30 de junio de 2008

noVio, es decir no usaba Vista



Ya me lo decía quien mucho me quería, ten cuidado cuando seas novio, no vaya a ser que se cumpla el "no-vió". Y para eso, cuando elige su S.O. lo que vale no es lo que te cuenten, sino tu experiencia, a un servidor que se crió con MS-DOS (snifff), Windows 3.11, Windows 95, Windows 98, Windows Millenium, Windows XP (el NT me duró 2 dias) y finalmente Windows Vista, ¿del otro lado? Si, también he trabajado con Debian, OpenSuse, Red Hat algo de Mandriva y muy poquito más... Me he propuesto firmemente relanzarme a la otra acera por aquello de ver, y comparar, así que a mi futuro le pondré OpenSuse 11.0, y ya os contare.



Esta en concreto no fue la mía, ¡no pude guardarla!


Pero actualmente mi "novia" lleva Windows Vista Business Edition, algo así como la panacea para los amantes de los colorines y las ventanitas chulas, sin embargo a la pregunta que me plantearon, cubata en mano, recien pasados de cuartos, diciendo: ¿que tiene Windows Vista? A mi se me iluminaron los ojos y,,, queriendo decir 1000 cosas me quedé en un... "Es más seguro" así, tan seguro y confiado añadí un: De hecho, para mi es el Sistema Operativo más seguro del mercado. Y me quedé más ancho que largo. Ahí ya es cuando podrías a comentar un montón de detalles técnicos que a la gente ni le va ni le viene, y lo primero que te dicen es, eso está muy bien, ¿pero y a mi qué?, ¿me va a funcionar con mi centrino y mi giga de RAM?, ¿pero por qué consume tantos recursos? Entonces les cuentas que sí, consume más recursos, pero es por que es más rápido, acude menos al disco duro, etc. Y ya parece que fruncen menos el ceño, luego saltan los rumores, ¿peró podré escuchar música mp3?, ¿podré ver pelis DivX?, podré jugar "underground" :-p y demás cositas que se han escuchado, lo desmientes todo y te quedas como Dios, diciendo, ya los he convencido, ¡ni que fuera ese mi trabajo!, pero ves una campaña anti-Vista en todos sitios, por muchos compañeros de profesión y ya te sale la vena defensora justiciera...

Más tarde ya pensando todo esto, me acordaba de que, en Windows Vista NO HAY PANTALLITAS AZULES, si si, como lo oyes, no las hay!, ¿por qué? Por que en Microsoft tuvieron que decir algo así como, ¡ya está bien! y dijeron, ¿por que no modificamos el Kernel? hagámoslo multicapa (ya eran XP) con diferente nivel de privilegios (no todo se ejecuta como admin), de tal forma que tengamos los User Drivers y los Kernel Drivers, sólo los drivers del Kernel pueden bloquear a Vista, así por ejemplo si tu tarjeta gráfica peta, notarás un parpadeo en la pantalla y se restablecerá el sistema (siempre y cuando sea físicamente posible), pero el driver de la tarjeta gráfica no bloqueará el PC, como me pasó 1000 veces en el Warcraft con Windows XP. Si a los Kernel Drivers le añadimos que deben estar firmados digitalmente para poder ejecutarse en ese modo (solo obligatorio para Vista 64 bits, en Vista 32 se decicidió que no sería necesario por razones de compatibilidad con aplicaciones antiguas, etc.) tenemos una ejecución de código en el Kernel bastante estable. No obstante diré que SÍ, SÍ HAY PANTALLITAS AZULES! Y es que el otro día pude ver un primer parpadeo (tarjeta gráfica), un segundo parpadeo (esta vez no se ni lo que era), y al tercero no se restableció, es una de esas cosas que solo ocurren una vez al año pero que me valió para decir, no, Vista no es perfecto! (estaría bueno) pero leñe, ¡ya los echaba de menos!

Salu2!

PD: ¡Por cierto, Champiñones or not Champiñones!


OeeeeeeeeOeeeeOeeeeOeeeee, OeeeeeeeeeeeeeeeOeeeeeeeeeeeeee!!!

27 de junio de 2008

Holidays!

