Seguridad de Aplicaciones I – Preludio y mi opinión sobre la realidad de las empresas y el Testing de Software.

Espero que este sea el primero de varios, sobre seguridad en aplicaciones ( y tantito en servers ), hay varios temas interesantes que tocar ( entre ellos uno de criptografía que me pidió sergio tarrillo, los cuales vendrán luego), tengo algunos post en la sección borradores, esperemos que luego puedan salir.

Preludio

un amigo me pidió que cuente algunas de mis experiencias… y eso me hizo recordar ciertas cosas… y bueno recordando viejos tiempos, cuando empecé a meterme “profesionalmente” a lo de informática ( no cuento lo de servers, eso es otra historia ), por allá en el 2001, empecé como “tester”, ya que era un simple estudiante de Ing.  Química, dentro de una empresa que hacia Software de Ingeniería ( Software especializado para Ingeniería de Procesos, lógicamente de los  Químicos), que solo sabia algo de pascal, assembler, RPL y algo de programación PLC –a excepción de assembler, lo demás nos lo dan en la carrera-, pero con ningún conocimiento formal sobre Ing. de Software, o procesos de desarrollo de software –lógicamente ya estoy cubriendo esa falencia –, empecé en esa empresa formada por ex alumnos de la facultad mi universidad (UNI ), curiosamente me metí a este mundo, por que por los cálculos avanzados de la carrera ( matemáticos y demás), se tenia que realizar simulación de procesos y la universidad solo tenia un “trial – limitado” de la versión actual y la versión full era demasiado antigua como para poder hacer las simulaciones ( la licencia pasaba de los USD $ 250,000.00 ), así que con unos compas empezamos a buscar el “crack”, pero como no existía ( casi no existen de software especializados, por suerte :)), nos pusimos a estudiar ensamblador, y finalmente pudimos usar la aplicación…, lógicamente, ya a estas alturas de mi vida, ya no promuevo el “crackeo ilegal” – si, de eso viene el otro post –, aunque eso hizo posible mi incursión en el mundo del software, ya que me acoplaron a una empresa de ex alumnos, cuando yo aun era alumno. Ya luego logre ver a .Net, me maravillo y comencé a programar allí, me fue gustando mas el mundo de la informática, así que poco a poco  que  termine alejándome del mundo de la  Ing. Química y me fui al software ( discúlpenme que no considere a la  “Ingeniería de software” una ingeniería de verdad – por mas que desde el 2004 “estudio formalmente sobre informática y/o sistemas”  y trabajo en cuestiones   de   software – , pero mi concepto de “ingeniería”  es muy diferente al de los informáticos tradicionales –por mi carrera base- y me es imposible – al menos por el momento- considerarlo una ingeniería. ), luego ya cuando vine a México, me metí al 100% a lo de software :)- en varios campos -, ….

 

Ahora si, ya entrando al tema de este post

Algo que se esta volviendo muy común, en las empresas de software, es que cada vez  están pensando – y ya muchas lo hacen – , el tener un  área de “control de calidad”, o área de pruebas,  (sobre este tema Miguel Llopis tiene varias entradas al respecto, coincido en muchas cosas – con respecto a este tema –, aunque en algunas otras… aun estoy algo escéptico; pero de todas maneras me parece interesante lo que pone ;), léanlo ).

Lógicamente hay muchas empresas que tienen bien estructurada  y organizada su área de pruebas, aunque de todas maneras se les escapan “bugs”, entre ellos tenemos a Microsoft, Google, etc; por lo que e visto en los betas  de MS que ando metido – empecé con el vs 2005 alpha – Microsoft a mejorado mucho su modo de tomar los errores, y como los recibe, desde Betaplace hasta ahora con Connect , y e visto que hablan que tienen sus tester  y demás, pero aun así, se les escapan bugs,  algunos gigantescos, lo bueno es que ahora los  encargados de los productos hacen mayor énfasis a recibir comentarios y sugerencias; pero si asi pasa con una empresa que invierte mucho dinero en pruebas, imagínense como es con las empresas con una mínima o nula inversión al respecto.

A mi parecer, en muchos casos aun veo algunos detallitos al como se aplica la parte de pruebas en las empresas, dentro del desarrollo de software, lógicamente hay empresas que si aplican muy bien esto, y el % de errores que se les escapa es “mínimo”, veamos algunos que pude lograr ver.

