. – Página 7 – Otro sitio más de Geeks.ms

Días difíciles se acercan… para nosotros los Administradores de Red(BOFH) .. y lo que deberíamos hacer al respecto

No quiero ser Pesimista…., ya casi todos saben que salió el Service Pack 3 de Windows XP, Service Pack 1 de Windows Vista … ( aun no sale el link de descarga..) gran alegría en muchos lados, más la desconfianza en otros, pero cuantos se han puesto a Pensar en los tan sufridos Administradores de red (BOFH)… y los problemas que les causara esto?.

No digo que estén mal los Service Pack o las nuevas versiones .., pero algo que ocurre siempre que sale algo nuevo es que el internet se satura a nivel mundial…. ya que muchas personas se ponen a descargarlo… eso trae problemas siempre… los usuarios normales se quejan por que su pagina X se demora mas en cargar… y piensan que de todo nosotros tenemos la culpa…

Algo que es muy recomendable ( en la mayoría de veces.. no en todas ) es dejar las actualizaciones automáticas en automático.. así se instalaran siempre sin tener que hacernos tantos líos… el problema viene cuando sale un Service Pack, ya sea de Windows, Office..o demás…

Cuanto Pesa el Service pack de Vista?, cuanto el de Windows XP..? lo suficiente para poner mal una red que no este bien administrada….

Lo Lógico y correcto es que en nuestra red tengamos un WSUS u otro que controle las actualizaciones de Windows de la red… «PERO!!!» ….. ( si como siempre el Ddaz y sus malditos peros..) , la realidad es que no todas las redes tienen un WSUS ( gratuito ) o la versión pagada… cuando hago auditoria a alguna red, casi siempre empiezo con la pregunta :

¿Tienes instalado el WSUS? ….. y algunas de las respuestas que obtuve fueron…..

Silencio… ( no dijeron nada pero su expresión era de «JUAT!!!???», entiendase por desconocimiento.. )

«NO, La Empresa no Tiene Dinero Suficiente para desperdiciar una pc solo para eso» ( en muchos de estos casos la persona que dice esto tiene una workstation muy potente… que sirve para ver sus películas bajadas de la www… o peor aun su «servidor» tiene instalado el emule, Ares, LimeWire o algún otro programa de P2P )

«NO, Eso no ayuda.. además solo trae los parches de Windows… « ( en este caso hubiera preferido el «juat!?»)

«Tengo demasiado Trabajo… no puedo perder el tiempo en eso…» ( Si supiera que muchos de sus problemas se resolverían teniendo su laboratorio de pruebas, y lógicamente el WSUS… )

«SI, tengo….el Instalador… pero no se donde lo deje.. luego lo instalo…» ( pueda ser que estaba mintiendo, solo para excusarse… o que realmente lo haya bajado con la intención de instalarlo y se le olvido… y casi seguro que se le vuelve a olvidar.. )

«SI lo tengo, ya Instale el Servidor de WSUS hace como medio año…. solo que no e tenido tiempo de configurar a los clientes…» ( como diría mi mama.. «al menos tuvo la intención»… pero.. un trabajo sin terminar es lo mismo que un trabajo no realizado… de nada sirve si no terminamos lo que empezamos.. )

«Si lo tenia, pero lo tuve que quitar … « ( en muy pocos casos esto es cierto… la mayoría de veces.. es una simple excusa… ya que o no saben lo que es o no supieron como o simplemente no les dio la gana… pero no querían dar la impresión de ser «Mensos» frente a quien los audita) .

«Si, lo tengo instalado, aunque e tenido algunos problemas con algunos equipos» ( quien me dijo esto ya obtuvo toda mi atención… y lógicamente le ayudo a solucionar sus problemas con muchas ganas.. y tengo mas esperanzas de que sea una red bien administrada, o al menos en buen estado – es que hay redes que cuando uno va y las ve, no sabe si reír o llorar..- )

«Si, lo tengo instalado, configurado y me funciona de maravilla» ( los que me conocen saben que soy una persona que difícilmente se le ve riendose…, y no me refiero a burla…- por que si soy algo burlón- sino a una sonrisa real…, en estos pocos casos …. suelo hasta sonreír y pienso «Dios Existe!!»)

Lamentablemente no con todas las personas que me encuentro y están encargadas de una red, podría llamarles «Administradores»… de causas y problemas lo tocare en otro post…

Supongamos que realmente la empresa es muy pequeña, o es un cyber, o simplemente en nuestra casa…. debemos poner en automático y poner que windowsupdate descargue e instale el Service pack, ya sea del windows xp o del Vista…… lo que yo les diría ( y aclaro eso.. que es mi opinión personal ) … es que «NO!!!, NO DEJEN QUE WindowsUpdate Descargue e intale el Service pack de windows u office o lo que sea..», si.. ya se que dirán pero por que?? allí les van algunos mis motivos.

