La noticia completa, junto con trucos, tutoriales y más en www.faq-mac.com
Jorge Alberto Mussuto Sr.
Somewhere in Massachusetts ®
Wednesday, April 28, 2010
Consejos para contratar ADSL con garantías
Consejos para contratar ADSL con garantías: "Contratar ADSL cada vez es más difícil y en ocasiones muchos usuarios se sienten literalmente 'estafados' por los comerciales que llaman a todas horas con el objetivo de vender una conexión de banda ancha. A continuación vamos a explicar resumidamente lo más importante para contratar ADSL con garantías. Más información en ADSL Zone
La noticia completa, junto con trucos, tutoriales y más en www.faq-mac.com
La noticia completa, junto con trucos, tutoriales y más en www.faq-mac.com
Bad Behaviour: Un enfoque diferente del control anti spam
Bad Behaviour: Un enfoque diferente del control anti spam: "
Desde siempre el spam ha sido un problema para el buen funcionamiento de cualquier proyecto web. Tampoco es un secreto que uno de los mayores factores de generación de spam son los robots que recorren la totalidad de multitud de webs dejando huella de su paso en forma de, generalmente, comentarios y mensajes con contenido malicioso.
Pero, ¿qué medidas fiables tenemos para luchar contra el problema del spam? Muchos se basan en hacer que el usuario introduzca un texto o resultado de operación matemática, incluyéndolo de forma que una persona lo pueda procesar fácilmente pero no así un robot; estos son los conocidos Captchas. En este caso estamos dejando al usuario malintencionado (o robot de spam) entrar a nuestra web, e intentamos evitar que interactúe con ella.
Esta alternativa que les presentamos, llamada Bad Behaviour por razones obvias, partiendo de la base de la lucha contra el spam va un paso más allá, impidiendo a estos usuarios (o robots) maliciosos la entrada a su página web objetivo. Esto está muy bien pero, ¿cómo funciona Bad Behaviour? Es muy sencillo. La aplicación recibe cada petición realizada a su entorno web y comprueba diversos parámetros de la misma para detectar si la petición la ha realizado un usuario legítimo y no se trata de ningún robot ni usuario malintencionado. En caso de que encuentre una petición de este tipo, devuelve un simple error del tipo “403 Bad Behaviour”, en lugar del contenido original de la página solicitada.
Entrando más al detalle, este proceso se realiza de dos formas claramente diferenciadas. Por una parte la aplicación contiene un listado de posibles elementos o comportamientos que pueden convertir una petición en sospechosa de ser maliciosa (por ejemplo cabeceras erróneas, como la User-Agent, o peticiones que no respetan el contenido del fichero robots.txt en caso de que lo tengamos configurado), y por otra rechaza peticiones de orígenes maliciosos al conectarse a una base de datos pública de IPs maliciosas constantemente actualizada.
Este proceso puede parecer lento y su demanda de recursos alta, pero se ha demostrado que puede llegar a introducir una mejora en el tiempo de carga de las webs ya que al bloquear los accesos malintencionados se dejan de enviar páginas web completas (con todos sus elementos y contenido multimedia) y se envía un simple mensaje de error en su lugar, lo que reduce considerablemente el ancho de banda consumido por estas peticiones y la carga de los servidores.
En lo que respecta a la instalación, esta aplicación se creó inicialmente como una extensión para Wordpress (motor que da vida a este mismo blog), pero su diseño modular le permite adaptarse a prácticamente cualquier aplicación basada en PHP. Actualmente existen instrucciones de instalación para otras de las aplicaciones web más comunes como MediaWiki, Drupal, DokuWiki y Geeklog, e incluso algunos CMS lo incluyen en su instalación por defecto (es el caso de LifeType).
Si no la conocían, espero que la prueben y nos dejen sus comentarios sobre la funcionalidad de esta aplicación y su funcionamiento.