 

  • Personal no Especializado  El detalle aquí es que en la mayoría de veces se pone “solamente” a las personas con menos experiencia,  o mejor dicho personas no especializadas en el tema (no estaría mal, que si el equipo tuviera una parte de un tipo y otra del otro tipo ),  o también a personas con un nivel bajo o nulos  conocimientos de programación, los ponen a “usar la aplicación”, si bien al estar considerados como “Usuarios comunes y silvestres” saldrán varios “detallitos”, pero quizá no los mismos que podría sacar alguien con algo mas de conocimientos – aunque como siempre, hay casos que rompen la regla, esos con dones “destructivos”, en los cuales todo lo que tocan falla 🙂 –, pero el detalle aquí es que la cantidad de errores descubiertos, puede ser mínima, comparando con los que realmente tiene  la aplicación, por eso es bueno tener gente especializada, si bien quizá no todo el equipo, pero no debería de faltar alguien especializado,al respecto  también a escrito hace algún tiempo Joel Spolsky  sobre este tema en su articulo Las Cinco Principales Razones (Equivocadas) por las Cuales no tienes Ingenieros de Prueba, aunque el a su vez aclara que es difícil conseguir buenos, y en algunos casos solo podamos ir rotando gente sin experiencia.
  • Tienen un área de pruebas, pero nadie les hace caso :  E visto esto en varias empresas,  donde los programadores, se podría decir que casi ignoran los tickets enviados por los de pruebas, y dicen “ luego los arreglo” – algo que nunca pasa –, es algo ilógico tener un área de pruebas y  que casi nunca se les haga caso, esto en algunos casos es por la mala planeación y  que los programadores estén “contra el reloj” terminando funcionalidad y “no tengan tiempo para corregir”, aunque en otras es culpa de los programadores, pueden ser muchos los posibles motivos,  aunque parezca  algo loco, lo e visto  :);  hasta me  a llegado a pasar ya un par de veces con los team de MS, enviaba bugs y hubo casos en que se demoraban hasta meses para tan solo revisar el error – imagínense en repararlo – , por suerte ya esta mejorando esto, jeje y bueno también tengo un usuario “moderador” en Connect.
  • Poco o nulo énfasis a la seguridad – (este será el foco de los siguientes post) los encargados de pruebas, en la mayoría de casos, se dedican a ver que la aplicación funcione “ como debe”, el detalle aquí es que en muchos casos se limitan a dar unos cuantos clics, a la aplicación y piensan que con eso eso la aplicación esta libre de problemas y que es segura,  lógicamente hay varios niveles de seguridad, dependiendo de la solución, puede ser algo básico o  niveles extremos como los que usa la NASA – así le dice Jerson -  ( sobre esto creo que mejor no me extiendo por ahora y lo dejo para un siguiente post), lógicamente ya muchos pensaran, pero hay programas ( de terceros) que hacen esto, a lo cual les diría, que esos programas, si bien es cierto que ayudan en muchos casos, no nos dan una seguridad al 100% (lógicamente también depende de la solución y del nivel de seguridad que necesitemos); otros dirán “ Visual Studio” trae herramientas muy potentes, lo cual es en extremo cierto, pero no para “análisis automático” allí también hay que programar pruebas :), personalmente me parece una herramienta muy potente y algunas de las veces que me han pedido que haga “pruebas” e usado al VS como herramienta de trabajo –a ver si mas adelante escribo algo de esto-. La seguridad es un mundo no es posible tocarlo en un solo post, todo dependerá de que tanto queremos
  • Los encargados de pruebas, tienen flojera  : No puedo negar que es algo tedioso y en algunos casos algo aburrido estar “probando aplicaciones” , y muchas veces e visto  a tester’s que  por lo mismo, y pro zafarse del trabajo (para luego poder seguir googleando), le dan una revisada “al vuelo” y no concienzudamente, aunque también, hay quienes pueden estar trabajando todo el día buscando errores y encontrar unos cuantos mientras hay quienes solo con 40 minutos, puedes sacar una gran cantidad de errores; lógicamente si detectamos personas que no hacen bien su trabajo, no merecen menos que el despido.
  • No se tiene un buen control del historial de “bugs” : por mas que tenga buenos encargados de pruebas,  si no lo hago de un modo ordenado, todo eso se volvería un caos, existen múltiples programas, entre free y de paga ( hasta un starter kit de aspnet 1.0) con el que podemos tener bien registrados los errores.
  • No se Integra desde la etapa de diseño la seguridad :  mucho se habla de esto, aunque quizá no muchos lo apliquen, en la etapa del diseño de la aplicación debería integrarse la parte de seguridad, lamentablemente es muy difícil conseguir un programador y un diseñador que sepa de seguridad (saber de verdad), la mayoría no piensa en seguridad, o en su defecto, tienen un conocimiento empírico, saben que tienen que poner seguridad, pero en la realidad no aplican seguridad…, y luego cuando empiezan los problemas ( lógicamente no en todos los sistemas aparecen) , tienen que comenzar a “parchar”, lo cual hace que se pierda mas tiempo, al menos por eso lo que suelo recomendar  es que el diseño pase por un análisis previo de seguridad, este entra al de funcionalidad.