Si Eres Administrador de RED (No Usas WSUS) :

(ANCHO de BANDA )Todas tus PC’s comenzaran a descargar cientos de Megas de la Web de Microsoft casi en simultáneo, haciendo que tus peores pesadillas se vuelvan realidad… donde ni google podras abrir…

Si Eres Administrador de RED ( y si tienes WSUS)

( CONTROL ) Una de los motivos de que WSUS funcione de proxy de actualizaciones, es que tengas el poder de aprobar las actualizaciones de tu red….¿ por que ?, en el siguiente punto lo detallo.

Si Eres Administrador de RED ( con o sin WSUS)

(Funcionalidad ) Algo que es muy común con las actualizaciones ( por eso se creo WSUS) es que muchas veces un parche arreglaba algo… pero malograba otra cosa… y curiosamente en algunos casos esa cosa que se malograba… tenia que ver con el trabajo de la red que teníamos… ya sea un service pack, un driver, algo como el Internet Explorer 7 ( un ejemplo… la pagina web del banco que uso no soporta IE7 … y como vista usa IE7 cada vez que quiero entrar al banco tengo que usar una pc virtual con win xp e ie6… como el banco es de Peru.. la única forma de interactuar con mi cuenta es por internet ya que estoy en México ) , asi que por eso antes de instalar un parche o Service Pack… tenemos que hacer simulaciones y probar que al instalarlo no dejara de funcionar algún sistema o en general el modo de trabajo de nuestra red; recien luego de probar todos los tipos de variables de nuestra red y ver si funciona en esos casos recién deberíamos permitir a nuestra red poder instalar el Service pack … ya sea con o sin WSUS debemos de bloquear la Instalación hasta que hayamos hechos las pruebas… si no tenemos pcs, podemos usar máquinas virtuales, pero hagan pruebas….. Por si piensen que para eso existió el Beta de SP… les diria.. no todos entran al Beta… y aunque duela decirlo ( soy beta tester de ms y en algunos casos alpha) muchas veces el producto RTM tiene mas problemas que la versión Beta o RC :(.

Si Eres Administrador de RED Sin WSUS, una persona que no es el administrador o un Usuario Común y silvestre de casa:

(Ahorro de tiempo) Siempre nos pasa que por X o Y motivo tenemos que formatear… nuestra PC o quizá la de alguien mas… y luego de hacer la instalación a bajar todos los parches… y mas tiempo nos demora instalar los parches y SP que la misma instalación… por eso lo mejor es que bajemos el «Redistribuible Package» del Service Pack, lo grabemos en un CD o DVD ( en el caso de vista seria un DVD para el SP, si no me equivoco) y asi para la siguiente vez que tengamos que formatear nuestra pc o la de alguien mas… nos ahorraremos el tiempo de descarga de la pc..

«Si pero como bloqueo la Instalación del Service Pack ???? «

Para estos casos Microsoft comenzó a publicar «bloqueadores de Service pack’s», los cuales no siempre son conocidos por todos…. pero es algo que ya deberíamos todos tener instalados en nuestras pcs 🙂

la Herramienta en cuestión es el: Windows Service Pack Blocker Tool Kit , lo pueden bajar de : http://www.microsoft.com/downloads/details.aspx?FamilyID=d7c9a07a-5267-4bd6-87d0-e2a72099edb7&DisplayLang=en , con esto bloquearemos la instalación automática de Service Packs , si no tenemos el WSUS ya sea en casa o trabajo…( por que en el WSUS uno debería de ir aprobando las actualizaciones una a una ) .

Si, Ya se que me extendí demasiado… ( como diría FER. …»NO se por que no me sorprende» ) en esta vez quisiera que pregunten ustedes ( suponiendo que no son los que administran la red donde trabajan…, o quizá a algún administrador de red que conozcan ) «¿Tienes Instalado el WSUS?» y ustedes mismos vean las respuestas que les dan, ojalá y sea un «si y lo tengo funcionando»

lo recalco por ultima vez… ya sea que sean Administradores de Red, o no … les aconsejo que se bajen el instalador FULL y lo graben en un CD, mejor aun si pueden luego juntar el Instalador del SO con el del SP y tengan un Instalador con el sp incluido… ( lógicamente los que tengan suscripción MSDN o TECHNET no tendrán este problema ya que MS se los dará…) .

Y bueno creo que también debería dejar en claro que no estoy en contra de los Service Packs, ya que la idea de estos es que arreglen algunos problemas, y/o traigan funcionalidad nueva a nuestros SO, el fin de este post es ver unos cuantos vicios en la Administración de Redes con respecto a las actualizaciones.

Para mas Información del WSUS : http://www.microsoft.com/spain/technet/seguridad/herramientas/wsus.mspx

pdta: por si no entendieron lo de BOFH : Bastard Operator from Hell – Wikipedia, la enciclopedia libre

Hasta la Próxima…

Salu2

Ddaz ( El Dacito )

Expresión de "aprecio" de los cuates… je je

me acaban de avisar…de esta imagen que hicieron "en mi honor" …. ¿¿¿ tanto me quieren … ???? , así cualquiera diría que soy un desalmado jeje.

Pdta : que conste que yo no hice la imagen….

Salu2

Ddaz – " El Dacito "

Controles de Validación – ¿Son Realmente Seguros?