Tuesday, April 27, 2010
False friends
Apr 26, 2010 (yesterday)False friendsfrom Security Art Work by Damià Soler
Siguiendo con la entrada sobre la inseguridad de sentirse seguro, me gustaría ahora describirles 3 tecnologías de uso habitual que dan una falsa sensación de seguridad:
- Antivirus: Siempre que le explico a algún no especialista que es un antivirus, le explico que no es un “antivirus”. Es muy sencillo; un antivirus es la forma abreviada (o comercial) de decir que es un antivirus de virus conocidos. Sí, existen módulos heurísticos y otras historias de ciencia ficción, pero la realidad es que los virus nuevos no son detectados por los antivirus hasta que son conocidos. Esto implica que si tenemos la mala suerte de toparnos con un virus de relativa novedad no conocido por nuestro antivirus, éste será de poca utilidad. Obviamente, aunque el antivirus que utilizamos lo reconozca, si el nuestro no se encuentra actualizado, la consecuencia es la misma, de ahí la importancia de actualizar las firmas del AV.
- IDS de red: Los IDS tienen el mismo problema que los antivirus: son “IDSs de patrones conocidos”, pero son mucho peores que los AV ya que por lo general no toman medidas inmediatas, sino que se limitan a registrar e informar. Además, existen numerosas ocasiones en las que están “ciegos”, como por ejemplo en el tráfico cifrado en el que funcionan todas nuestras web corporativas importantes. Además únicamente registran intrusos en base a patrones “técnicos”, pero no a nivel de “negocio”, de modo que alguien puede estar haciendo transferencias bancarias de forma masiva, y el IDS sólo vera un usuario utilizando la aplicación de transferencias.
- Los auditores de vulnerabilidades (Nessus / OpenVAS / etc): Volvemos a lo mismo. No podemos estar tranquilos con haber pasado un scanner de vulnerabilidades y ver que todo queda corregido, dado que éstos únicamente lo son de vulnerabilidades conocidas y en su gran mayoría de software conocido, por lo que todos los desarrollos adhoc pueden ser completamente vulnerables a ataques de todo tipo y pasar inadvertidos. Es cierto que en este campo las herramientas están evolucionando y cada vez son mas capaces de analizar desarrollos desconocidos, pero cualquier auditoria automática de este tipo debería incluir un disclaimer en el que se indique que la herramienta sólo comprueba vulnerabilidades en versiones y configuraciones de programas conocidos, por lo que no incluye la detección de problemas en desarrollos propios, programas no conocidos o partes no públicas que pueden ser facilmente explotables por usuarios maliciosos. De aquí la necesidad e importancia de que una auditoría de este tipo sea complementada con auditorías manuales, tanto de los desarrollos a nivel de código, como a nivel de interacción con el usuario final.
Dicho esto, ¿cómo actuar en estos casos? El planteamiento es muy sencillo: se debe trabajar con el supuesto de que las herramientas no existen:
- Antivirus: Debemos actuar como si no se dispusiera de antivirus. En un entorno de oficina, por ejemplo, no ejecutar programas de los que no se conozca el origen, limitar la ejecución de binarios y código externo, eliminar los ejecutables que llegan por correo electrónico, restringir la descarga de ejecutables a través del proxy web, y deshabilitar el acceso a programas en unidades CD/USB.
- Detección de intrusos de red: Al IDS de red le pasan desapercibidas muchas cosas, y potencialmente puede generar un gran número de falsos positivos. No obstante, si conoce su negocio y sus aplicaciones seguro que sabe dónde mirar para detectar cosas extrañas; trate de añadir IDS de host, o integrados dentro de la lógica del negocio, ya que serán mucho más efectivos. Y por supuesto no los utilice como excusa para no tener en perfecto estado de revista la seguridad de sus servidores.
- Auditorías de vulnerabilidades: Como se ha comentado, no es suficiente con los análisis que se limitan a los datos de la caja negra. Debemos revisar de manera no exclusivamente automática las actualizaciones de versiones de los programas, su funcionamiento cuando interactúan con el usuario, la configuración de las aplicaciones con respecto a la seguridad (usando guías de buenas practicas, o mediante el análisis de todas sus funcionalidades), y por supuesto controlar el desarrollo desde su orígenes, incluyendo la seguridad en todo el ciclo. La idea es que el hecho de que la herramienta de auditoría que utilizamos no haya encontrado un problema de seguridad no significa que no exista, e incluso puede estar más cerca de lo que pensamos.
