código mucho más optimizado y rápido, pero introdujo las soluciones que una empresa podía necesitar. Publicación de servicios en una DMZ (que Steve Riley aún no había matado) con una política de gestión de seguridad que resultaba a muchos críptica, pero que, para los entornos que estaba pensado (no permitía cualquier configuración de redes), era resolutivo en sus escenarios de Firewall de tres patas, frontend/backend y de perímetro. Además soportaba, apoyado en los servicios Routing and Remote Access Service (RRAS) un sistema de implantación de VPNs que nos daba sólo un poco más de guerra que la deseable. Una dura adolescencia con todos los ataques de la competencia que veían venir a un producto que podría crecer en el mercado.

Con la versión 2004, la cosa ya se puso madura, con una solución que ofrece los mismos servicios de Caché que disfrutábamos desde su versión Proxy Server, con el soporte firewall de ISA Server 2000, pero con un conjunto de mejoras que le está posicionando en Medianas y alguna gran empresa como una realidad. Con una versión con una política de seguridad basada en reglas encadenadas, a la tendencia de todos los demás firewalls, en las que disfrutamos de servicios de publicación de servidores, con soporte para todas las redes que deseemos, con integración de bases de datos de usuarios RADIUS, SecureID y Active Directory, con soporte para clientes VPN y conexiones Site-To-Site en L2TP sobre IPSec o PPTP de forma profesional y robusta. Un firewall a nivel de aplicación con filtros a nivel http, SMTP, FTP, con un sdk (Standard development kit) que permite la extensión de todas las funcionalidades. No me gustaría olvidarme de los servicios de Bridging http-s para la inspección de conexiones SSL a nivel http. Un firewall que tras haberlo implantado en múltiples compañías y la mía propia no me ha traído ninguna mala experiencia. Un buen comienzo de ser adulto.

Poco después de su aparición, y por demandas de un mercado de la seguridad cada vez más definido, ISA Server 2004 hizo su aparición en versiones Appliance, con dos fabricantes que lo presentaron en España. Network Engines, una compañía con 10 años de experiencia en el mercado del appliance nos ofrece una versión fortificada de ISA Server 2004 corriendo sobre un Windows Server 2003, asegurado, optimizado y mantenido para producir el menor coste de mantenimiento, implantación y administración. La compañía dispone de diferentes versiones que van desde soluciones para la pequeña empresa hasta soluciones de gran empresa con un alto nivel de rendimiento y con implantaciones redundantes. Además, integrados en el modelo de licenciamiento de Microsoft, permiten, con su versión Enterprise, que viene con Software Assurance, disponer de la actualización a la versión ISA Server 2006 para el appliance.

Ahora disfrutamos desde hace poco tiempo de una evolución más, como en la Formula 1, deporte competitivo al que se parece cada vez más este sector, y nos ofrece algunas características que le hacen disfrutar de un diseño más depurado aún.

Una de las ventajas evidentes y que podemos visualizar en una primera instancia son las funcionalidades potenciadas en Single Sign-on, que permite, además de las características de autentificación ya admitidas con anterioridad, la posibilidad de establecer autentificación en LDAP (Lightweight Directory Access Protocol). Esta evolución y más que estamos viendo van encaminadas en la nueva política de Microsoft basada en un término: “Interoperatividad”. También dentro de las características de autentificación, en ISA Server 2006 se ha ampliado los mecanismos de autentificación basado en formulario a cualquier sitio web. De nuevo, aplicamos el mismo principio de interoperatividad de una de las cosas que más gustaba a la gente, la autenticación OWA (Outlook Web Access) basada en formularios. No solo la interoperatividad con los demás, también se añaden nuevos entornos cada vez más implantados en las compañías, como la soluciones SharePoint y Exchange. Sí, también las versiones 2007 que este año se lanzan en el SIMO con la gira del LOVE (Lanzamiento de Office Vista y Exchange).

Se nos ha hecho mayor, así que, como en muchas culturas, cuando alguien pasa a su edad adulta recibe otro nombre: Forefront 2006. Así que, junto a los servicios que ofrece, la robustez de un producto (con una única vulnerabilidad de seguridad en dos años en su versión 2004) la potencia en entornos críticos con sus versiones appliance y la facilidad de administración, hacen de este, antaño jovencito firewall, una solución más que recomendable.

************************************************************************
************************************************************************

Actualización: Link permanente

martes, diciembre 12, 2006

Fuerzas de Ocupación

Hace no demasiado tiempo, en los torticeros caminos que nos llevan al abuelo y a mi a algunos de los más extraños rincones de esta geografía nos pusimos micos con una comilona que nos tuvo a rebosar (a saber: jamón serrano pa empezar, mariscada para continuar, una bandeja de cigalas como nunca me había comido botella de vino blanco, solomillo, bandeja de patatas panaderas y pimientos fritos, vino tinto pa después, sorbete en cucurucho comestible de chocolate, café, chupito de orujo, copazo de guiski y un cigarrito pa tapar la manduca. Viva la dieta mediterránea coño!). Aquella comida nos la ofreció un amigo que decía ser de las “Fuerzas de Ocupación” de esta geografía. Je.

Muchos hablan y han hablado sobre el control de los gobiernos por parte de Spectra, ya sabemos que su único interés es gobernar el planeta, tener un control sobre todo lo que hacemos para poder… controlarnos y saber todo lo que hacemos y así… controlarnos y saber todo lo que hacemos… y gobernar el planeta.

Las Fuerzas de Ocupación de Spectra decidieron dar la información sobre su código fuente, de lo que se dijo era, “la joya de la corona”. Esto fue en el 2004 y se tomó como una "rendición" del gobierno a las "Fuerzas de Ocupación".