Antes de empezar, se que este post puede ser vetado, por muchos motivos, solo quiero esperar que lo tomen de por el lado amable…, aquí muestro mis ideas y mi percepción al respecto, agradecería me dieran sus comentarios sobre esto, ni intento atacar a alguna persona en especial , la razón de este post es poder ayudar a las personas a que utilicen algo mas de seguridad en sus sistemas.

Este post se a vuelto una respuesta a un post puesto por un empleado de Microsoft, y en general a la imagen que da Microsoft y algunos expositores http://blogs.msdn.com/hackers/archive/2008/01/06/first-line-of-defense-for-web-applications-conclusion.aspx

ACLARACION : «Este post no demuestra ninguna buena practica…, sino que mas bien demuestra como «No deben de programar»; es la forma en la que muchos programan equivocadamente. Segundo, el ASP.NET SI hace una validacion del lado del servidor, aunque esta es una validacion que en este caso es muy facil de saltarse, ya que no se ingresa codigo malicioso ( XSS, Sql Injection, etc ). Y una cosa mas sobre lo de «Page.IsValid esta omitido de forma premeditada, para que el ejemplo sea mas facil de entender, pero aun asi, si lo hubiera puesto… el resultado es el mismo, ya que eso solo valida que no ingrese codigo malicioso :), esto a pedido de Misael 🙂

En los tiempos actuales se habla mucho sobre seguridad, ¿ pero esta realmente se aplica?

soy una persona que utiliza diariamente las tecnologías de Microsoft, pero en mi trabajo como consultor en seguridad e visto muchos vicios de programación, que han sido originados por una incorrecta forma ( a mi parecer ) de mostrar las cualidades de ASP.NET.

¿A que me refiero en especifico? me refiero a los controles de validación, si , seguro habrán escuchados de ellos, el de campo requerido, el de expresión regular, etc.

Eh Escuchado en Múltiples conferencias de Microsoft y en otras de algunos colegas expositores y algunos ex colegas MVP’s ( si, si.. yo fui el que dejo de serlo je je ) , sobre la idea de que «Los controles de Validación», hacen que una aplicación sea segura, hace unos minutos estaba debatiendo esto con mi amigo Guino, sobre la Seguridad, y el me decía que la seguridad se implementa en varias capas, que no se puede implementar en una sola capa, con lo cual concuerdo, pero algo que le replique es sobre que pasa si le das una imagen errónea a las personas sobre la seguridad, ya sea como Microsoft o como Expositores, influenciamos a los desarrolladores, y esto influye en muchos aspectos de como programan…. ¿ si.. pero cual es mi punto ?

Mi punto es el siguiente:

Los Controles de Validación sirven para 2 cosas,

Para que el usuario común y silvestre… (si de esos que andan rondando libremente por allí… sin domesticar..) , puedan ingresar datos correctos en una determinada aplicación de una forma mas rápida, ya que antiguamente había el problema de los muchos postback que eran molestos, y como una guía para que ellos ( que nunca hacen las cosas como se debe ) puedan hacer un trabajo correctamente.

Para Evitar evitar demasiados postback ( si si ya lo había puesto ) ya que estos hacen que la aplicación sea mas lenta, el trabajo para ese usuario común y silvestre que no sabe ni poner su apellido correctamente …. tenga que ir rellenando todo de nuevo por que escribió mal algo, y así liberamos algo de carga al servidor en cuestión.

Para que No Sirve :

No sirve para Implementar seguridad real, como dije antes esto sirve solo para que el usuario común y silvestre ingrese la información correcta, o quizá pueda contra un simple y diminuto «Lamer» , pero sobre seguridad real no ayuda en nada, como me dijo Guino «¿¿que código JavaScript es seguro..??» el código JavaScript, en su mayoría tiene como finalidad darle una mejor experiencia al usuario, es código muerto que no corre bajo el CRL, eso si puede ser generado…

En muchas literaturas, se habla sobre código seguro y e ellas se dice ( algo en lo que estoy de acuerdo) «que se tiene que validar todas las entradas de usuario, una y otra vez, que no hay que confiar en nada que venga del usuario» en conclusión el usuario es un ser en el cual no se puede confiar… hasta allí todo muy bien y correcto…. pero ahora viene lo malo…. ¿como?

Muchas personas interpretan eso ( sobre validar las entradas del usuario) con validar usando controles de validación.. y que con eso su aplicación ya es segura y recibirá siempre los datos correctos , cosa que no es cierto… lamentablemente las personas no acostumbran desarrollar código seguro, y se confían de que el CRL del ASP.NET les ayudara en todo.

hace un tiempo salió una vulnerabilidad que demostró que el «Validate Request» del ASP.Net no es «invulnerable» http://www.buayacorp.com/archivos/validaterequest-no-es-suficiente-para-protegernos-de-ataques-xss/ , y en este otro post se muestra la mínima validación que hace el «validate request» http://www.buayacorp.com/archivos/seguridad-en-aspnet-xss/ , asi que por eso no podemos confiar en que eso ayudara en la seguridad, quizá si filtrara muchos de los intentos, pero.. no podemos confiar en que eso hará nuestras aplicaciones seguras.