Entonces, ¿dejamos de utilizar estas incompletas e imperfectas medidas de seguridad? Repasemos de nuevo los tres puntos:
- Antivirus: Hoy en día, en ninguna cabeza cabe el no disponer de antivirus en cualquier entorno Windows, así que además de aplicar las prácticas seguras descritas previamente, hay que asegurarse de su correcta actualización de este, para que al menos esté al día de los virus conocidos. Es decir, que obviamente sí lo debemos de tener.
- IDS: Mi opinion sobre los IDS (no compartida por muchos miembros de este blog) es que son bastante inútiles (esta entrada que va un poco en esa línea), y si no tienen funcionalidad automática de IPS sirven para muy poco (aunque eso puede generar otro tipo de problemas diferentes). En todo caso, la mayor utilidad que le veo a un IDS es la de detectar malware interno poco sofisticado, es decir intrusos internos, con lo que sí pueden ser positivos, aunque el objetivo debería ser que no llegaran dentro. También puede ser útil como herramienta de diagnóstico, para buscar algún patrón concreto en difusión amplia de malware. En definitiva, para ciertas finalidades contar con un IDS es sumamente interesante.
- Auditor de vulnerabilidades: Aunque sean herramientas imperfectas, por su bajo coste de ejecución (se realiza de manera centralizada) pueden ser un primer paso para auditar una red. Aunque es verdad que cada vez son mas inteligentes y son mas capaces de auditar desarrollos genéricos (sqlmap es una maravilla), siguen siendo potencialmente peligrosas en cuanto a que la visión de auditoria de caja negra dista mucho de ser todo lo completa que la puede realizar un “humano” y puede generar una percepción de seguridad inexistente, además de ser infinitamente mas incompleta que una auditoria de caja blanca.
Como creo que era de esperar, usen todas ellas, pero tengan en cuenta siempre los disclaimers correspondientes y no se queden tranquilos con estos “false friends“. En una entrada posterior veremos qué pasa con las certificaciones: ¿”false friends“, o no?
Siguiendo con la entrada sobre la inseguridad de sentirse seguro, me gustaría ahora describirles 3 tecnologías de uso habitual que dan una falsa sensación de seguridad:
- Antivirus: Siempre que le explico a algún no especialista que es un antivirus, le explico que no es un “antivirus”. Es muy sencillo; un antivirus es la forma abreviada (o comercial) de decir que es un antivirus de virus conocidos. Sí, existen módulos heurísticos y otras historias de ciencia ficción, pero la realidad es que los virus nuevos no son detectados por los antivirus hasta que son conocidos. Esto implica que si tenemos la mala suerte de toparnos con un virus de relativa novedad no conocido por nuestro antivirus, éste será de poca utilidad. Obviamente, aunque el antivirus que utilizamos lo reconozca, si el nuestro no se encuentra actualizado, la consecuencia es la misma, de ahí la importancia de actualizar las firmas del AV.
- IDS de red: Los IDS tienen el mismo problema que los antivirus: son “IDSs de patrones conocidos”, pero son mucho peores que los AV ya que por lo general no toman medidas inmediatas, sino que se limitan a registrar e informar. Además, existen numerosas ocasiones en las que están “ciegos”, como por ejemplo en el tráfico cifrado en el que funcionan todas nuestras web corporativas importantes. Además únicamente registran intrusos en base a patrones “técnicos”, pero no a nivel de “negocio”, de modo que alguien puede estar haciendo transferencias bancarias de forma masiva, y el IDS sólo vera un usuario utilizando la aplicación de transferencias.
- Los auditores de vulnerabilidades (Nessus / OpenVAS / etc): Volvemos a lo mismo. No podemos estar tranquilos con haber pasado un scanner de vulnerabilidades y ver que todo queda corregido, dado que éstos únicamente lo son de vulnerabilidades conocidas y en su gran mayoría de software conocido, por lo que todos los desarrollos adhoc pueden ser completamente vulnerables a ataques de todo tipo y pasar inadvertidos. Es cierto que en este campo las herramientas están evolucionando y cada vez son mas capaces de analizar desarrollos desconocidos, pero cualquier auditoria automática de este tipo debería incluir un disclaimer en el que se indique que la herramienta sólo comprueba vulnerabilidades en versiones y configuraciones de programas conocidos, por lo que no incluye la detección de problemas en desarrollos propios, programas no conocidos o partes no públicas que pueden ser facilmente explotables por usuarios maliciosos. De aquí la necesidad e importancia de que una auditoría de este tipo sea complementada con auditorías manuales, tanto de los desarrollos a nivel de código, como a nivel de interacción con el usuario final.
