lunes, diciembre 03, 2007

Creación de LACNOG

Es bueno ver este esfuerzo de la comunidad de operadores de Internet de América Latina. Espero que tenga el mismo éxito que el viejo NANOG.

Anuncio de LACNIC:

El Registro de Direcciones de América Latina y Caribe anuncia la
creación del foro regional de operadores, LACNOG.

Esta iniciativa, desarrollada en conjunto por LACNIC, el NIC México y
el NIC Brasil, tiene como objetivo generar el intercambio de experiencias y debates técnicos sobre asuntos relacionados con la operación de las redes de Internet y está orientado a personas con reponsabilidades técnicas operativas en Proveedores de Servicios de Internet, Universidades y Redes Académicas, Redes de Empresas Privadas y Puntos de Intercambio de Tráfico, entre otros, de la región de América Latina y Caribe.

LACNOG inicialmente será una lista de discusión de libre suscripción,
a la que se puede acceder en http://lacnog.org . Se realizarán actividades presenciales de LACNOG en conjunto con las reuniones anuales de LACNIC.

La creación de LACNOG es un paso más en la consolidación de grupos de
trabajo y comunidades técnicas, que se agrega al éxito de foros como los existentes sobre IPv6, Interconexión Regional y Seguridad.

Los suscriptores de LACNOG podrán expresarse en Español, Portugués o
Inglés.

Para mas información hostmaster@lacnic.net

viernes, noviembre 30, 2007

Facebook Beacon

Mucho se ha dicho sobre la nueva iniciativa de anuncios en línea de Facebook “Beacon” y como los usuarios sienten (sentimos diría yo) que la forma en que fue implementado viola nuestros derechos de la privacidad. Aunque no soy experto en Javascript en este post quiero ver a Beacon desde un punto de vista más técnico. Para saber un poco más en general de beacon puedes checar:

General
Privacidad
Un demo de cómo funciona

Inicialmente tenía la teoría de que Facebook y su “advertiser partner” usaban javascript, cookies y cookies de tercera-persona (third party). Y aunque no tenía la solución de cómo interactuaba el código resulta que estaba en lo correcto. En este post pueden encontrar los pedazos de código y en detalle cómo funcionan e interactúan. Sin embargo a menos de que tengas un buen background de programación en Javascript, el blog puede llegar a resultar en algo parecido a magia negra tecnológica.

Para simplificar un poco y si no le mueves mucho al inglés Beacon funciona de la siguiente manera (extractos tomados de http://www.radiantcore.com/blog/archives/23/11/2007/deconstructingfacebookbeaconjavascript ):

1) El partner incluye un meta tag en el código de HTML de su página
2) En la página llama a llamar “beacon.js”. La entrada se ve como:

script type="text/javascript" src="http://facebook.com/beacon/beacon.js.php?source=5194643289"> /script

El parámetro parece ser el id del parnter

3) El advertiser llama una función “Facebook.publish_action” la cual construye un query que pasa a ”Facebook._send_request”.
4) Todos aquellos familiares con Javascript y HTML sabrán que una cookie otogada por un sitio no puede ser accedida por otro sitio diferente. Al igual que un código de Javascript del sitio A no puede ser accedido por el sitio B. Bueno, pues “Facebook._send_request” construye un iframe y llama a: http://www.facebook.com/beacon/auth_iframe.php.
5) auth_iframe.php es llamado con una serie de parámetros (tomados del query construido anteriormente –punto 3-) y los datos son enviados
6) A partir de aquí FB sabe de tu existencia. Para agregarle un poco más, aunque el post no lo comenta yo supongo que el advertiser ya instaló una cookie con información tuya y FB ya accedió la suya para confirmar tu identidad aunque no estés logueado a FB. Para los curiosos, si acceden beacon,js se darán cuenta que tratará de leer su cookie donde está tu id de login de FB.
7) Después de ésto, varios scripts son llamados. Estos se encargan finalmente de abrir las ventanas donde aceptarás o declinarás que tu información sea compartida en tu perfil de FB (ojo, FB YA tiene la información. Solo confirmas si aparecerá o no en tu sección de noticias).