Tiempo después, bajo ese acuerdo el CNI necesitó acceso al código fuente de Virtual PC y Virtual Server et voila! Se lo dieron. Después el menestro firma com "la voz" de Spectra para dejar que Spectra ayude en la lucha contra la pederastia (¿de que me suena el nombre del de la fundación?mmmm).

Pero… quedaba la otra joya, el Office, bueno, pues ahí va.

¡Dios me libre de tener que leerme yo el código! Y mis respetos para los que lo harán. Y mientras tanto, el sector informático dándole premios en materias relativas a la Seguridad Informática.

Está clarísimo, esto es una maniobra de las Fuerzas de Ocupación para gobernar el planeta y controlarnos y saber todo lo que hacemos para…

Y mientras pasa esto, los expertos, perdón, los tecnico-less (todos) ¿de que nos hablarán estas navidades? Pues de cacharrines, mp3 y mp4, que es lo importante. Os avanzo algún titular de futuro. “Spectra perdió el control del planeta debido a que no hizo bien las cosas con el MP3/MP4 llamado Zune”.En fin. Malignidad

lunes, diciembre 11, 2006

Viejos Pemios para Viejos juegos

Hola holita a todos los que estais de vuelta para volver a la dura lucha de levantar una semana completita de trabajo. Supongo que habréis estado como yo, desintoxicandoos un poco del IAD y ya necesitaréis vuestra dosis. Hoy no me he levantado muy guerrero, así que voy a olvidarme de hacer algún comentario maligno sobre el aumento de las visitas de Windows Vista en las estadísticas o sobre que hayan crecido las visitas de IE, que hasta en kriptopolis archiamigos de Windows, se hayan dado cuenta o de que ya se oiga hablar de Firefox 3 o de que se haya cancelado la semana de los fallos de Oracle o de el fin del mes de los fallos del kernel o de algún otro tema en esta movidita semana. Ya benigno nos propondrá alguno otro, seguro.

Así que, como ya no hay premios para el reto, Los gallumbos fueron para Carmona y el libro para Daniel. El otro día asalté a Oscar, responsable de XBOX en Spectra y le he sacado una serie de juegos, libros, etc... pero como tercer premio, voy a poner todo un WINDOWS 98 SE original, en su caja de cartón completa!!, precintada y sin abrir. Una reliquia para un friki!!!, asín que, el que se haga el reto en tercer lugar va a poder disfrutar de un Windwos "que nunca fue usado" :P

Ah, y no me seais tan malos como el de ahí abajo!


domingo, diciembre 10, 2006

Humedécete los labios

Cuando llegué a la redacción de la revista Sie7e para hacerme la entrevista estaban allí las chicas haciendose las fotos para el reportaje. Todas, delante de un fotografo que las decía "retuercete un poco más, enseñame más los senos, así,así,así. Muy bien, eres mala, muy mala, humedecete los labios. Ponme malo, tienes que conseguir que desee estar contigo" Joder, no se si contigo, pero conmigo lo consiguió nada más entrar allí. Todo fue una fiesta, un jolgorio, una orgía de flashes y chicas.

Así podía haber sido la realidad de la aparición en Sie7e, pero la cosa tuvo bastante menos glamour. Normalmente, para hacerte las entrevistas (no todas, en muchas son con grabadora y face to face) te envían un cuestionario que le rellenamos con las respuestas a preguntas. Esto es más cómodo para el periodista. En el caso de Sie7e fue así. José Manuel, que así se llama el periodista me envió el cuestionario y yo se lo rellené. Dentro de lo que salió publicado hay dos cosas que no dije ni escribí. El que yo estaba aquí para ganar "pasta y divertirme" y que yo soy un "ilustre ex-hacker" (aunque procuro participar en comunidades hacker que es donde más he aprendido), pero en fin. Ya hubo una entrevista, en la que me llegué a hacer las fotos y todo, que no salió publicada pq yo insistí en decir que no soy un ex-hacker. Todo el mundo quiere alimentar el ¿"mito"? de que las empresas contratan a los black Hackers. Yo no creo en eso, y muchos de los que conozco tampoco. Sí creo que se contratan a white hackers, pero no a black hackers. En fin, que como escribí un cuestionario largo y completo, os lo pongo aquí para que os entretengais.

REPORTAJE SIE7E: ‘CIBER-ACTIVISMO’ CUESTIONARIO PARA CHEMA ALONSO

¿A qué llamamos ciber-activismo o ‘hacktivismo’?

El ciber-activismo o ‘hacktivismo’ consiste en la utilización de las técnicas hacker para perpetrar acciones reivindicativas de cualquier tipo, tengan o no tengan que ver con tecnología. Pueden ser reclamaciones políticas contra gobiernos que se realizan hackeando las webs institucionales o contra empresas que ataquen el medioambiente o contra lo que ellos consideren.

¿Se puede hablar de un ‘movimiento’ coordinado, globalizado y real de ciber-activismo?

Podemos hablar de grupos coordinados, hablar de un macro-movimiento es más difícil, pero si que funcionan los grupos de hacktivistas. Lo que si es cierto es que es globalizado, es bastante común que las acciones estén realizadas por grupos formados desde 2 hasta 50 personas aunque a veces se unen para ir contra objetivos comunes, y sí, es real, existe y se pueden ver sus acciones minuto a minuto. La mayoría de las acciones hacktivistas son reportadas a una web. En Internet el poder del uso marca los estándares, en el hacktivismo la web más utilizada es http://www.zone-h.org. Allí, cuando se produce una acción se reporta. Los administradores del sitio comprueban que la intrusión ha tenido éxito y la documentan para que siempre quede constancia. No todas las intrusiones que se producen son realizadas por motivaciones activistas así, si miramos la clasificación. Sí, jeje, se clasifican y no solo tienen una clasificación, sino dos, una para intrusiones y otra para intrusiones importantes, podemos ver sus motivaciones. En la figura 1 podemos ver la clasificación de los ataques especiales. Se puede ver que el grupo Chinahacker es el que más intrusiones lleva, de las cuales, cerca del 45 % han tenido motivaciones políticas, pero todavía hay un 55 % de intrusiones que son de lo que yo suelo comentar ‘pasaba por aquí’.