 

De todos estos puntos que puse, en el que quiero especificar es en el de la seguridad y especialización, lógicamente sin olvidar sobre el performance, ya que como dicen algunos “intentar poner seguridad de manera desmedida, sin tomar en cuenta el impacto en el performance es malo”.

En el siguiente post, espero tocar una pregunta que en algunos casos es controversial… “saber técnicas de hacking y/o cracking, es malo?”, intentare explicar, el por que creo que no es malo, mas bien por el contrario, es imprescindible.”, ya luego vendría uno de criptografía 🙂 , si, la respuesta al post de Sergio Tarrillo

Para terminar – por ahora – quiero dejarles algo para que piensen…  “el mejor ataque, es cuando la victima no se a dado cuenta que a sido atacada, y que están dentro del sistema” ( la idea es evitar esto, ya que no es necesario que nos modifiquen una pagina, o que nos pongan una foto, para que “estén dentro” ) .

 

Salu2

 

Una Cortita (link sobre linq) “Is Linq to SQL Dead? Yes, but.…”

Este articulo me lo paso Jersson , lo leí y me pareció demasiado interesante, así que se los comparto, vean tbm los hipervínculos( referencias ), ya que llevan a información de blogs “msdn”  🙂 , esto sobre Linq2SQL, sobre el muerto que no esta muerto :), anda de parranda  :).

http://www.stephenforte.net/PermaLink,guid,bc1bc043-3cdc-4ac2-8b46-3c72ad1d61cf.aspx 

 

Salu2

Ddaz

noticia – Salió Live Grupos

Para los que tengan la web de sus comunidades en MSN Groups, seguro ya saben que para el otro anio ese servicio desaparecerá, MicroSoft a dado 2 propuestas, la primera fue en Multiply, donde daban la opción de migrar los mensajes, y luego invitar a los miembros a que se vuelvan a registrar, personalmente el servicio en multiply, no fue de mi agrado, ya que la web tenia muchos problemas de programación ( fallos en la sesiones, y en la web en general), otra opción eran los “Live Groups” el detalle en esta opción es que  aquí seria inicio desde cero, ya que no dan la opción de migración.

el día de ayer salió ( groups.live.com ) me parece una propuesta interesante, bueno no le vi la opción de agregar paginas con noticias o algún grafico extra,  pero el echo de usar el “live id” es muy cómodo, además de que para grupos pequeños ( hasta 20 ) dan la opción para manejarse vía MSN ( lógicamente hay que usar el live messenger 9) .

lo que me gusta  de este servicio es la integración con el live id; en la comunidad aquí en zacatecas “Barreteros.Net”  estábamos pensando migrar a un foro que venga de un CMS, pero con esta opción, lo mas seguro es que migremos a http://barreteros.groups.live.com .

este servicio de live groups, se ve muy interesante, y mas aun ya que los msn groups hace muchos tiempo había sido olvidado por el tío Bill, ojala que este servicio no le pase lo mismo.

 

Salu2

 

Ddaz

Tenemos responsabilidad en lo que enseñamos/ mostramos?? … o simplemente nos dejamos llevar por las modas…

El post que saco hace unos días Jorge  sobre el por que quitar las referencias a VB  hizo que vuelva a mi mente unas cosas que tenia ya hace tiempo en la cabeza… y bueno, Jersson hizo que me anime a publicarlo. 