Si reconozco que en seguridad ASP.NET a dado un gran salto, ya que por ejemplo en aplicaciones PHP hay que hacer a mano muchas de las validaciones, pero aun así tenemos que seguir programando pensando en seguridad… pero en seguridad real.

Seguro pensaran… este mucho habla y poco demuestra…o este es un charlatán…. pero calma, ya viene lo bueno…. pero adelanto.. que no diré exactamente el como lo hago pero si mostrare imágenes que de por si ya mostraran.

empecemos!. para el ejemplo siguiente crearemos una simple pagina ASP.NET Con un simple botón, una caja de texto y le agregaremos un control de validación…. haber podría ser cualquiera, para este caso pongamos el de «Regular Expression Validator», y como expresión a validar pongamos la de «email», como muestra la imagen:

el único código que le aplicaremos en este caso, será el siguiente:

Protected Sub Button1_Click(ByVal sender As Object, ByVal e As System.EventArgs) Handles Button1.Click

        Response.Write(TextBox1.Text)
End Sub

como ven simplemente escribe lo que recibe de la caja de texto… lógicamente el evento clic no se ejecuta si es que no sea cumplido la condición del control de validación… por si no creen aquí les dejo otras imágenes… en la primera lo que pasa si no pongo la condición correcta ( un email )

y si se cumple se muestra algo asi:

allí se escribió el email

Bueno luego prendemos el Paros ( véase el anterior post que puse Previo a un Post Importante, Herramienta impresincible ) , para la configuración de ese soft pueden ver en la ayuda… de su programa… si .. deben de leer.., bueno para poder atrapar el trafico habilitamos en la pestaña trap, la opción de «trap response» y «trap request» y llamamos a la pagina, lógico que se detendrá y no avanzara hasta que en el paros le demos en «Continue» varias veces. hasta que se carga la pagina y en el paros ya no se ve nada…,

luego simplemente escribimos un email ( ósea un valor que cumple la condición ósea algo@algo.com ) y damos clic en el botón, lógico que paros capturara el evento. y veremos algo así….

se dan cuenta… quizá en este momento seria buena idea para cambiar el valor puesto originalmente por el que realmente querremos poner… en este caso pondré «datocambiado» y ponemos «continue» el siguiente clic mostraría el HTML que se procesara.. ( ósea el que validara…) y si buscamos en el código podríamos ver algo asi :

ven algo conocido?… algo parecido a una expresión regular..?.. que pasaria si modifico lo que esta entre las comillas y por ejemplo dejo solo : \w+([-+.’]\w+)*… y luego doy en continue… seran como 4 clic en continue y luego ya de hacer todo eso podremos ver en el navegador :

ven? aparecio el dato que modificamos..

como quizá digan, «pero no te metiste a la DB o no hiciste cosas complicadas… » … y les respondería… justo es lo que quería hacer… demostrar lo simple que es saltarse los controles de validación, y en que casos nos puede afectar esto? es simple…

en el mundo actualmente existen muchas personas ( lo e comprobado ) que equivocadamente piensan que lo que en los libros de código seguro dice «valida la entrada» significa usar controles de validación… y eso significa que no tenemos que meternos dentro de la app, robar sesiones ni cosas asi para poder hacer destrozos… ejemplos..? ya depende de cada uno….,

Esto es un bug? personalmente creo que NO, pero eso es por que yo desde un principio considere a los controles de validación como algo para ayudar a los usuarios a ingresar bien los datos, pero no como algo para seguridad…, lo que si creo que es un Error o Bug, es a las personas que enseñan y dan a entender que esto hace que la aplicación sea segura, lo cual es falso, quizá podríamos decir «esto seria uno de los puntos en los cuales puedes ayudar a que tu aplicación sea segura»,pero siempre aclarando explícitamente que el fin de esto no es la seguridad, sino que mejora la experiencia del usuario.

creo personalmente que Microsoft debería de cambiar su forma de mostrar este tipo de controles, ya que esta haciendo que las personas tengan una perspectiva equivocada de esto, aunque lógico si me hacen caso o no ya no depende de mi .

y Bueno luego de este rollo.. que podemos hacer? la respuesta es simple «Validación en el lado del Servidor», ojo que no digo que «no hagan validación del lado del cliente» , lo que digo es que hagan doble validación, bueno al menos en este aspecto.

quiero agradecer a Nazul por haberme proporcionado el link donde se habla de los controles de validación…..

Bueno espero no haber ofendido a nadie con este post, ni tampoco quiero atacar a Microsoft,tan solo doy mi punto de vista con respecto a ese post y en general a los controles de validación.

Si no Es Vetado este post, podría poner otros tips de seguridad, ya sea en .net o en servidores Windows… .. mas información? : http://www.google.com

Hasta la proxima!