Figura 1: Lista de Ataques Especiales


¿Podemos hablar de Internet como un eficaz ‘herramienta/arma’ antisistema?

Personalmente creo que se usa como tal. Es capaz de ofrecer todo a todo el mundo, de hecho se habla de Internet Addiction Disorder porque muchos de nosotros estamos todo el día conectados a este mundo, je,je. Es utilizada como la herramienta antisistema por excelencia, la fuerza que tiene de conectar a gente, de hacer que mucha gente se entere de algo sin necesidad de contar con grandes medios económicos hace de esta herramienta algo mucho más evolucionado que la pintada en la pared. Si algún activista quiere hacer una pintada, la hace en una pared, le tira una foto la pone en un blog y todo el mundo se entera de la pintada.

¿Cuál es el perfil del ‘hacktivista’?: sexo, edad, ¿solitario?, conocimientos informáticos, objetivos…

La verdad es que el hacktivista es muy similar al activista tradicional, supongo, solo cambia que suelen ser más jóvenes debido al nacimiento con el acceso a la tecnología y tienen que saber sobre tecnología. No suelen ser super-expertos en tecnología y seguridad informática y por eso a muchos los cogen los medios de seguridad y todas las semanas tenemos noticias de hacktivistas encarcelados. Sí van a la cárcel, o al menos si son reincidentes o hacen algo grave de verdad. Sí hay un porcentaje pequeño de auténticas ‘maquinas’ que hacen virguerías técnicas y dices ¡joder!, ¡que cabronazo! ¿Cómo lo hizo? El sexo, suele ser masculino, no sabemos porque, pero la tecnología no gusta masivamente al sexo femenino. Sí hay mujeres en tecnología, y las que hay suelen ser muy buenas pero en masa son más los del sexo masculino. Solitario o no, es difícil de saber, por un lado se necesita estar mucho tiempo con la tecnología para tener nivel, pero por otro supongo que tienen un encanto especial, como en Asesinos Natos, ¿no?

¿Constituyen un peligro real? ¿Qué capacidad operativa tienen?
¿Cuál es su poder real? ¿Pueden poner en jaque un Gobierno, un sistema financiero…?


Desde luego son un peligro y pueden extorsionar a empresas con las Botnets que son redes de máquinas controladas por troyanos que atacan a la vez a un mismo servidor, o dejar mal a muchas compañías dañando su imagen con intrusiones. Ellos pueden hacer daño fácilmente desde cualquier sitio, utilizando sistemas de anonimato, como las redes TOR (The Onion Routing), los proxys anónimos o los redirectores de red. Pueden ser bastante difíciles de localizar y se les caza principalmente por el ego. Tanto como poner en jaque a un gobierno no se, hay gente especializada en la protección y en la lucha contra ellos.

¿Cómo actúan? ¿Cuáles son sus actividades?

Los ataques preferidos de los hacktivistas son los “defacements” (graffittis en la web) o los ataques D.O.S (Denegación de Servicio “Denial of Sevice”). En los primeros buscan llamar la atención con un mensaje y en la segunda buscan dejar inoperativo un determinado servidor. En la figura 2 vemos un ataque de Defacement reportado a Zone-h el 26 de Noviembre de 2006 por un grupo hacker Turko haciendo una reclamación, en este caso a través de hackear un servidor Linux con Apache de un sitio llamado http://www.safedrugbuyer.com (¿?). Todas ellas, por supuesto, intentando ocultar el origen real desde donde se produjo el ataque.


Figura 2: Defacement reivindicativa


¿Se les puede controlar de alguna manera? Nos referimos a los mecanismos que tienen las instituciones para anular su actividad… ¿Cómo? ¿Con qué métodos?

Se les intenta controlar. Los gobiernos tienen tipificados los delitos y tienen grupos de intervención igual que contra otro tipo de delitos solo que en este caso se necesita gente que sepa de tecnología de verdad. Para ello la gente que trabaja en este tipo de áreas debe conocerlos bien, estar en sus ambientes y conocer sus técnicas. Deben adaptarse a sus formas de actuar para poder cogerlos. Así que tenemos tipos que son ‘máquinas’ teckies para luchar contra ellos. Saben de troyanos, rootkits, anonimato, elevación de privilegios, hijacking, RFI, XSS, Sqlinjection,… tienen que conocer sus técnicas.

¿Los grupos terroristas internacionales pueden esconderse detrás de estas plataformas de corte social e incluso cultural?

Uff, eso es algo que se sale de mi perfil, no te puedo decir. Lo que si es cierto, es que los grupos terroristas internacionales usan la tecnología de forma común.

¿Cómo está, en líneas generales, el movimiento en España?