Lista de los Top 20 Riesgos de Seguridad de acuerdo al SANS Institute

Hace unos días el SANS Institute dio a conocer su listado de los Top 20 riesgos de seguridad. La lista comprende:

Vulnerabilidades en Clientes:
C1. Web Browsers
C2. Office Software
C3. Email Clients
C4. Media Players

Vulnerabilidades en Servidores:
S1. Web Applications
S2. Windows Services
S3. Unix and Mac OS Services
S4. Backup Software
S5. Anti-virus Software
S6. Management Servers
S7. Database Software

Políticas de Seguridad y Personal:
H1. Excessive User Rights and Unauthorized Devices
H2. Phishing/Spear Phishing
H3. Unencrypted Laptops and Removable Media

Abuso de Aplicación:
A1. Instant Messaging
A2. Peer-to-Peer Programs

Dispositivos de Red:
N1. VoIP Servers and Phones

Ataques de Cero-Día:
Z1. Zero Day Attacks

Es interesante la comparación de esta lista con la del 2006. Entre los puntos que el SANS menciona como importantes está la disminución de vulnerabilidades a nivel sistema operativo que lleven a infecciones masivas mediante gusanos informáticos. También reiteran un aumento en las vulnerabilidades en software de usuario como lo son clientes de correo, suites (Office), Mensajeros Instantáneos, Lectores de correo y navegadores. El “Phising” sigue siendo un punto de riesgo importante y ahora más si agregamos las vulnerabilidades en el software del usuario.

Esta lista también demuestra la evolución de la lucha hackers vs. Profesionales de la seguridad. Los servidores, sistemas operativos y equipos de red que fueron los primeros blancos han mostrado una mayor atención por parte de los profesionales de IT y de los vendedores de equipo y software. Esto ha hecho que los blancos no sean tan fáciles de abusar haciendo que los hackers busquen víctimas con mejores retornos de inversión. Y que mejor que los usuarios y el software que usan para lograr su objetivo.

Esta tendencia también ha llevado que aplicaciones como firewalls personales y software anti-virus sean blanco de hackers. Esto con el objetivo de interrumpir su funcionamiento para el usuario final haciendo más sencillo abusar de una aplicación con vulnerabilidades como un lector de correo o un navegador.

Otro punto interesante es la seguridad de laptops con información confidencial y su falta de encriptación. En este sentido nosotros somos los afectados pero la culpa es de la organización que perdió nuestra información. Aquí también se puede ver la evolución de los ataques, antes los hackers atacaban directamente el servicio en línea. Ahora que esto es más complejo de hacer dada el mayor entendimiento de la seguridad por parte de los profesionistas de IT, los hacker voltean a ver a los usuarios que “inocentemente” copian datos confidenciales para trabajar fuera de la oficina como fuente de valiosa información.

El reporte completo del SANS puede accederse aquí y aquí un resumen ejecutivo.

miércoles, noviembre 07, 2007

Social Networks Thoughts

Sorry, this one is in English.

I have been reading tons and tons of news, reports and articles about social networking and how the big players are trying to capitalise their sites through online advertisements. Furthermore I have also read a lot of criticism in how these strategies have been or are going to be implemented, why they are going to fail, privacy concerns and so on. Definitely something is missing, and the one able to find it will be rich.

Some loose ideas, in the last six months I have bought some gadgets, music and books. I am sure that I would not make 90% of those purchases without these tools: RSS and Google reader. But again, the big players have not realised how to exploit that.

jueves, agosto 23, 2007

Gnuwin32

Es una alternativa para tener algunas aplicaciones GNU (Ej: grep, gawk, ls, wget, etc.) sin la necesidad de instalar Cygwin. En mi opinión no es tan poderoso como Cygwin pero es útil para correr algunos scripts. Para mí ha sido útil para correr scripts de Gawk y usar wget.
Para obtenerlo bájalo de http://getgnuwin32.sourceforge.net/ Probablemente esta página te redirigirá a la página de download de sourceforge. Yo sugeriría bajar e instalar el paquete completo en lugar de solo instalar las aplicaciones que requieres (Ej: wget). El manejador del paquete se tomará la tarea de hacer las actualizaciones que requieras en el futuro.Después de bajar y correr el archivo ejecutable éste preguntará por un destino en donde descomprimir los archivos. Puedes darle cualquier lugar ya que después tendrás que mover los archivos a algún lugar más. Un buen lugar puede ser “Mis Documentos”. Para instalar, sigue las instrucciones. Esto es sólo un resumen, si quieres los detalles puedes leer el archivo “readme” que viene con el paquete.