Salu2

Ddaz ( El Dacito )

Previo a un Post Importante, Herramienta impresincible

Bueno hace mucho mucho tiempo, quería publicar una información, la cual era algo critica en algunos aspectos sobre seguridad, y bueno pasaron muchas cosas en estos días, entre ellas iba a enviar un email al team de ASPNET, y creo que si terminare escribiéndolo, y bueno al fin me anime a postearlo, en esto tengo que agradecer a Nazul , que me paso un link importante con el cual me puedo basar para responder.

En este post no hablare de eso, pero si de la herramienta que usare para probar «mi teoría» sobre la seguridad en aplicaciones web, la cual espero no sea la única vez que hable sobre esto….. la herramienta que usare en los ejemplos de los próximos post sera una que ya publique hace algún tiempo atrás en algún blog ( no recuerdo donde) es un analizador de Seguridad web, la cual ya tiene un buen tiempo en la web ( yo la uso desde el 2004 ) , lógico esta no es la única herramienta, pero es con la que mas me acople. esta herramienta es «paros proxy» http://parosproxy.org/ el cual es un testeador de seguridad de paginas web, es independiente al lenguaje , ya que no analiza del lado del servidor, sino del lado del cliente…, así que pueden testear tanto Asp.Net, como PHP, jsp, etc….

Básicamente este programa analiza el http Request y el Response, y hace unas pruebas básicas sobre Sql injection entre otras cosas.. y luego entrega un informe de en que parte es vulnerable y el por que.. si como lo ven dice el por que y el como…., lógicamente que algunas veces el programa inconscientemente hace literalmente un ataque al servidor… y puede hasta llegar a inyectar parámetros de verdad en una aplicación….

Como dije esta no es la única herramienta, hay otras mas, y hay hasta un complemento para Firefox…. este programa esta basado en java,… si como lo ven no es en .net… hasta allí todo bien.. no?… pero este programa tiene algo mas que lo hace interesante… este programa para poder funcionar tiene que ser un proxy entre la aplicación y el Internet…, así que todo lo que pase por el Navegador, pasa por esta aplicación… y uno puede ver como Firefox y Google se roban info de lo que navegamos … mismo spyware…,

Entre otras cosas, podemos ver encabezados http, el response y el request…., y no solo eso….. «podemos modificarlo»!!, … o si lo desean… podrían navegar directamente…. bueno mejor por ahora no digo mas…. quizá ya se están dando ideas al respecto….

este programa tiene muchas opciones…..

Puse esta información en post aparte ya que no quiero mezclar información.

Este tipo de herramientas, me hacen recordar a mi profesor de física de la universidad donde estudie ( UNI ) , el cual me decía que no importa la herramienta que usemos, que podía parecer muy simple, pero que muchas veces las limitaciones las ponía el , ese profesor se apellidaba Cisneros, estaba bien loco, se perdía en la biblioteca, como dicen en México, se le iba el avión…., pero en física era un genio, y el usaba el LOGO para los laboratorios de física, hacia cálculos matemáticos complejos además de animaciones de gráficos que obtenía de los datos ingresados.., así que cuando encontré esta herramienta hace un par de años atrás , me puse a investigarla y … como dice el lema de la web «MITM Proxy + Spider + Scanner + Your Imagination!!» , con este programa se pueden hacer maravillas, ya depende cada uno… y de que tan lejos quieran llegar.

pueden descargar el programa desde : http://sourceforge.net/project/showfiles.php?group_id=84378

el post que viene ( espero que salga hoy… sino sin falta mañana … seria sobre la seguridad en Asp.Net, logicamente que no del lado que le gusta a microsoft.. )

Hasta Luego.

Dacito ( El Ddaz)

Barreteros.Net – Comunidad nivel Platino!!

Hace un par de días nos llego un email de Nilda Diaz, en donde nos decía que ahora las comunidades, en Ineta Latam se categorizaran, y que la comunidad de Zacatecas «Barreteros.Net» esta en el «Nivel Platino», tengo que confesar que por un tiempo estuvimos en modo «Sabático», pero ya volvimos, y que mejor alegría de ser reconocidos con esto… y eso que no saben los planes que tenemos para este año.

Lo de los niveles no solo es un tipo de logo diferente el que se usa, sino que además de eso vienen premios de por medio, es una forma de impulsar a las comunidades a que aumenten sus actividades, si alguno de uds tiene una comunidad, seria bueno que le echen mas ganas, son 3 niveles, Bronce, Oro y Platino.

aquí les dejo las Imágenes.

no me queda otra cosa que Agradecer a Ineta Latam y a Microsoft Latam.

Salu2

Ddaz

Nueva Actualización a la pagina de dtcomics..

Actualizaron los perfiles , y 3 tiras mas a la temporada 3

http://www.antioroku.com/dt

Salu2

Ddaz

Tip IT – ¿ Tu MSN es Seguro ?