Dicho esto, ¿cómo actuar en estos casos? El planteamiento es muy sencillo: se debe trabajar con el supuesto de que las herramientas no existen:
- Antivirus: Debemos actuar como si no se dispusiera de antivirus. En un entorno de oficina, por ejemplo, no ejecutar programas de los que no se conozca el origen, limitar la ejecución de binarios y código externo, eliminar los ejecutables que llegan por correo electrónico, restringir la descarga de ejecutables a través del proxy web, y deshabilitar el acceso a programas en unidades CD/USB.
- Detección de intrusos de red: Al IDS de red le pasan desapercibidas muchas cosas, y potencialmente puede generar un gran número de falsos positivos. No obstante, si conoce su negocio y sus aplicaciones seguro que sabe dónde mirar para detectar cosas extrañas; trate de añadir IDS de host, o integrados dentro de la lógica del negocio, ya que serán mucho más efectivos. Y por supuesto no los utilice como excusa para no tener en perfecto estado de revista la seguridad de sus servidores.
- Auditorías de vulnerabilidades: Como se ha comentado, no es suficiente con los análisis que se limitan a los datos de la caja negra. Debemos revisar de manera no exclusivamente automática las actualizaciones de versiones de los programas, su funcionamiento cuando interactúan con el usuario, la configuración de las aplicaciones con respecto a la seguridad (usando guías de buenas practicas, o mediante el análisis de todas sus funcionalidades), y por supuesto controlar el desarrollo desde su orígenes, incluyendo la seguridad en todo el ciclo. La idea es que el hecho de que la herramienta de auditoría que utilizamos no haya encontrado un problema de seguridad no significa que no exista, e incluso puede estar más cerca de lo que pensamos.
Entonces, ¿dejamos de utilizar estas incompletas e imperfectas medidas de seguridad? Repasemos de nuevo los tres puntos:
- Antivirus: Hoy en día, en ninguna cabeza cabe el no disponer de antivirus en cualquier entorno Windows, así que además de aplicar las prácticas seguras descritas previamente, hay que asegurarse de su correcta actualización de este, para que al menos esté al día de los virus conocidos. Es decir, que obviamente sí lo debemos de tener.
- IDS: Mi opinion sobre los IDS (no compartida por muchos miembros de este blog) es que son bastante inútiles (esta entrada que va un poco en esa línea), y si no tienen funcionalidad automática de IPS sirven para muy poco (aunque eso puede generar otro tipo de problemas diferentes). En todo caso, la mayor utilidad que le veo a un IDS es la de detectar malware interno poco sofisticado, es decir intrusos internos, con lo que sí pueden ser positivos, aunque el objetivo debería ser que no llegaran dentro. También puede ser útil como herramienta de diagnóstico, para buscar algún patrón concreto en difusión amplia de malware. En definitiva, para ciertas finalidades contar con un IDS es sumamente interesante.
- Auditor de vulnerabilidades: Aunque sean herramientas imperfectas, por su bajo coste de ejecución (se realiza de manera centralizada) pueden ser un primer paso para auditar una red. Aunque es verdad que cada vez son mas inteligentes y son mas capaces de auditar desarrollos genéricos (sqlmap es una maravilla), siguen siendo potencialmente peligrosas en cuanto a que la visión de auditoria de caja negra dista mucho de ser todo lo completa que la puede realizar un “humano” y puede generar una percepción de seguridad inexistente, además de ser infinitamente mas incompleta que una auditoria de caja blanca.
Como creo que era de esperar, usen todas ellas, pero tengan en cuenta siempre los disclaimers correspondientes y no se queden tranquilos con estos “false friends“. En una entrada posterior veremos qué pasa con las certificaciones: ¿”false friends“, o no?
Monday, April 26, 2010
De la inestabilidad del formato NTFS sobre Mac
De la inestabilidad del formato NTFS sobre Mac: "César nos pregunta: Muy buenas. Lo primero daros la enhorabuena a todos los que haceis Faq-Mac, es un sitio fantástico para todo.