Problema :

lo que pensaba era si nosotros como expositores, divulgadores de tecnología ( que no sean empleados MS), entusiastas, etc.. somos responsables de las cosas que mostramos o damos a conocer a los demás…  ya que como una vez me dijo  Fer:

“muchas veces las personas –los lectores- toman muy en serio las cosas que decimos -escribimos-, así que se tiene que tener cuidado con lo que se dice –escribe-  públicamente”

Lógicamente  cada persona es libre de poner lo que le plazca en su blog/web/twitter, etc. pero creo que es necesario que seamos un poco mas consientes de la imagen que damos, a que me refiero?…  supongamos que sale una nueva funcionalidad, característica, etc.… lógicamente es publicada en su mayoría al inicio por algún empleado ms,  o algún socio, donde habla de esa funcionalidad, lógicamente por lo mismo de que es “ un negocio”  solo dirán el lado bonito,  lo bueno, pero no dirán “lo que viene por detrás” , el costo de usar esa funcionalidad, y muchas veces caemos en el error de “copypastear”  la noticia y publicarla así tal cual, sin haber antes probado…, o bueno quizá hasta allí podría pasar como “noticia”, pero lo mas correcto seria “quizá”  que probemos a profundidad esa funcionalidad, para poder ser capaz  de dar una opinión.

Otro problema muy común, es que solo probamos lo bonito, y no nos fijamos en lo demás, llegamos hasta dar conferencias o a hablar del producto, pero sin antes haber investigado sobre el costo de usar eso, personalmente siento que no se conoce realmente algo, hasta que se sabe su lado bueno y malo, cuando encuentro algo nuevo, busco lo bueno y a su vez – no por negativo- busco el costo de usarlo, y luego hago un balance entre lo bueno y lo malo, y si gana lo bueno lo uso…; e platicado con  varias personas  sobre determinadas tecnologías que usan, y les preguntaba si conocían determinado “ problema” que tendrían por usar esa tecnología ( para saber si eran consientes de eso), pero resultaba en muchos casos que ni sabían de eso, pensaban que todo era maravilloso. Lógicamente si uno es consiente de lo bueno y lo malo  y aun así decide usarlo, eso es algo para respetar, ya que tomo su decisión  conociendo realmente lo que esta usando.

Creo que es malo usar “en producción”  o recomendar masivamente que lo usen “en producción”  algo que no conocemos a fondo, muchas veces por querer ser “early adopter’s”   ponemos en producción cosas que nosotros no hemos probado a profundidad,  el lio es que cuando salen los problemas… volvemos a lo mismo “es culpa de MS” . También creo que es malo dejarnos llevar ciegamente por lo que podamos leer en blogs/webs/ conocidas , si bien es cierto muchos de nosotros somos socios “partner’s”  de Microsoft, y usamos sus tecnologías, y podemos leer una noticia  de alguna nueva tecnología”  y sin refutar, nos ponemos a usarla “en producción”  a fondo como si fuera esa tecnología perfecta y lo recomendamos a otros,  y luego si sale una nueva que se sobrepone a esta que estamos usando, sin refutar ni investigar a fondo nos ponemos a migrar a esa nueva funcionalidad, gastando recursos por algo que quizá funcionaba bien… y esto por que???? … por las “Modas” 

En estos círculos “.Net” llegue a reconocer a varios tipos de usuarios de tecnologías Microsoft, lógicamente  hay personas que si respeto mucho, ya que no se dejan llevar por la promoción investigan y sacan sus propias opiniones, esto en base a investigación propia, además de posibles referencias en el internet. También están las personas que no investigan y se creen todo lo que leen,  casi casi hasta lo que aparece en la web “el día de los inocentes”   y lo toman como “ ley”  y  muchas veces lo defienden a muerte, el problema en este caso es cuando estas personas son expositores, o divulgadores de tecnología, y sin haber tener una opinión propia bien fundamentada, replican eso y se genera el efecto del telefonito malogrado;  en muchos casos son conocidos como los que simplemente se memorizan la ppt y lo repiten  tal cual – e visto varios eventos, de ponentes diferentes,  donde se dice exactamente lo mismo, como si fuera el Avemaria –.Los que siguen Modas, estas personas no tienen una preferencia real, usan y siguen lo que este de “moda”, si la moda cambia, ellos cambian, algunas veces dura dias o meses. También están los Incondicionales, de los que defenderán a MS a muerte, saque la tecnología que saque, a mi parecer estos son los mas peligrosos, por que puede llegar a ser que hayan investigado a fondo ( casi no lo hacen, pero seamos optimistas ), pero por el simple echo de quedar bien, mostrarse “actualizados” ( o muchos otros motivos, el cual prefiero no mencionar… pero son conocidos), estas personas son de las que intentarían vender refrigeradoras a los esquimales –ósea no les importa si les sirve o no, lo que importa es darles lo ultimo-, recuerdo una vez que platicaba con una persona y defendía a muerte a Virtual PC 2004, decía que era mucho mejor que el vmware…, me atreví a preguntarle que si lo había usado… y me dijo que no, “ pero que en la web decía que era lo máximo”, lógicamente la platica allí termino… quizá haya otra categoría que se me haya pasado…  en este momento no la recuerdo.