Muchas veces dentro de las empresas tenemos a personas que les gusta espiar, ya sea por intentar sacar provecho de eso, por que son mas chismosos que «Magaly Medina» ( los de Perú entenderán), o solo por deporte, una de las técnicas mas comunes es el «Sniffear» y con eso muy fácilmente pueden capturar tramas de red, y con el decodificador correcto, pueden sacar platicas del MSN, Yahoo MSN, etc, contraseñas de los correos, y muchas cosas mas, por suerte actualmente algunos Switch pueden bloquear eso ( pero no todos pueden hacerlo, así que muchos son vulnerables) , y creanme es increíblemente fácil poder «espiar» , ojo que no recomiendo que lo hagan, ya que es una practica poco profesional, bueno a menos que tenga unos motivos realmente importantes, ya sea seguridad nacional, etc…., lo que viene acontinuacion es para personas que «No»son los administradores de la red

¿Como me doy cuenta si me están espiando?, hace ya un tiempo Microsoft Saco unas herramientas que pueden detectar si hay una tarjeta de red en modo «Promiscuo» ósea que si hay una pc que este intentando capturar paquetes de la red, la aplicación la pueden descargar desde : http://support.microsoft.com/kb/892853 ( promqry 1,0 y PromqryUI 1.0) ; con esa Herramienta los administradores de red podrían, revisar si existe alguien que intenta espiar, y luego ya tomar las medidas correctivas del caso.

¿Como Evito esto? Muchos de los administradores de red, se preguntan esto… y no pasan de esta pregunta… bueno hay técnicas que se usaban antiguamente en la «Santa Inquisición» que podríamos usar, con las personas que realizan esto, o si tienen equipo de administración de red, castigarles limitándole el Acceso de Internet ( con que le quiten el MSN, casi casi querrían morir!) , pero bueno veamos como podemos resolver esto.

VLAN ( http://es.wikipedia.org/wiki/VLAN) : El problema aquí es que necesitamos «Hardware» , comprando un equipo que pueda generar Vlan, y logico ser el administrador de la red.

¿ Pero que pasa si no puedo aplicar Vlan, y quiero que las platicas del MSN sean Seguras? No todas las empresas pueden poner una solución de mensajería donde las platicas pasen encriptadas algo como el «Live Communications Server» ( por el costo de la licencia ) , y usar otros clientes de mensajería es algo pesado para las personas que son fieles seguidores del MSN Messenger , para eso hay una solución ( en versión Free y pagada) , esto se enlaza al cliente y encripta las platicas, ( lógico para que funcione la persona con la que platicamos debería de usar también el mismo programa) , el uso es transparente los clientes se comunican entre si y detectan si pueden encriptar o no y lo hacen si es que pueden, la herramienta ( una de las que hay, pero la que yo uso) es el Secway http://www.secway.fr/us/ la versión free no es un trial, es funcional, lógico que no tiene algunos complementos que si tiene la versión Full. se los recomiendo, ya hice el intento de atrapar platicas, y aparecen puros símbolos extraños, con esto podrían platicar por MSN, yahoo, Jabber, Gtalk de forma segura, no se olviden, si con quien habla no tiene el cliente.. .simplemente la aplicación no encripta y es una comunicación normal, lo bueno de esto es que si vamos a un cyber ( esperando que la pc no tiene un keylooger) , el cual es un entorno el cual no podemos controlar si espian o no … con tan solo ponerle el cliente, ya podríamos tener platicas seguras.

Si Ya se … eso no soluciona todo el problema de que puedan atrapar otros paquetes y desencriptarlos, como emails y demás, por ahora solo les queda ponerse a escanear la red por si tienen a alguien que este espiando… yo les recomendaría los métodos de la Santa Inquisición , les aseguro que no vuelven a intentar espirar la red.

OJO : Esto que esta aquí aplica a las redes «comunes y silvestres» donde no aplican técnicas como IPSec , etc … de eso hablaremos luego, de como asegurar comunicaciones de Red, ahora solo toque una forma simple y rápida de aseguar el msn, sin mucho conocimiento y lo mejor aun sin ser el «Administrador de la red», ya que podemos ser simplemente desarrolladores en una empresa ( o del lado de la persona con la que platico) y un colega o el jefe podría estar espiándonos.

Ya en otro post veremos los problemas de las Wireless… y lo fácil que puede ser romper la seguridad si no la implementamos bien.

Salu2

Ddaz

La Seguridad y Tu

Ya desde hace buen tiempo, ( 2 años) en mi actual trabajo ( por mas que estuve fuera de México, seguía en el mismo trabajo) me dedico al área de la seguridad, y no… no me refiero a los que están en la puerta con una «macana», o cosas así , es con respecto a Redes y sobre todo a las aplicaciones, ya que a nivel de empresas gubernamentales siempre hay personas que quieren vulnerar las aplicaciones, mi tarea es que eso no pase. Hasta allí todo bien, por mucho tiempo que «solo » los de mi trabajo eran los mas descuidados de seguridad, pero ya luego entre platica y platica con amigos de mi país ( Perú ), del país donde vivo ( México) , y de algunos otros amigos que conozco de otros países… me di cuenta de la triste realidad…

Muchas personas hablan de código seguro, se promocionan libros de «escribir código seguro», pero en la realidad, lo toman en la practica?. una de las cosas que me di cuenta, es que les preocupa hacer un sistema con 20 mil capas!, que se vea bonito, pero casi no en lo que respecta a la seguridad, como que le es «nice»hacer un sistema en N capas ( no digo que sea malo)… pero es bien naco/monse/aburrido, etc. hacer código seguro….