En España hay mucho nivel en seguridad informática y gente muy buena, pero contamos con muchos más hackers de gorra blanca (white hackers) o hackers éticos que de los otros. Hay bastante black hacker, pero no demasiado grupo hacktivista, aunque lo hay. Todos los años se realiza una jornada que se llama Hack-meeting y ellos la definen en la wikipedia como: “El hackmeeting es un encuentro libre y autogestionado que gira en torno a las nuevas tecnologías, sus implicaciones sociales, la libre circulación de saberes y técnicas, la privacidad, la creación colectiva, el conflicto telemático y mucho más. Este evento se caracteriza además por no hacer distinción entre organizadores y asistentes.”
http://www.sindominio.net/hackmeeting/index.php/Portada

¿Cuáles son los portales de referencia? Nodo-50, A las barricadas.org…

Hay muchos lugares, Nodo-50 es una web creada al auspicio de la lucha contra la globalización y alasbarricadas.org es un lugar donde se pueden dar encuentro reivindicaciones sociales y de izquierdas. Hay muchas webs, casi todas nacidas desde una asociación activista o una organización reivindicativa.

¿En cuánto tiempo puede un hacker ‘tumbar’ una web?

Si está mal en menos de 1 minuto, no es coña. A mi me pusieron un reto con una web y me dieron 2 minutos para hacerlo y de no verla nunca se consiguió la intrusión en 53 segundos. No es una vacilada es así de sencillo. Si la web está mal diseñada te sobra más tiempo que al de operación Swordfish.

¿El mejor antídoto para un ‘hacktivista’ es otro más listo?

No es necesario. Lo que tiene que tener toda empresa es buena gente disciplinada en informática y gente formada en técnicas hacker. Se realizan cursos de “Contramedidas Hacker” donde se enseñan las técnicas hacker para poder conocer como hacer una intrusión y saber protegerte. No vas a poder defenderte de un ataque de RFI si no sabes como funciona, por ejemplo.

¿Es cierto el mito de que los más listos son fichados por las grandes compañías informáticas o instituciones del Estado para que trabajen? (¡Tu caso!)

Ja,ja,ja. No creo, sí es cierto que se contratan muchos hackers, que vienen de la comunidad hacker, y no tienen porque abandonarla, pero no se contratan o suelen contratar Black Hackers, porque nadie quiere a alguien que hace daño por muy bueno que sea. Se contratan muchos white hackers, eso sí, gente que avisa a las empresas de fallos para que los arreglen. Yo no he sido nunca un black hacker.

¿Es cierto que una de las proclamas del movimiento hacktivista es “la información quiere ser libre”? ¿Existen otras?

Existen tantas proclamas como grupos. Luchan contra guerras, contra la globalización, contra la pobreza, contra lo que ellos consideran, contra la invasión turca, … Pero también hay intrusiones contra el arbitraje de los mundiales de fútbol o simplemente para dejar claro que un administrador es malo. ;) Cada uno elije su motivo.

¿Cuál es la actividad que usted desarrolla en su empresa? ¿Qué premio tiene por parte de Microsoft? ¿Cuántos premiados hay en el Mundo y en España?

Yo me dedico a seguridad 22 horas al día, las otras 2 necesito estar borracho!!, jajaja. Eso lo digo siempre porque la Seguridad informática exige todo el tiempo de las personas. Yo me dedico a todos los temas que tienen que ver con seguridad informática. Desde realizar test de intrusión a las empresas, formar a los equipos de seguridad, dar conferencias de seguridad, escribir sobre seguridad informatica, ayudar en análisis forenses,… y sobre todo, estudiar, estudiar, estudiar. Microsoft me premió como MVP (Most Valuable Professional) en Windows Security. Es un premio que te da por destacar en una determinada disciplina tecnológica y por ayudar a la comunidad técnica. Somos unos 2.500 en el mundo y unos 60 en España. En Seguridad somos 2 en España, mi compañero Juan Luís Rambla y yo.

MIL GRACIAS por su tiempo, ayuda e interés

sábado, diciembre 02, 2006

¿Qué es eso? Eso es Queso. ¿Es eso queso?¿Qué queso es?

Estoy yéndome a la France, así que voy a estar out unos días, algunos de los cuales me voy a pasar arrascando las montañitas con mi excalibur. Así que para que os entretengáis os dejo tres cositas.

1.- ¿No es libre firefox cuando rula sobre Windows XP? Ya se que el SSOO no lo es, pero, ¿cambia la licencia de FF cuando va sobre Windows? Pregunto esto, porque hay proyectos de Software Libre como DotNet Nuke que están escritos en .NET, que además tiene compiladores gratis (no libres) y un proyecto de implementación de .NET sobre “otras plataformas” que se llama mono.

Digo esto porque la gente de grulin, que gracias a que deciden usar un sistema de transparencia en sus comunicaciones podemos leerles, tienen un debate sobre si asistir o no a una invitación del club .NET de Navarra. Así que, aprovechando que el señor Tarrafeta suele pasar por aquí pues os dejo el thread de la conversación por si podéis ayudarme a mi y a ellos.

2.- Acabó el mes de los fallos del kernel sin pena ni gloria y según la ley de bronxtoles les toca pasar por debajo del futbolín porque de Vista y de Windows Server han sacado exactamente los días que me quedan para irme de viaje. 0. ¿No lo han intentado?

3.- Los comentarios de los dos ganadores hasta el momento del reto hacker. Para "animaros" a los que estais intentándolo. Al resto, ya se que "no tenéis tiempo".

Dani:
En el fondo no era tan dificil, pero si te digo la verdad, me despistaron 3 cosas:
- El texto de la pista 2 (con el caracter raro en vez de la ñ)
- Una de las pistas que añadiste en tu foro (Las del "Be water my friend"), la que decía "Buscando que se acceda a ficheros. Quedaos con esto para más adelante."
- Saqué […censured…] hace ya tiempo, pero no sabía cómo introducirla, así que fui probando con cookies y parámetros.