Os cuento mi problema: hace cosa de 2 ó 3 semanas me cambié a MAC (tengo un MacBook Pro de 15 pulgadas, pero no de los últimos que acaban de sacar) y me ha pasado algo grave. En windows todos los archivos importantes que manejaba como series, películas, documentos word, fotos, etc los salvaba en un disco duro portátil de Lacie de 1 TB (con formato NTFS), así tenía el disco duro prácticamente vacío y el ordenador iba mejor. Pues bien, una vez en MAC, conecté el Lacie y me di cuenta de lo que tanto me habian avisado, que solo lee el formato NTFS pero no deja la escritura.
Así que busqué alguna utilidad para poder pasar datos al Lacie, y lo primero que instalé...
La noticia completa, junto con trucos, tutoriales y más en www.faq-mac.com
Os cuento mi problema: hace cosa de 2 ó 3 semanas me cambié a MAC (tengo un MacBook Pro de 15 pulgadas, pero no de los últimos que acaban de sacar) y me ha pasado algo grave. En windows todos los archivos importantes que manejaba como series, películas, documentos word, fotos, etc los salvaba en un disco duro portátil de Lacie de 1 TB (con formato NTFS), así tenía el disco duro prácticamente vacío y el ordenador iba mejor. Pues bien, una vez en MAC, conecté el Lacie y me di cuenta de lo que tanto me habian avisado, que solo lee el formato NTFS pero no deja la escritura.
Así que busqué alguna utilidad para poder pasar datos al Lacie, y lo primero que instalé...
La noticia completa, junto con trucos, tutoriales y más en www.faq-mac.com
Steve Jobs dice "no" a la certificación de aplicaciones en Mac OS X 10.7
Steve Jobs dice "no" a la certificación de aplicaciones en Mac OS X 10.7: "Este viernes pasado, un artículo concebido como una broma, saltó de la web de Rixtep a Internet. El artículo, relacionado con un nuevo sistema de trabajo entre los desarrolladores y Apple que implicaba la certificación de aplicaciones a través de una tienda de software para Mac, era una noticia importante y mientras una parte de esta redacción preparaba la noticia y la publicaba, debido a su importancia, otra parte trataba de confirmar la veracidad de la noticia contrastándolas con otras fuentes y contactando con personas familiarizadas con los asuntos de desarrollo de Apple. Mientras se confirmaba la noticia, la publicamos con una nota al final indicando que estábamos tratando de confirmar con terceros la veracidad del asunto. Media hora después, tras no obtener ninguna confirmación y...
La noticia completa, junto con trucos, tutoriales y más en www.faq-mac.com
La noticia completa, junto con trucos, tutoriales y más en www.faq-mac.com
¿Cuán gratis es un antivirus gratuito?
¿Cuán gratis es un antivirus gratuito?: "El siguiente post es una traducción del texto realizado por Urban Schrott, Analista de Seguridad de ESET Irlanda, y publicado en el blog de ESET en inglés sobre el software de seguridad gratuito. Les recuerdo que ESET pone a disposición de los usuarios ESET Online Scanner como servicio gratuito a la comunidad.
Si puede no pagar, [...]"
Si puede no pagar, [...]"
Sunday, April 25, 2010
Troyano para Mac OS
Troyano para Mac OS: "El objetivo principal del malware actual es obtener dinero, y por ende, el desarrollo del mismo se focaliza en las plataformas de Microsoft por ser masivo. Sin embargo, el malware forma parte de una industria donde constantemente se busca ampliar el campo de cobertura, y en función de esto cada vez es más habitual encontrar códigos maliciosos desarrollados para otros sistemas operativos.
Este es el caso de un troyano desarrollado en lenguaje de programación RealBasic para Mac OS, detectado como OSX/HellRTS o Pinhead.
El troyano está constituido por cuatro partes:
Contenido completo en ESET
Este es el caso de un troyano desarrollado en lenguaje de programación RealBasic para Mac OS, detectado como OSX/HellRTS o Pinhead.
El troyano está constituido por cuatro partes:
- Un servidor: que es el propio troyano, el que infectará el equipo víctima
- Un cliente: que es utilizado para controlar y manipular el equipo víctima
- Un configurador: mediante el cual se establecerán los parámetros del servidor
- Un SMTP Grabber: un motor SMTP que permite enviar correos electrónicos con la información obtenida desde el cliente
Contenido completo en ESET
Saturday, April 24, 2010
Health Care Reform Infographic – Changes Coming!