Mientras un servidor disfruta de sus merecidas vacaciones tras casi 7 meses sin parar, y, a pesar que soy de los que desconectan totalmente, nada de Internet, el movil en silencio encima de la cama, vuelta y vuelve en la playita, mojito por aqui, etc. He de reconocer que hay algo que no puedo abandonar ni en vacaciones, me he comprado una aventura gráfica, de esas de toda la vida al estilo Monkey Island, es Jack Keane:

¿Como narices muevo estos troncos?

Es bastante entretenida y para todos los públicos, de vez en cuando introduce tonterias modernas como el "por qué no te callas" que se le suelta al sumo sacerdote de un poblado (¡me estaba insultando!). A parte de eso y tras 6 años compruebo como el trabajo no es compatible con tener unos stats decentes en Warcraft III, el Exp-Decay y la pérdida de skill son un clamor popular, aun así todavía estoy en el top 500 (casi) de random team en Northrend (Europa). Suficiente para apalear guirys en los ratos libres :D


Y mientras acabo estas mini-vacaciones, espero que Starcraft II salga por fín, y espero la extra para adjudicarme por fin un VAIO, en el mundo de la actualidad tecnológica Bill Gates está a punto de decir el esperado Adios (Gracias por todo Bill, espero dedicarte un post como creo que te mereces), Telefónica lanzará el IPhone en 15 dias, con 300.000 peticiones ni más ni menos por adelantado (1 punto para los pitufos!!) y los chicos de Firefox baten el record de descargas para su última versión en el Download Day (eso me suena a Indepence Day y Will Smith matando marcianitos!), que por cierto me ha encantado y por fin la he visto funcional y estéticamente -de seguridad no hablo- a la altura de mi querido Explorer 7 (todavía no he probado la beta del 8!! ), estas son las principales novedades de las que uno se entera como digo estando desconectado del mundo, supongo que habrán aparecido las N vulnerabilidades nuevas de turno, la nueva ISO 27005 ya estará compartida en algún sitio P2P y X empresas habrán perdido los datos de Y empleados.


Pero todo eso para los que os habeis quedado sosteniendo el país mientras otros estamos al sol, vuelta y vuelta, ola va y ola viene, y lo que es más importante. Disfrutando de la EUROCOPA.

GG Spain!!

Claro que PODEMOS!!

18 de junio de 2008

Malware para todos

En mi escaso tiempo (¡Este viernes comienzo las vacaciones!) no puedo más que trasladaros alguna de las novedades en el mundo de la seguridad, en PandaLabs han publicado una de estas aplicaciones que te genera un virus automáticamente, hemos visto kits de phising, kits para troyanos, esta genera un Gusano a partir de un ejecutable cualquiera:



Más información en el blog de panda, estas cosas, como todo en seguridad, es para conocerlas, pero no las useis!! (Voz de madre cuando te vas de fiesta y sabe que volveras al otro dia).

Próximamente, seguridad en sistemas Windows (XP, Vista).

Salu2!

11 de junio de 2008

Un Proyecto Securizado!!

Adjunto a continuación el Análisis de Riesgos realizado por el equipo de GigASoft allá por el 2006 en las prácticas de Ingeniería del Software 2. Maestro de funciones, mi ex compi Gustavo Adolfo, eso era una visión securizada!


Rango de magnitud: 7
Descripción e impacto del riesgo: Fiabilidad de los equipos usados, paralización del proyecto.
Estrategia: Equiparnos con nuevos equipos.

Rango de magnitud: 5
Descripción e impacto del riesgo: Competencia con otros grupos de practicas, puede afectar a la motivación del equipo.
Estrategia: Motivar de forma extra al grupo, ademas de convencer al cliente que nuestro equipo es el mas fiable.

Rango de magnitud: 3
Descripción e impacto del riesgo: Conocimientos escasos sobre la utilización de la herramienta Racional Rose, imprescindible en el desarrollo del proyecto.
Estrategia: Sesiones de practicas,mas sesiones previas al inicio del proyecto.

Rango de magnitud: 3
Descripción e impacto del riesgo: Conocimientos bajos del equipo en tecnologías inalámbricas, la conexión a Internet es muy importante en el desarrollo del proyecto.
Estrategia: Sesiones sobre como conectarse a la VLAN de la UCLM.