Al final, cuando ya no sabía qué más podía hacer […censured…], probé con lo que parecía más trivial desde un principio: […censured…]
Porque la contraseña era […censured…], que si no...

Al principio intentaba determinar el motor de BBDD para sacar la información del catálogo, pero no tuve éxito. De nuevo la solución resultó ser la más trivial, es decir, ¿cómo […censured…] un programador a la tabla de usuarios/contraseñas? ¿y el […censured…]? ;)

Muy bueno el juego! Gracias Chema”

David:

“TOMA!!!
Después de tirarse toda la noche […censured…]me da por usar un simple […] y me lo pilla en 10 segundos..."


¿Seguís "sin tiempo" o necesitáis más pistas? Adelante, que ya se está cocinando el segundo.

viernes, diciembre 01, 2006

El sistema Solar

Es curioso este invierno, parece casi una primavera, calorcito, manga corta, gafas de sol para protegernos. Es curioso, parece que el Sol no quiere dejarnos una temporadita disfrutar de la nieve. Así que creo que habrá que esconderse un poco de él para poder rascar a gusto las montañas.

Pero el Sol es fuerte, nos escondemos de él, dándonos la vuelta todas las noches, pero él, paciente, regresa cada día con algo nuevo y aprovecha la oportunidad para calentarnos, cuando la curva elíptica del orbe, le pone a las personas más cerca de él en verano.

Ahora estamos en esa época. Java es una realidad, tal vez su mayor activo, los sistemas operativos GNU/Linux son una realidad, quizás los máximos responsables de que el mundo entrará en un invierno alejando el mundo un poco de Sun. Ahora que se ha liberado Java, ahora que Linux está a la gresca con Stallman, ahora que parece que no hay alternativa clara para el kernel de Linux en el Software Libre (he dicho clara).

¿Qué pasaría si alguien con Sun, una empresa grande, decidiera hacer libre el kernel de su Solaris? ¿Qué pasaría si pusiera Solaris sobre GPLv3? ¿Qué haría Debian? ¿Soportaría la industria del Software Libre un cambio de kernel tan rádical? ¿Se conseguiría que las aplicaciones que interactúan a bajo nivel con el kernel dieran el salto a Solaris? ¿Se quitaría Stallman del medio a Linus? ¿Se seguiría usando Linux? ¿Se comería Sun a RedHat, ubuntus, Suses? Sun tiene fuerza, ha estado liderando mucho tiempo, tiene buenos desarrolladores a bajo nivel, tiene pasta, ¿volvería a recuperar su cuota de Oracles sobre Solaris?

¿GNU/Solaris?¿Estará llegando la primavera? Mola!

jueves, noviembre 30, 2006

"Linux no es Software Libre"

Así de categórico se ha mostrado el amigo Linus después de todo lo que está pasando y especialmente de las declaraciones que suele verter la FSF y el señor Stallman

Parece que los tiempos están revueltos en las comunidades del pingüino. Hace dos días vimos como estaba el temita con lo del acuerdo Novell & Spectra y todo el bonito intercambio de Cartas de Amor, con Mark intentando robar desarrolladores de OpenSuse para Ubunto, y las palabras finales de Mister S. para aún fortificar más la GPL. ¿He dicho fortificar? O ¿Liberar? Para evitar este tipo de acuerdos.

Bien, ese temita, el de la GPLv3 tiene, desde hace tiempo, las espadas en alto, con la publicación del Draft y el posicionamiento en contra por parte de los desarrolladores del kernel. Tras todo eso apareció otra cartita de Mister Linus que dice perlas como:

“you do have to realize that Linux has never been an FSF project, and in fact has never even been a "Free Software" Project”

“the fact that rms and the FSF has tried to paint Linux as a GNU project (going as far as trying to rename it "GNU/Linux" at every opportunity they get) is their confusion, not ours.”

“Linux is "Open Source". It was never a FSF project, and it was always about giving source code back and keeping it open, not about anything else.”

“Thinking that Linux has followed FSF goals is incorrect. IT NEVER DID!”


Esto se llama decir las cosas por activa, por pasiva y en latín. Lo puede decir más alto, pero más claro….

“The whole "Open Source" renaming was done largely _exactly_ because people wanted to distance themselves from the FSF”

Al estómago.

“people who claim that that means that I (or anybody else) should care what the FSF thinks on other issues are just being totally silly.”

Joder!

Os pongo la frase de cierre, que es muy clarita.

“It's not a democracy. Copyright is a _right_. Authors matter.”

Toma, toma. Léete la cartita completa o una traducción.

Y yo me pregunto, Si se montó la que se montó con el dichoso Logo de Firefox que desembocó en el famoso IceWeasel, ¿qué pasaría si Linus no acepta la GPLv3? ¿Exigiría Debian a Linus la GPLv3 o lo quitaría de la distro? ¿GNU/Hurd y palante?

miércoles, noviembre 29, 2006

Proteger una red Wireless (II de III)


***************************************************************************************************
Artículo publicado en PCWorld
- Proteger una red Wireless (I de III)
- Proteger una red Wireless (II de III)
- Proteger una red Wireless (III de III)
***************************************************************************************************

El artículo del mes anterior dejó a la gente un poco preocupada ya que en él no se habló de cómo securizar ninguna red wireless sino de lo sencillo que es, técnicamente hablando, para un atacante vulnerar la protección de nuestra red.

Riesgos

A pesar de esto la gente sigue pensando en que no hay demasiados riesgos, así que este mes, vamos a ver que puede realizar un hacker con una red wireless ajena.