1) Configura wget si estás atrás de un proxy (usa bin\wget.ini)

2) Edita y selecciona tu servidor espejo (mirror) in dowload.bat

3) Si 1 y 2 fueron hechos correctamente se empezarán a bajar todos los paquetes de aplicaciones.

4) Ejecuta install.bat. Al terminar verás la carpeta “gnuwin32”

5) Lo siguiente es opcional pero sugiero que lo hagas porque facilita el uso del paquete

6) Mueve el directorio “gnuwin32” a “C:\Archivos de Programas”.

7) Ejecuta ““update-links.bat” para identificar y arreglar ligas huérfanas.

8) Copia el folder “Start Menu” dentro de gnuwin32 a tu “Menú de Inicio” en tu escritorio de Windows. Esto hará que cuando ejecutes gnuwin32 automáticamente abrirá una ventana de cmd.

9) Eso es todo. Disfruta


Hay algunas cosas más que puedes hacer. Como no las uso y además causan conflicto entre aplicaciones originales de windows con el mismo nombre de aplicaciones en el paquete GNU no las voy a explicar. Si quieres de todas formas seguir esos pasos revisa el archive readme.

Aplicaciones en gnuwin32

viernes, agosto 17, 2007

QoS 911 (1) [Códigos DSCP]

Para distinguir que tipo o nivel de calidad de servicio debe recibir un paqute de IP se usa un campo dentro del encabezado de éste. Este campo originalmente era el TOS y su longitude es de un byte. Después se decidió usar solo los 6 bits mas significativos. Los tres bits mas significativos se conocían tambien como “IP Precence”...

El post completo puede ser encontrado en:

http://docs.google.com/Doc?id=df35nn32_5r3qkzc

-as

QoS 911 (Intro)

Estoy desarrollando algunos documentos para que mis colegas aprendan a configurar QoS en un proyecto de VoIP y Telefonía sobre IP. Realmente QoS puede ser muy confuse, así que haré mi mejor esfuerzo para explicar QoS y aportar algunos sitios que pueden ser de interés. Sin embargo esta no es una guía profunda de QoS, es más que nada una serie de consejos y “hints” de como configurar, diseñar y operar QoS para redes convergentes.

miércoles, julio 11, 2007

Top UK firms in privacy breaches - watchdog

¿Vives en el Reino Unido?


No te preocupes en proteger tus datos personales como tus números de tarjeta de crédito o tu password de tu conexión a Internet. Aunque hagas un buen trabajo protegiendo tu identidad y datos personales; bancos, proveedores de servicios de Internet y comercios en general no les importa dar a conocer esta información.

Me pregunto si en México acaso existe una entidad del gobierno preocupada por esto.



martes, julio 03, 2007

Security Adquisitions

Este es un artículo que habla sobre las recientes adquisiciones de compañías de seguridad por parte de las grandes empresas de TI como Cisco e IBM. Este fue un tópico que toque en otro comentario.

jueves, junio 21, 2007

How to put Digg This button in Blogger

This blog entry shows you how to put "Digg This" button in your blog entries. Only for Blogger users.

Encontré este truco para poner el botón de "Digg This" en tu blog. Pero sólo funciona para blogs en Blogger.



read more | digg story

miércoles, junio 20, 2007

Si lees esta noticia, estas contagiado de adicción a Internet

La American Medical Association (AMA) está considerando catalogar a la adicción a Internet y a los videojuegos como una enfermedad mental. Así que si te la pasas leyendo noticias en Slashdot o en Cofradia.org, "Diggueando" en Digg, leyendo tu webmail en cualquier computadora con Internet, blogueando, bajando y oyendo podcast, subiendo tus fotos a Flickr o tus videos a YouTube, puede ser que seas catalogado en un futuro como un enfermo mental.