Rango de magnitud: 3
Descripción e impacto del riesgo: Falta de tiempo de los componentes del equipo debido a sus actividades fuera del proyecto, lo que compromete seriamente la fecha de entrega.
Estrategia: Sesiones extra bien remuneradas económicamente.

Rango de magnitud: 2
Descripción e impacto del riesgo: Falta de un lugar apropiado de trabajo,con las consecuencias obvias en el curso del proyecto.
Estrategia: Solicitar por varias personas del equipo las salas de estudio de la biblioteca de la universidad.

Rango de magnitud: 6
Descripción e impacto del riesgo: Consecuencias de los jueves en algunos miembros del equipo.
Estrategia: Concienciar de la importancia del proyecto en la nota final de la asignatura.

Rango de magnitud: 7
Descripción e impacto del riesgo: Manejo de un gran volumen de datos en formato engorroso.
Estrategia: Gran cantidad de horas extras.

Rango de magnitud: 6
Descripción e impacto del riesgo: Dificultad en la puesta en punto de los servidores utilizados en la aplicación.
Estrategia: Utilización de abundante documentación en internet.

Con análisis como estos quien quiere CRAMM, Magerit, etc. :D

Salu2 al Team GigaSoft!

8 de junio de 2008

VRRP

El otro día tuve la oportunidad de ver soluciones de Alta Disponibilidad, entonces fue cuando me comentaron si conocía cierto protocolo llamado VRRP: Virtual Redundance Route Protocol. Esto es algo así como una solución de alta disponibilidad por infraestructura donde todo está duplicado físicamente, aunque esto según el modelo de implantación puede cambiar, pueden estar duplicados los router, los switch, los firewall, los servidores, etc. Por ejemplo la siguiente imagen muestra como la gente de Cisco ofrece soluciones de este tipo para un router virtual (VPN 3000).





Si nos fijamos en lo que hacen los de Nokia con sus Firewall Checkpoint tenemos prácticamente lo mismo, en este caso lo que se duplica es el Firewall (cada uno con un ISP) pero después los servicios que cuelgan detrás no están redundados. ¿Cómo funciona este protocolo exactamente? Si nos vamos a la “interesante” RFC 3678 (digo Interesante por que he de confesar que necesito una fuerte necesidad y/ò aburrimiento para ponerme a leer estas cosas) podemos ver que un dispositivo maestro enviará periódicamente paquetes VRRP a todos los dispositivos del mismo nivel, es decir podemos redundar 1, 2, 3 y todas las veces que queramos. Los paquetes VRRP se encapsulan en paquetes IP (seguimos en el nivel 3 de la arquitectura OSI) que son enviados por multicast, en esa información el Master informa de que está vivo, la prioridad (máximo 255), Interfaz Virtual, tiempo entre mensajes y los campos habituales de todo paquete IP.



La teoría nos dice que, en la habitual Alta Disponibilidad con 2 dispositivos 1 estará UP (Master) y el otro Down (Slave). Si lo pensamos bien eso implicaría tener 1 máquina comprada, pagada, mantenida, etc. sin sacarle rendimiento alguno en el 99.9% del tiempo (se presupone). ¿Cómo explotar mejor este protocolo, conseguir Alta Disponibilidad y no tener máquinas ociosas? Esto es lo que en el negocio se llama como Alta Disponiblidad Activo – Activo, que viene a significar que ambos Firewall se encontrarán trabajando a unos niveles de carga estimados en un 50%, de esta forma si uno de ellos falla, se colapsa, es atacado o le ocurre cualquier mal que os podáis imaginar, el otro podrá asumir el servicio sin verse sobrepasado (50 + 50 = “100”).


Si bien esta redundancia es virtual en muchos casos (1 Firewall físico, 2 virtuales) suele venir apoyada por un balanceador que se ocupará de distribuir las peticiones a cada uno de los Firewall. Ni que decir tiene que las políticas de seguridad deben ser las mismas en ambos dispositivos, idem con el protocolo de enrutamiento (RIPv2 es una buena opción).