 

Consecuencias :

Si, en este punto muchas personas estarán pensando “ yo soy libre de poner lo que quiera”  y no se equivocan, el detalle es … se habrán dado cuenta de las consecuencias de eso?, de que tanto pueden influir en los lectores? ….

Aquí unos ejemplos de cosas en las cuales AHORA ya no vemos bien ( o al menos de cierto modo) y en las cuales muchos hemos caído ( tengo que aceptar que en el primer caso yo caí … y fue la ultima vez que me deje llevar):

Dataset : cuando salió .Net el Dataset era el boom, si bien es cierto en muchos casos es útil, pero eso luego de un análisis de costo/beneficio, pero en el tiempo en que salió 2002/ 2003 era el boom, así que todos lo usaban , casi todos exponían de eso, de la facilidad, de lo corto del código, del dataadapter.fill y el dataadapter.update, ya hasta que se vieron los problemas en “producción” de performance se comenzó a cambiar la idea, aquí tengo que aceptar que yo tbm fui victima de esto, el detalle es que este “ problema” aun no termina, ya que en muchos de los ejemplos del MSDN – y otros website-  se usan como ejemplos los dataset,  si bien es cierto muchos ya estamos usando las listas genéricas y entidades en el acceso a datos, información  casi no se encuentra “públicamente” y las personas que recién están aprendiendo, verán que se usa dataset y lo usaran en producción, e visto grandes sistemas llenos de dataadapters y datasets en producción, y me llamaban ya que no entendían “por que era tan lento, si estaba echo en .net”.

Ajax : Este es reciente, en este caso es una buena tecnología, pero muchas veces no informamos bien el problema de no usarlo bien, y los usuarios se ponen a poner a diestra y siniestra updatepanels y demás sobresaturando sus paginas, lo bueno es que ahora ya en muchos lugares e visto donde recomiendan usarlo con moderación, pero eso no era así al inicio.

My: de esto se trata  el post de Jorge  sobre el por que es bueno quitarlo…, el detalle es que cuando salió vs 2005, esto fue uno de los caballitos de batalla.

Este ultimo es una opinión personal, aunque posiblemente muy controversial

Linq2SQL : bueno en este caso.. y en esta batalla estoy “casi solo” ( al menos en geeks.ms ), ya que “por el momento” soy de las pocas personas que no esta muy a favor de esto en especifico ( aunque la idea de Linq en general me parece buena, como Linq2Entity), ya Jersson publico unas pruebas de performance, además de que en un articulo se habla de la posible desaparición de Linq2SQL:  http://tinyurl.com/56d5ze , y  es algo en lo que estaría muy de acuerdo, Jersson me dijo que “tengamos paciencia, ya llegara ese día”, algo que espero; lógico hay quienes realmente han visto su lado bueno y malo, lo evaluaron y aun así decidieron usarlo, allí no podría decirles nada, ya que según su evaluación costo/beneficio les convenía usarlo, si fuera este el caso, es el tipo de cosas que hacen que respete a las personas.

Conclusiones :

Esos fueron ( al menos de los 3 primeros) ejemplos de tecnologías que son comúnmente muy “ mal usadas” por los programadores sin experiencia, y esto por que? por que vieron en algún blog, una conferencia, un webcast, que se usaba de cierto modo, y no tuvieron el aviso de que “solo servía como demostración, y no para entornos reales”; lógicamente esto es algo bueno para los de consultoría, ya que cobrarían ( y muy bien)  para arreglar ese tipo de situaciones 🙂 .