Parásito

Al estilo de Venom, el traje alienigena de Spiderman, muchas de las redes Wireless de hoy en día tienen a su/s parásitos viviendo con ellos, es decir, ese o esos vecinos que alegremente se ahorran unos euros a base de utilizar tu conexión. Suele ser el menor de los problemas y a la vez el más incomodo, es como tener una dolencia crónica en nuestra conexión de Internet.

Ejecución de delitos

En este país existen diferentes grupos de investigación de delitos telemáticos dentro de los cuerpos de seguridad. Estos cuerpos se encargan de perseguir las intrusiones de los hackers de gorra negra, o los defacements (grafittis de páginas web) de los crackers o los ataques de denegación de servicio (DOS = Denial Of Service) o “doseos” de los crashers, o….. Su misión es encontrar evidencias de donde puede haber sido la procedencia del ataque y para ello se busca la dirección IP del atacante. Si el hacker ha utilizado técnicas de anonimato basadas en proxys anónimos o redes TOR (The Onion Routing), las direcciones IP serán de exóticos países que impedirán seguir fácilmente la investigación a los equipos de seguridad, pero,... esas técnicas de anónimato suelen ser lentas, la forma más cómoda es bajarse al parque, disfrutar del buen tiempo y usar la dirección IP del router wireless desprotegido de turno. Cuando la Policia y/o la Guardia Civil lleguen a casa del vecino y le precinten el ordenador ya se explicará. ¿Os imagináis que llegan a vuestra casa a precintaros el ordenador por algo que no habéis hecho? Luego a partir de ahí se realiza un análisis forense offline con alguna herramienta tipo Encase y … A lo mejor encuentran, por una tontería cosas que no deberían o… bueno, que me voy, sigamos.

Acceso a Información

Al estar en tu red Wireless, la conexión funciona como un hub, luego todas las comunicaciones que se emitan, si están en el radio de visibilidad de la señal, podrán ser capturadas por el atacante. Así, podrán verse conversaciones de MSN Messenger (que no van cifradas), las transferencias de ficheros que se hagan por estos programitas (fotos, documentos office, música, etc…) e incluso podrán grabar tus conversaciones de voz sobre IP en ficheros mp3 con programas con Ethereal (que graba en .au), orekaudio, el mismo Cain o vomit.


Imagen: Grabando una conversación con Ethereal en fichero .au


Robo de Identidades

Si están en vuestra red wireless ya pueden capturar todo el tráfico que se realice entre vuestro ordenador y el Acces Point, luego, si te conectas a Hotmail, o a un banco o a tu correo electrónico de la empresa o a cualquier sitio con credenciales, el atacante puede robar tus contraseñas con programitas como CAIN, que ya viene con la suite completa para el crackeo de las mismas en caso de que vayan cifradas.


Imágen: Robo de Contraseñas con un Cain “repletito”.


Vale, supongo que esta información ayudará a que queramos securizar las redes wireless y como hemos visto en la primera parte, el mes pasado, la utilización de WEP no es aceptable, así que sigamos viendo las alternativas.

WPA (Wireless Protected Access)

La Wifi Alliance, en el periodo mientras se aprobaba el estándar 802.11i que vendría a sustituir definitivamente a WEP proponía el uso de las siguientes tecnologías de seguridad que ya venían descritas en el borrador de lo que sería el estándar definitivo. José Manuel Alarcón escribió en PCW número 232 de Junio de este año un extenso artículo sobre WPA, así que aquí vamos a ir un poco más directos.

Cifrado WPA

El sistema de cifrado que se utiliza en WPA cambia respecto de WEP (RC4 con claves 64 y 128 bits) a usar TKIP (Temporal Key Integrity Protocol). TKIP sigue usando el protocolo RC4, pero en este caso se minimiza la exposición al ataque utilizando las siguientes modificaciones.

- El Vector de Inicialización (IV) es demasiado corto en WEP, de 24 bits. En TKIP se utilizan IVs de 48 bits. Esto, a priori solo alargaría el proceso, pero seguiría siendo válido el mismo tipo de ataque.
- Integridad datos. En WEP se podía modificar bits en los datos y cambiar el CRC32, es decir, se podían modificar los datos. Para ello se utiliza un nuevo protocolo “Michael” MIC (Messatge Integrity Code) que es cifrado con TKIP.
- WEP utiliza la clave principal para cifrar y autenticar. En TKIP se genera una Clave Maestra de 256 bits cuando el cliente se autentica que recibe el nombre de Pairwise Master Key (PMK). Usando PMK más la dirección MAC del AP, la dirección MAC del Cliente y dos números aleatorios, creados uno por el AP y otro por el cliente se generan las claves derivadas. En total TKIP utiliza 6 claves derivadas:
o Data Encryption Key: de 128 bits y utilizada para cifrar los mensajes.
o Date Integrity Key: de 128 bits y utilizada en el protocolo MIC para garantizar la integridad (no modificación) del mensaje.
o EAPOL-Key Encryption Key: Los mensajes EAPOL son los que se usan para autenticar la conexión, y cuando se realizan los procesos de autenticación se utilizan claves especiales.
o EAPOL-Key Integrity Key: De igual forma se utiliza una clave para MIC a parte en los mensajes de autenticación.
o Multicast Encryption Key: 128 bits para cifrar los datos multicast.
o Multicast Integrity Key: 128 bits para garantizar la integridad de los mensajes multicast.
- WEP siempre utiliza las mismas claves. En TKIP se genera un proceso de rekeying periódicamente para generar nuevas claves temporales.
- WEP no tiene protección contra Reinyección de paquetes. Es decir, un paquete puede ser capturado y reinyectado en la red, permitiendo aumentar el tráfico. En TKIP esto no se puede hacer porque se usa el IV como contador de protección.