Ahora bien, si queremos llegar un poco más lejos y especializar estos dispositivos podemos usar el modo pasivo / activo. Esto es, por defecto ciertos servicios irán a la máquina FW1, y por ejemplo las peticiones al SQL Server irán al FW2, el balanceador estará configurado de esta forma, en caso de que la petición no esté especificada irá alternándose de uno a otro. Ahora bien, ¿y si FW2 falla?, no pasa nada, cuando FW1 se entere (que será exactamente cuando el tiempo de refresco expire sin novedad) comenzará a asumir las peticiones SQL Server y –si todo funciona como debería- asumirá la carga de ese servicio (u otros) hasta que FW2 se recupere, es lo que se llama Firewall Sync, las 2 máquinas conocerán en todo momento como está la otra, se podrán intercambiar las peticiones según el estado del tráfico, conocerán las rutas de encaminamiento, etc. etc.

Ni que decir tiene que estas soluciones, si los estudios de rendimiento / capacidad son acertados, desde el punto de vista de la seguridad pueden ser muy buenas, y del negocio podrá proporcionarnos confianza para comprometernos con SLAs del 99.9%.





Salu2!!

2 de junio de 2008

Itilizado!



Mientras mi blog aparece , desaparece, y vuelve a aparecer en el google, que parece que las arañas de búsqueda juegan a las cartas con mi URL, eso que uno hace uso de las Herramientas para Webmaster que google ofrece a los desarrolladores y que en teoría ayudan a dar más visibilidad a tu página, además de añadir la url directamente en el buscador, etc. etc. pero por que necesita unas horas (ellos dicen 24-48), por que no pueden verificar la página o por que las churras son merinas, el blog patas arriba y la casa sin barrer.

No obstante y recien terminada una semana frenética donde en 16 horas me han metido el IDIL Foundations ahí a presión, y si escuece que escueza. Voy a hablaros un poco de mis impresiones al hacer este curso, y es que la "Guía de Buenas prácticas" en el uso de las TIC en la empresa, tiene su cosa, por todos lados me habían hablado de lo facil y sencillo que era el curso, de que el examen era una chorrada (40 preguntas de las que tienes que acertar 26) bla bla bla

El caso es que pasar laboralmente 13 horas fuera de tu casa 4 dias va quemando neuronas, sobre todo si uno se encuentra en una época de "alta demanda", te hablan de Gestión de Procesos, Gestión de Problemas, Incidentes, Géstión de la Continuidad etc. etc. y te das cuenta que en ITIL v2 la Gestión de la Seguridad ya queda relegada a un... ¡Anexo! Es decir, que desde el punto de vista del negocio la Seguridad no son más que cuatro requisitos a añadir a un SLA que se cumplan o no da igual siempre y cuando todo marche a las mil maravillas.

Mi precipitada conclusión es,,, ¿Es que no damos dinero?, ¿Es que siempre nos verán como un requisito a cumplir, como un trámite a salvar, etc. Claro si la Guía de Buenas prácticas de las TIC no nos ve más que como un Anexo (en ITIL v3) no me paré a mirar, no me extrañe que en alguna reunión un Jefe de Proyecto me salte con un... "Es que en seguridad siempre sois un siempre exagerados", ¿Quién se cree que el 80% de los ataques son internos?, Y entonces tranquilamente no puedes más que relajarte explicando cómo la Seguridad proporciona una Valor Añadido, aportando calidad a su producto y evitando a su empresa pérdidas millonarias casi a diario.

Volviendo a ITIL y a pesar de que lo dí todo, creo que me quedaré en un casi, no pude entender preguntas donde decían que ITIL mejoraba la moral a los empleados, ¿que qué qué? Ahí es donde te preguntas si estos ingleses son muy felices al estar itilizados o se están cachondeando de ti, indudablemente que esta guía tiene sus cosas buenas, acerca a los frikys (y no tanto) a los $$$, algo que indudablemente les hace falta a ambos, si es que se desea que la empresa reme en la misma dirección (aunque suene a slogan presidencial).

Para quien le interese, después del Foundations hay toda una pirámide hasta llegar al Service Manager:



Salu2!