Health Care Reform Infographic – Changes Coming!: "
While I rarely try to comment on politics, I was recently sent this graphic which outlines the impending changes to the Health Care reform that was signed into law a few months ago.
For most people, health insurance plays a big role in personal finances (sometimes good and sometimes bad). Courtney and I currently paid $138/month for high-deductible insurance (it’s either $2,000 or $3,000 deductible). We basically just want to cover catastrophic-type events.
Personally, I’m not really for or against these changes. I won’t be at any tea parties, but I didn’t cheer in victory when Obama signed it into law. The biggest concern for me is children. I think minors under 18 should be fully covered no matter what. No pre-existing condition garbage. This includes pregnant women, as well.
Beyond children, I’m not such a fan of mandated health insurance. I think adults should have that responsibility fall upon themselves. I would be in favor of having a government sponsored option and very strict penalties on abuse from insurance companies, though.
What are your opinions on the Health Care reform changes?
Leave the sensational politics on the sideline please. I don’t want to hear about socialism, communists, or racism.
I’m more interested in the specific changes and how they may/may not affect you. Do you see these changes affecting your finances (besides a potentially increased tax burden)? Would you personally take advantage of any of the above?
Interested to hear your thoughts!
Note: Thanks to HealthInsuranceProviders.com, a site where you can compare health insurance options, for allowing their infographic to be shared!
Mauro Giuliani · Concerti per Chitarra · Quintetti op. 65 e op. 102
Mauro Giuliani · Concerti per Chitarra · Quintetti op. 65 e op. 102: "
Mauro Giuliani · (1781-1829)
Concerto n. 1 in la maggiore per chitarra e orchestra op. 30
Concerto n. 3 in fa maggiore per chitarra terzina e orchestra op. 70
Concerto n. 2 in la maggiore per chitarra e orchestra op. 36
Gran Quintetto per chitarra, due violini, viola e viloncello op. 65
Introduzione e variazioni sopra la Cavatina 'Nune perdonami se in tal istante' op. 102
Mauro Giuliani · (1781-1829)
Concerto n. 1 in la maggiore per chitarra e orchestra op. 30
Concerto n. 3 in fa maggiore per chitarra terzina e orchestra op. 70
Concerto n. 2 in la maggiore per chitarra e orchestra op. 36
Gran Quintetto per chitarra, due violini, viola e viloncello op. 65
Introduzione e variazioni sopra la Cavatina 'Nune perdonami se in tal istante' op. 102
2 CDs · MP3 HQ · 186 MB
The Monk Institute Combo: The Future Moderns
The Monk Institute Combo: The Future Moderns: "
by Patrick Jarenwattananon
The horns of the current Monk Institute combo: (L-R) Godwin Louis, Billy Buss and Matt Marantz. Hogyu Hwang plays bass. (Patrick Jarenwattananon/NPR)
New Orleans has a history of nurturing amazing young musicians, reared by multiple generations of mentors. But jazz education is, more and more, moving into the university and conservatory, with no signs of stopping. So it's appropriate that as of 2007, the cradle of jazz also has a world-class college program of its own.
When the Thelonious Monk Institute of Jazz officially relocated to New Orleans, it brought a unique, top-notch performance program with it. Every two years, the Institute selects a small group of musicians for an intensive, all-expenses-paid scholarship. They work together as a combo, under the eye of Terence Blanchard, and emerge with a Master's Degree. What's especially remarkable is that Terence knows how to pick 'em: recent alumni include buzzed-about cats such as Ambrose Akinmusire, Walter Smith III, Joe Sanders, Gretchen Parlato, the entire Lionel Loueke trio ...
As part of the New Orleans Jazz and Heritage Festival, the combo (full personnel found here) played the opening set at the WWOZ Jazz Tent. I didn't hear anyone who struck me as The Future Of Jazz, Now. But I did hear an incredible amount of proficiency within the tradition of progressive hard bop. When some of these folks get their own bands -- and/or move to a bigger scene and start playing with everyone and their mother -- look out.
-----
Related At NPR Music: An NPR story from correspondent John Burnett about the Monk Institute's move -- and its commitment to community education in New Orleans -- in 2007.
Subscribe to:
Comments (Atom)