Seria recomendable que cada uno haga una introspección y vea si lo que uno “predica” es algo que realmente conoce, si esta uno ya evaluó lo bueno, lo malo,  y aun así decide usarlo; si alguien hace la evaluación y  siente que determinada tecnología que usa es la mejor a su parecer, es algo de respetar, ya que en software, no hay “ respuesta correcta”, creo que lo correcto para todo seria la palabra “depende” , pero  todo usándolo luego de una evaluación, es malo si usamos las cosas sin antes evaluar bien la situación;  Seria Tan valido usar el GOTO en Vb si luego de una evaluación  vemos que es algo que nos conviene – ya esta probado que ms en el IL genera sentencias GOTO – esto en el blog de Rafael Ontivero – , supongo que MS evaluó y vio que era lo mejor-.

para terminar, solo me queda decir que seria bueno que pensemos no solamente en lo que ponemos, sino también como lo recibirán nuestros lectores y como podríamos afectarlos.

“No Siempre lo ultimo y lo mas voceado es lo mejor, primero analicemos, si realmente conviene usarlo, si luego de una evaluación profunda vemos que nos convence, entonces allí si  comencemos a recomendarlo a nuestros conocidos, ya que tendríamos un buen fundamento”. Dacito.

Pdta:  si se fijan, aclare de personas “No empleadas de MS”, ya que es razonable y lógico que los empleados MS defiendan sus tecnologías, ya que es una empresa privada y esas tecnologías son parte de su negocio, por eso mismo debemos de tomar con pinzas todas las noticias o lanzamientos que hacen.

Pdta2:  si llegaste a leer hasta aquí… ya tienes mis respetos, por el aguante, y espero no haber ofendido a nadie, si  es que llegue a hacerlo, de antemano le pido una disculpa.

 

Salu2

 

David Daniel Arroyo Zari – Ddaz –

una súper corta… Link a un articulo de seguridad en JSON

este link lo publique en mi twitter pero me pareció tan importante que me atrevo a ponerlo tbm aquí…


el articulo habla sobre una vulnerabilidad en JSON, y de como es posible “ afectar sistemas”  vía este “ problemita”, como dijo Jersson  – en una platica vía MSN- “ es demasiado fácil”, sinceramente, ya lo veía venir… pero bueno… se me adelanto en el articulo, ni pex :).


Una de las cosas interesantes,  es que las librerías AJAX de MS  “mitigan” este problema, aunque lógico, mitigar no es “arreglar definitivamente”, así que  por allí aun podrían existir “dacitos”  que puedan usar este problema en beneficio propio…, bueno seria muy interesante que lean el articulo :


http://haacked.com/archive/2008/11/20/anatomy-of-a-subtle-json-vulnerability.aspx


Salu2


Dacito Bauer – Ddaz –

mini tip de seguridad – Por que es bueno registrar correctamente el office – :)

Hola:


Antes que nada aclaro que esto no tiene que ver con las licencias, compra o distribución :), también adelanto que esto es algo bien simple, pero con una gran utilidad.


Consideraciones  :


Como muchos deben imaginarse, en empresas grandes, y mas si tienen ámbitos políticos de por medio – como en gobierno-  muchas veces  no faltan los emails “difamadores”, y estos  en el 99% de los casos no dicen “quien lo envió”, ya que suelen ocultar su identidad, en algunos casos llegan hasta usar la cuenta de algún colega –sin su autorización-, lógicamente si el email fuera enviado vía Outlook o algún cliente  de email y una cuenta “corporativa” es un tanto mas fácil encontrar el origen del email, pero cuando se usa una cuenta gratuita como hotmail o gmail  la búsqueda se hace un tanto mas difícil de “rastrear”, y mas si no nos llego del remitente original, sino a la 3ra o 4ta reenviada…


Problema :


El viernes pasado, en la noche, recibí la llamada de mi jefe, avisándome sobre un caso como el que lo indique arriba, y tuve el encargo de encontrar el origen del email, y la persona que lo redacto; asi que… tuve que cambiar mi Nick a  “Daniel” – 🙂 mi nick’s son  condéname’s que cambian según la tarea realizada –  y de entrada me “reenvió” el email en cuestión con eso sobre escribió la información del encabezado del email, – lógico luego me tuvo que dar acceso a su email, aunque igual no se pudo encontrar nada útil-, ya estaba casi por decirle que no se podía, cuando recordé algo, que es muy simple y conocido por muchos, pero no siempre prestamos atención, lo que paso, es que el email tenia adjunto una presentación con diapositivas de Power Point (.pps ), asi que me puse a ver las propiedades del archivo “pps”  y se vio algo parecido a esto :



pero recordaba que los archivos de office tenían mas información al respecto, así que me atreví a renombrar la extensión del archivo a “ppt”,entonces la vista cambio a algo así :