Hay muchos casos, en los cuales las personas creen que hacen código seguro ( e hecho consultoría a algunas empresas, lógico con permiso de ellas en lo que respecta a la seguridad de sistemas), quizá piensen que el ataque de «inyección SQL (SQL Injection)» es el único tipo de ataque que existe, en este mundo y que solo con usar «procecidimientos almacenados ( Stored procedures)», su aplicación será mas segura… ( este es solo un ejemplo), bueno en ese caso no es por desidia, sino por ignorancia ( no intento ofender.., ignorar no es una ofensa).

Como dice el dicho «hay muchas formas de pelar un gato» ( y ojalá que solo sea un dicho.. ya que me fascinan los gatos!!),muchas son las formas de vulnerar una aplicación, y no hablo solo de asp.net, también están las PHP, jsp, etc.

Una vez ( cuando aun era mvp), en una reunión que hubo en Ecuador, platicando con otro mvp (el sigue siendo) le pregunte por que dejo el VB y se fue a C#, y lo que me dijo es que los programadores de VB no programan bien, que mantienen sus vicios y que el quería algo mas estricto que lo controle; comentarios asi e escuchado de muchos desarrolladores, de que «c# es la neta del planeta» que con eso si programaran bien…, pero curiosamente… que usen c# o VB, no los exime de que tengan problemas de seguridad.

Escuche en Algunas de las charlas impartidas por MS o por colegas expositores, sobre Seguridad y temas parecidos, el detalle es que en el mundo real…cuantos hacen «código seguro»? … no entiendo por que esa parte del mensaje no llega normalmente a las personas; quizá en muchos casos me dirán «pero es que en los sistemas que hago, nadie querrá hackearlo, no vale la pena, el problema es que eso se les hace costumbre y luego hacen aplicaciones que si son importantes y ya no están acostumbrados a la seguridad.

La Seguridad no es algo que se implementa de un momento a otro, es algo que se va aprendiendo gradualmente, y su implementación también es gradual, pero con practica se hace algo inherente a nuestra forma de programar, y si nos esforzamos en esto luego ya automáticamente escribiremos código seguro.

Hace un par de meses platicando con «Guino Henostroza» ( MVP de c# de Perú) , me dijo que en Perú, casi nadie hace código «anti hacker» ( ojo que no digo todos, para que no se ofendan) por que no les pagan por eso, o por que en muchos casos lo ven como perdida de tiempo, ya que mas les preocupa terminar los sistemas «a tiempo», es algo en lo cual concuerdo con el, lamentable pero cierto. ( ojo que no digo que el realice código inseguro, la platica era sobre la realidad actual en el país sobre seguridad)

He Platicado con otros desarrolladores ( muchos de mi país), les hice unas preguntas sobre su forma de programar ( y ojo que no solo las asp.net son vulnerables) , y me di cuenta que en este momento muchas de las personas ( según las encuestas que hice – de las personas de mi MSN – 1 de cada 5 programa pensando en hacer código seguro ), justo el día de ayer tuve una platica con alguien que ya tiene algo de tiempo haciendo aplicaciones Web con ASP.Net ( no diré quien es…, pero el si sabrá que me refiero a el) , el tenia en mente que realizaba aplicaciones web «seguras» hasta realizo un post sobre «seguridad», pero en la platica se pudo dar cuenta que tenia unos pequeños vicios, que los cometía por desconocimiento, a las finales quedamos en que leería mas sobre código seguro 🙂 ( le daré un tiempo y luego lo volveré a buscar para ver cual fue su avance) .

Y si hablamos de Seguridad, no solo deberíamos hablar de Seguridad ( jeje también manejo servidores:)) , he conocido muchas personas que piensan que ser un administrador de red, es leer un par de paginas en el Internet y luego insertar el CD de Windows y darle «Next» a todo. Sitios como «Technet Learning center» yo suelo recomendar, pero no como para se sientan ya con la capacidad de Administrar una red, sino para que conozcan y «empiecen» a estudiar, lamentablemente la mala fama en los servidores Windows en gran parte es por que los que «Administran» los Servidores no «leyeron el manual» o muchas veces por flojera son de los que abren todo…, creo que el nivel de seguridad de una red depende en un 80% de la capacidad del Administrador de esa red. Me a tocado hacer auditorias de seguridad a muchas dependencias dentro de mi trabajo ( lo malo es que a las finales tenia que terminar configurando yo los servidores… por que cuando les decía que tenían que hacer me miraban como si les hablara en chino!!), cuando empecé en el trabajo ( 2005 ) me di con la sorpresa que el acceso al servidor principal era libre…, las carpeta estaban compartidas con permisos de escritura y sin contraseña!!! mejor ni les digo que le dije al encargado .. ya que son palabras demasiado altisonantes 🙂 , otra vez encontré un servidor que tenia un SQL Server instalado, y se bloqueaba cada 3 horas y lo tenían que reiniciar a cada rato… el encargado decía a gritos que el problema era por que el servidor era «Windows»y que «Windows» no servia, que Microsoft «Apestaba», en la reunión previa a la auditoria tuve que aguantar todas las agresiones, y lógico cuando ya entre a ver el Servidor , me di cuenta que era un Windows 2003 RTM ( si!. sin ningún bendito parche… ni SP.. y ya estaba online el SP2 ), y tenia un SQL 2000 con el SP2 ( al menos.. el sp2… eso seria bueno si estuviéramos un par de años atrás!! ) , si la pc no se había llenado de virus era por las VLAN que instalaron allí, algo que poco a poco llegue a amar, a las VLAN, lamentablemente Microsoft no tiene soporte «real» para trabajar con Vlan, el ISA Server no trae compatibilidad «real» con eso, quizá en las siguientes versiones traiga soporte a eso , lamentablemente en eso Linux tiene un paso adelante, estoy seguro de que si Ms se anima a utilizar Vlan con ISA Server, lo promocionara como si hubiera descubierto la rueda, y lo peor, es que muchos «fanáticos» pensaran que es así.