Resumiendo TKIP

El funcionamiento de TKIP se puede resumir de la siguiente forma. Cuando el cliente se autentica se genera una Clave Maestra (PMK) de 256 bits. A partir de ella, utilizando las direcciones MAC del cliente, del AP y dos números aleatorios generados por el cliente y el AP, se determinan 6 claves temporales. Estas claves se usan para cifrar y garantizar los datos transmitidos y además se diferencia entre los mensajes de datos y los de control de autenticación. Cada vez que un cliente se vuelve a autenticar se genera una nueva PMK y periódicamente se cambian las claves derivadas. Además hay control de “replay” de paquetes usando el IV que se ha incrementado de 24 a 48 bits. Hasta aquí sería una fortificación del protocolo WEP, pero además la forma de cifrar y descifrar ha cambiado un poco.

Proceso de Cifrado

Paso 1: Con el IV, la dirección de destino y la Data Encryption Key se genera con un algoritmo de mezcla la Clave de Cifrado de Paquete (Per Packer Encryption Key).
Paso 2: Con la dirección de destino, la dirección de origen, la prioridad del paquete, los datos a enviar y la Data Integrity Key se calcula con el algoritmo Michael el MIC.
Paso 3: Se calcula el ICV (Integrity Check Value a partir del CRC-32).
Paso 4: Con el IV y la Clave de Cifrado de Paquete se genera, con el algoritmo RC4 PRNG el keystream de cifrado que será del mismo tamaño que los datos, el MIC y el ICV.
Paso 5: Se realiza XOR entre el RC4 Keystream y los datos, MIC e ICV para producir el mensaje cifrado.
Paso 6: Se añade el IV al paquete.

La principal diferencia es la utilización de una clave distinta por paquete, que es derivada de una clave temporal (que cambia periódicamente) que a su vez es derivada de la Clave Maestra, que se cambia en cada proceso de autenticación.

Proceso de Descifrado

Paso 1: Se extrae el IV y junto con la Dirección de Destino y la Data Encryption Key se genera la Clave de Cifrado de Paquete.
Paso 2: Con la Clave de Cifrado de Paquete y el IV se genera el RC4 Keystream
Paso 3: Se hace XOR entre el RC4 Keystream y el mensaje cifrado para obtener el mensaje descifrado.
Paso 4: Se calcula el ICV y se compara con el que venía en el paquete para aceptar o descartar el paquete.
Paso 5: Con la Dirección de Destino, la Dirección de Origen, los datos y la Data Integrity Key usamos Michael para calcular el MIC.
Paso 6: Se compara el MIC recibido y el MIC calculado. Si no son iguales se descarta el paquete.

El proceso de descifrado, como se puede ver, es simétrico al de cifrado.

Autenticación WPA

Para autenticar las conexiones Wireless vamos a tener 2 entornos diferenciados, un entorno doméstico y un entorno empresarial.

WPA-PSK

En entornos domésticos solemos tener únicamente un Punto de Acceso (AP) y uno varios clientes. No usamos servidores externos por lo que no vamos a desplegar una infraestructura compleja (¿o sí?). En este entorno utilizaremos una solución basada en clave compartida (Pre-Shared Key) que configuraremos en los clientes y en el Punto de Acceso.


Imagen: WPA en el AP


La elección de la Clave Compartida (PSK) debe ser lo más larga y aleatoria que se pueda (no como la que tenemos en la captura de la pantalla). Esta PSK deberá ser configurada en los clientes y se utilizará para autenticar las conexiones y para generar la Clave Maestra. Un atacante puede, a partir de un paquete de autenticación de un cliente aplicar un algoritmo de fuerza bruta obtener la PSK que le permitirá al usuario autenticarse, pero no le valdrá para obtener la información que está transmitiendo otro cliente ya que los datos de otro cliente irán cifrados por las claves temporales y por lo tanto tendría que averiguar las claves temporales para poder averiguar las claves por paquete y descifrar el tráfico. Estas claves temporales pueden ser averiguadas a posteriori y averiguar el tráfico que ha sido transmitido. Si utilizamos una clave de 63 caracteres aleatorios el tiempo de ruptura por fuerza bruta hace inviable este tipo de ataques. Si por el contrario la contraseña es corta, un atacante que capturase el paquete de autenticación (handsake o saludo) podría lanzar un ataque de diccionario o fuerza fruta con el programa AirCrack.


Imagen: Ataque de diccionario Aircrak a WPA-PSK


Configuración del Cliente WPA-PSK

Para configurar un cliente WPA-PSK en MS Windows XP bastará con configurar las propiedades de una nueva red inalámbrica seleccionando la opción WPA-PSK como sistema de autenticado, TKIP como sistema de cifrado y establecer la Clave Compartida en cada uno de los clientes:


Imagen: Cliente WPA PSK


EAP (Extensible Authentication Protocol)

EAP nació como una evolución de PPP (Point to Point Protocol) que permitiera negociar el sistema de autenticación entre el Cliente o también llamado Suplicante y el Servidor de Autenticación. A diferencia de PPP, en EAP primero se establece la conexión, después se negocia el método de autenticación (EAP Method) entre el Suplicante y el Servidor de Autenticación y por último se concede el acceso o se deniega la conexión. Esto permite que los clientes puedan ser autenticados de diferentes formas por un mismo servidor siempre y cunado ambos estén de acuerdo en el método de autenticación. EAP permite diversos métodos de autenticación pero los más comunes son:

- EAP – MD5 – CHAP: En este método utilizamos un desafío respuesta con la contraseña cifrada en MD5 y mecanismo CHAP. Este mecanismo no se suele utilizar en conexiones inseguras (redes públicas) y se reserva solo a líneas dedicadas y por motivos de compatibilidad con versiones antiguas debido a que CHAP ha sido vulnerado.
- EAP–TLS: Utilizamos como credencial de cliente un certificado de usuario. Así, cualquier usuario que quiera autenticarse no deberá presentar su contraseña sino un certificado digital.
- Protected EAP (PEAP): Con este método, previamente a la negociación EAP entre el cliente o suplicante y el servidor de autenticación se establece un canal seguro TLS, similar al que se utiliza en HTTPs, por lo que es necesario que nuestro Servidor de Autenticación posea un certificado de servidor. Una vez establecido ese canal se procederá a la sesión EAP, que podrá ser:
o PEAP–MSCHAP v2: Al igual que en el método anterior primero se establece un canal TLS entre el Suplicante y el Servidor de Autenticación y después comenzará una sesión desafío respuesta con MS CHAPv2 para autenticar al cliente.
o PEAP–TLS: De nuevo estamos ante un método que utiliza el canal seguro TLS antes de enviar la credencial del suplicante. En este caso la credencial que presentará el cliente será un certificado digital. En este método tendremos que utilizar un certificado de servidor para establecer el canal TLS previo a la sesión EAP y luego un certificado digital para el cliente para poder autenticarlo.

Estos son los métodos que podemos utilizar para autenticar nuestras conexiones, para cada uno de los que elijamos deberemos establecer los mecanismos adecuados, así, si utilizamos EAP–TLS deberemos instalar un certificado digital en cada uno de los Suplicantes para autenticarlos, si usamos PEAP-MSCHAPv2 tendremos que tener un certificado digital en el Servidor de Autenticación y si usamos PEAP-TLS serán necesarios certificados digitales en todos los participantes de la comunicación.

Servidor RADIUS (Remote Authentication Dial-In User Service)

RADIUS es un protocolo de autenticación que se ha convertido en un estándar de la industria para validad usuarios a través de diferentes métodos. Las transacciones en cada una de las comunicaciones entre el cliente y el servidor van cifradas con una clave compartida. Esta clave compartida nunca se envía por la red, así, cada petición de autenticación entre un cliente RADIUS y un Servidor RADIUS debe ir cifrada con esa clave compartida.

Cuando queremos establecer un sistema de autenticación de clientes Wireless a una red el cliente RADIUS será el Punto de Acceso y el Servidor RADIUS contendrá la base de datos de clientes que pueden conectarse. Para ello, en el Punto de Acceso deberemos configurar:

- La dirección IP del servidor RADIUS
- El puerto del Servidor RADIUS, generalmente el 1812.
- La Clave compartida.


Imagen: Configuración Servidor RADIUS en el AP


El Servidor RADIUS tendrá configurada la clave compartida para cada uno de los clientes que pueden realizar una petición RADIUS. En el mes que viene acabaremos de montar al infraestructura y veremos como se configura el Servidor Microsoft Internet Authentication Server (MS IAS), que es el servidor RADIUS de Microsoft.

802.1x

Para poder utilizar el sistema EAP en conexiones Wireless es necesario utilizar un protocolo que permita encapsular el tráfico desde la conexión inalámbrica al Servidor de Autenticación. En un entorno común tendremos un Servidor de Autenticación, que tendrá configurada la política de qué Suplicantes pueden o no conectarse a la organización, y que se encontrará dentro de una zona protegida de nuestra red. El Punto de Acceso Wireless tendrá conexión directa al Servidor de Autenticación y es el que demandará un proceso de Autenticación para un determinado Suplicante. 802.1x nace como forma de poder permitir a cualquier elemento de la red (switches, APs, ….) pedir un proceso de autenticación para una conexión que se acaba de producir. 802.1x utiliza EAPOL (EAP Over Lan) porque lo que va a realizar es una encapsulación del protocolo EAP sobre la red privada para llegar al Servidor de Autenticación. Así, como se ve en el gráfico, el proceso sería el siguiente:

Paso 1: Un cliente se asocia al AP utilizando el protocolo 802.11
Paso 2: El Suplicante inicia el proceso de autenticación 802.1x porque el AP no le concede acceso a la red y se elige el EAP-Method.
Paso 3: El Autenticador requiere la Identidad al Suplicante
Paso 4: El Suplicante le entrega la Identidad al Autenticador que retransmitirá al Servidor de Autenticación. Como se puede ver, el Servidor de Autenticación es un servidor RADIUS que pedirá las credenciales para esa identidad al Autentcador.
Paso 5: El Autenticador pide las Credenciales al Suplicante.
Pado 6: Suplicante entrega las Credenciales al Autenticador que se retransmiten al Servidor de Autenticación (Servidor RADIUS)
Paso 7: Servidor RADIUS valida las credenciales y Acepta la conexión.
Paso 6: El Autenticador entrega tras aceptar la conexión la EAPOL-Key que no es más que una secuencia de bits que utilizaremos como Clave Maestra en el proceso de cifrado del algoritmo TKIP. Así, cada vez que tenemos un proceso de autenticación o re-autenticación se genera una nueva Clave Maestra.


Imágen: Autenticación EAPOL


Resumen

Hasta el momento hemos visto los riesgos de seguridad que tiene una infraestructura basada en WEP, las características de WPA (Cifrado TKIP, Integridad Michael y autenticado mediante WPA PSK o mediante EAP, RADIUS y 802.1x). El mes que viene terminaremos de montar la infraestructura con el servidor IAS y veremos las características de WPA2 con AES.

***************************************************************************************************
Artículo publicado en PCWorld
- Proteger una red Wireless (I de III)
- Proteger una red Wireless (II de III)
- Proteger una red Wireless (III de III)
***************************************************************************************************