 


de lo cual me mostro el nombre del usuario que creo el documento, y quien lo modifico, la fecha, y bueno en el archivo original – ya que la imagen es de una demo echa en mi PC personal –  también se muestra la organización, con lo cual nuestra búsqueda de casi 3000 personas se redujo a 15, en este caso en especifico no me servía el nombre del creador, ya que el archivo origen era una ppt  de una de esas típicas cadenas, el cual fue modificado poniendo datos de una persona en especifico, así que solo me importaba quien lo modifico.


Conclusiones :


el nombre que se muestra es el nombre  – y organización – a la cual esta “instalado el office” – cuando instalamos el office nos pide nombre y organización –, así que si en cada pc de la organización en nombre tiene uno diferente – ya sea por nombre de persona que lo usara, o por nombre de la pc o área –, esto nos dará un buen indicador de donde proviene el archivo.


lógicamente esto casi siempre solo sirve en entornos controlados, – como nuestra organización – ya que si fuera en una pc de “ fuera” fácil podría no tener indicado el nombre y/o organización; ya que es algo fácil de “saltear” , pero de que ayuda, ayuda y mucho 🙂 .


lógicamente por cuestiones de privacidad, no puedo mostrar el contenido del archivo original, ni decir a quien iba dirigido. Esta es una de las veces en la que estoy tan feliz de usar el office, ya que me ahorro muchas horas de trabajo , donde quizá no hubiera podido conseguir  gran cosa si no me hubiera fijado en eso.


Salu2 …


Dacito Bond – Ddaz –

URGENTE… ACTUALICEN WINDOWS….. esto no es un simulacro!

Hola… salió una actualización critica… un Server mio fue afectado ( se detuvo el servicio servidor…. ) , pueden encontrar mas info en http://bink.nu , es tan critico que MS saco un parche de emergencia, y esta enviando un email a todos  en especial por este bug.

 

les copypasteo el email que tbm llego de ms

 

ACTUALIZACIÓN DE SEGURIDAD
23 Octubre, 2008
Resumen Ejecutivo:
ALERTA: MS08-067 / SEVERIDAD MÁXIMA PARA WINDOWS VISTA, WINDOWS XP, WINDOWS 2003 SERVER Y WINDOWS 2000 SERVER CON SEVERIDAD MÁXIMA CRÍTICA.
Acción Inmediata: Se sugiere realizar las siguientes tareas:
Obtenga la actualización de seguridad utilizando: Windows Update, Microsoft Update (Nombre archivo: Actualización de seguridad No. KB958644) o ingrese a www.microsoft.com/downloads/ (teclear KB958644 y aquí se puede obtener la actualización para el sistema operativo que se tenga)
Consulte: http://www.microsoft.com/latam/seguridad/default.aspx
Distinguido Cliente de Microsoft:
Por este medio le informamos que el día de hoy Microsoft liberó una actualización de seguridad sobre una vulnerabilidad en todas las versiones soportadas de Windows. Hasta este momento solo se han detectado ataques limitados y específicos.
Microsoft tuvo conocimiento de estos ataques contra Windows XP en las últimas dos semanas. En cuanto se detectó esta amenaza, se inició una investigación. Los resultados arrojaron que se presentaron ataques limitados y específicos por medio de una nueva vulnerabilidad que se descubrió en la plataforma Windows. De forma inmediata, se inició el Proceso de Respuesta a Incidentes de Seguridad de Software de Microsoft para investigar este tema y desarrollar una actualización de seguridad para atenderlo.
Los efectos de esta vulnerabilidad permiten la ejecución remota de código, si un usuario recibe un paquete especialmente diseñado para el ataque. En sistemas Windows 2000, Windows XP y Windows Server 2003, el atacante puede explotar esta vulnerabilidad sin autenticación para correr código arbitrario. Es posible que se pueda utilizar esta vulnerabilidad en el desarrollo de un gusano. Dentro de Windows Vista y Windows Server 2008, la vulnerabilidad tiene una probabilidad de ocurrencia menor, debido a que solo puede ser explotada por un paquete autenticado, al User Account Control (UAC) o Control de Cuenta de Usuario y al firewall de Windows. Es decir, la arquitectura de seguridad mejorada en Windows Vista reduce la probabilidad de una explotación exitosa de la vulnerabilidad.
La actualización de seguridad MS08-067 está clasificada con el máximo nivel de importancia para los sistemas Windows por lo que es muy importante que usted siga los siguientes pasos para protegerse:
Ejecutar el Windows Update llamado: Actualización de seguridad No. KB958644