creo que ya me extendí demasiado… no? esto ya parece un testamento… me puse una meta ( justo después de hablar con el dev sobre seguridad), que voy a comenzar a publicar sobre algunos tips de Seguridad ( y no … no será «usando el MBSA» ) , ya sea para usuarios normales, administradores de redes ( no se si decirles administradores… pq los de verdad si aplican seguridad) , y sobre seguridad en aplicaciones, lógico que si hablamos de código.. usare el VB, ya que no le entro al c#… es una larga historia … que no se si aun Jersson se acuerda de eso jeje..

Bueno este es el inicio de lo que espero (además de no olvidarme) ver si puedo convencer a aunque sea a una persona a aplicar la Seguridad, ya sea en Redes o en Programación. recuerden que uno de los temas de Ingeniería de Software habla sobre «aplicaciones de calidad» .

bueno ya no me extiendo mas!

Hasta luego.

Salu2

El Ddaz.

Humor Informático ( Proyecto DtComics)

Un Compañero de la oficina ( Antioroku), creo unos comics , basados en los comics de Garfield, satirisando algunas cosas que suceden en el trabajo..", muchas son 100% reales, otras exageradas… pero son situaciones comunes y mas en un entorno grande como lo es un "gobierno" y los problemas que allí suceden. ( Son las aventuras de nuestro equipo de trabajo, cada uno esta en una dependencia de gob. diferente, pero igual siempre hacemos trabajo en conjunto ) como yo no realice el comic, no pude controlar sobre lo que dice de mi persona… pero como son bromas se toman por el lado amable. Este comic esta echo en las pocas horas de relajo que hay en el trabajo, denle un vistazo , seguro les quitara el estress 🙂 .

el link es http://www.antioroku.com/dt/

aquí una de las fraces de la pagina :

Cuando no tienes idea de que va el asunto o cual es la problemática del sistema utiliza la frase del dia: Pues hazlo tu!!! by Heriberto
Cuando no tengas nada del trabajo hecho y falten solo unas horas para entregarlo utiliza la frase del día: Ya esta!!!…… nomás faltan detalles pero los esta viendo (__________ utilice cualquier nombre que le venga a la mente, aun cuando no trabaje con usted) by Antioroku

pdta: les aviso no se habla de .NET 🙂 .

hasta Luego

El Dacito (Ddaz)

Service Pack 1 del Office 2007

Bueno no es aun muy tarde… el bug que tenia la pc con el vs 2008 se extendio al vs 2005 que ya no queria funcionar…., asi que me decidi a formatear la pc… en un principio quise volver al xp… pero me acorde que no hice bien el respaldo de los discos de restauracion y el vista destrozo esa particion asi que ya no pude instalar el xp, y ni modo le di otra oportunidad al vista ( esta en deuda conmigo) …

acabo de instalar el office 2007 y justo me doy con la sorpresa de que el 8 de dic salio el sp1 del office 2007 por si se les antoja descargarlo pueden hacerlo desde aqui

Español : http://download.microsoft.com/download/5/8/9/5891423e-d9de-4f7a-bab0-b0e73116139a/office2007sp1-kb936982-fullfile-es-es.exe

Ingles : http://download.microsoft.com/download/0/8/1/08186057-e110-49fb-b455-17899cf082d8/office2007sp1-kb936982-fullfile-en-us.exe

otros lenguajes : http://www.microsoft.com/downloads/details.aspx?familyid=9EC51594-992C-4165-A997-25DA01F388F5&displaylang=en

luego viene la instalada del VS 2008, el 2005, luego contare otros lios que tengo con el vista… y por que estoy a punto de recomendar que no lo usen, al menos en desarrollo…. jeje… primero vere si el vs 2008 ya funciono… por cierto en connect me dijeron que instale el sp1 al fw 2.0 el detalle es que cuando lo descargo me dice que no aplica para vista…. en teoria el fw 3.5 le pone el sp2 … pero ……. tatatatan……

bueno veamos que pasa

Salu2

Ddaz