Activar un firewall, actualizar su software e instalar un software antivirus.
Encontrar más información para mantenerse protegido en:
http://www.microsoft.com/latam/seguridad/default.aspx
Es muy importante recomendarle la divulgación responsable de vulnerabilidades, que representa una práctica comúnmente aceptada y que ayuda a garantizar que los clientes reciban actualizaciones completas y de gran calidad para vulnerabilidades de seguridad sin exposición a atacantes maliciosos.
Con esta respuesta oportuna del Centro de Respuesta a Incidentes de Seguridad de Software de Microsoft y su apoyo, podremos prevenir un impacto de mayores consecuencias como aquellos que han ocurrido en el pasado.
Muchas gracias por su atención a la presente.
Microsoft México
Para preguntas y /o asesoría a este respecto, llame al : 01-800-527-2000
– Actualizaciones se estarán publicando en el blog de Seguridad de Microsoft Latam: http://blogs.technet.com/seguridad/
Seguridad en Microsoft: www.microsoft.com/latam/seguridad
Boletines de Seguridad Microsoft:
http://www.microsoft.com/latam/technet/seguridad/boletines/2008/ms08-067.mspx

http://www.microsoft.com/latam/technet/seguridad/boletines/2008/ms08-oct.mspx http://www.microsoft.com/latam/technet/seguridad/boletines.aspx

 

 

esto huele a un posible virus del nivel de blaster ….  y esto no es un simulacro

 

Salu2

 

Ddaz

Para los usuarios – como yo- del VS 2008 en Español .. Salio Silverlight™ Tools para VS en Español

Hoy aparecio en descarga las Microsoft® Silverlight™ Tools para Visual Studio 2008 SP1 en español, aunque curiosamente aun dice » RC» , pero la fecha de publicacion, la marcan para hoy…. ya solo me falta esperar los SP de expression en SP 🙂


http://www.microsoft.com/downloads/details.aspx?displaylang=es&FamilyID=c22d6a7b-546f-4407-8ef6-d60c8ee221ed


Salu2


Ddaz

Material de la 1ra clase Curso VB.NET UNID – 2008

 

 

Les dejo el Material de la Primera Clase del curso presencial de Visual Basic que empezamos a dictar en la UNID sede Zacatecas, esta clase fue la introducción, además les dejo el archivo con los ejemplos, las imágenes que hice en el Visual Paint no las grabe, así que no las pude subir :),  no se olviden llegar temprano a la próxima clase, ya que los 45 primeros minutos se realizara la practica guiada de lo que se toco en esta clase, y luego se continuara con el tema de la clase,  no se olviden de hacer la tarea, y de enviarla al email.

seria bueno que vayan adelantando, leyendo el curso de Vb que esta en la Web de El Guille ( http://elguille.info/NET/cursoVB.NET/indice.htm )

Hoy me encargue personalmente de instalar el Visual Basic Express en el Laboratorio de la UNID, así en la próxima clase podremos hacer los ejercicios.

 

Los Temas que se vieron esta semana:

  • Reglamento del curso
  • Introducción a .Net
  • Reconocimiento de la Herramienta a Utilizar
  • Clases, Objetos, Namespaces,
  • Variables
  • Tipos por Referencia y por Valor
  • Enumeraciones
  • Tipos de Datos
  • Tipos de Datos Definidos por el Usuario ( Estructuras).
    • Sobre Carga de operadores
    • Constructores  ( algo leve)
  • Control del Flujo de ejecución ( If, for, etc.)

 

Pueden Descargar el material desde aquí :   Diapositiva  clase 1  y Material Clase 1  :

Los Esperamos la próxima clase.

 

Salu2

 

Ddaz