!!Por lo pronto, a seguir blogueando!!

sábado, junio 16, 2007

Censura en Internet, lucha pérdida

Leo que en México la Secretaría de Gobernación busca "regular" el contenido de Internet con el pretexto de proteger a los niños que acceden este medio de información. Creo que de entrada es una batalla perdida por parte de la Segob. La principal pregunta es ¿Quién va a decidir que es censurable o no? Y si el gobierno va a ser el que va a tomar ese papel quien nos asegura que la censura no será mayor de lo que debe ser. Y si no, allí están los ejemplos de censura en China.

Hay cosas que son del dominio público que deben censurarse como la pornografía infantil, sin embargo la solución a este tipo de crímenes no está en la censura de los medios, sino en mejorar los sistemas judiciales y eliminar la corrupción dentro de éstos.

En el caso de la protección de que contenido ven los niños en Internet es como en la TV, la responsabilidad está en nosotros los padres en vigilar y encaminar a nuestros hijos.

viernes, junio 15, 2007

CODECs de Voz para VoIP

Estaba buscando información acerca de los codecs de voz para VoIP (Voice over IP). En un principio pensé en sumarizar la informacion que encontré de las diversas fuentes en un solo post. Sin embargo creo que proveer las ligas de los documentos es la mejor idea dado que una sola tabla que provee todas las características puede ser compleja de leer en un blog. A continuación están los principales CODECs usados en VoIP con algo de información importante. Al final se encuentran varias ligas que complementan la siguiente lista.



CODEC Data Rate* Máximo MOS Notas
G.711(u y a) 64 kbps 4.40
G.726 32 kbps ** 4.22 Adaptive Differential Pulse Code Modulation (ADPCM)
G.729 y G.729A 8 kbps 4.07
G.723.1 MPMLQ 6.3 kbps 3.87
G.723.1 ACELP 5.3 kbps 3.69

span style="font-family:arial;">*(Data rates no incluyen overhead por encabezado IP/RTP. Un buen calculador pero que sólo esta disponible para clientes del CCO de Cisco es el TAC Voice Bandwidth Codec Calculator).
** También 16,24 y 40 kbps

Voice Over IP - Per Call Bandwidth Consumption
Four important voice codecs
Codecs payload and voice quality

viernes, junio 08, 2007

Spammers atacan usando DDoS attacks

Leo en el sitio del SANS como websites de grupos anti-spam estan siendo atacados por DDoS attacks. Es interesante el punto de vista del autor acerca de como este es una medida desesperada de los spammers.

jueves, junio 07, 2007

IBM comprará Watchfire

Las grandes companías de IT han tomado muy en serio su inversión en productos de seguridad. Y pues si no puedes competir contra un producto, pues cómpralo. Cisco Systems compró IronPort hace unos meses, IBM compró a ISS y ahora se lanza sobre el mercado de análisis de vulnerabilidas en servicios de Web con la posible compra de Watchfire.

Watchfire tiene productos para evaluar la seguridad de sitios web. Entre los "features" de su software está la búsquede de exploits de Inyección de SQL, Cross-site scripting, etc. No he seguido de cerca la integración de ISS con IBM pero espero que ambas no resulten en la pérdida del liderazgo de ambas companías en sus segmentos de mercado.

jueves, mayo 31, 2007

Análisis de Malware

Bojan Zdrnja escribe un post en el sitio del SANS acerca de como el malware actual no utiliza mecanismos sofisticados para ocultarse en la máquina host. Además en el post describe un procedimiento para analizar malware no muy complejo.

viernes, mayo 25, 2007

Patentes de Microsoft

Si aún no se han cansado del asunto donde Microsoft declara que el Open Source viola 235 de sus patentes aquí hay un par de podcasts que hablan un poco más del asunto. Están un poco largos pero vale la pena escucharlos.

Security Now Episodio 93

This Week on IT (TWIT) Episodio 98

jueves, mayo 24, 2007

Gadgets Voladores

Leo en el blog de Bruce Schneier y la nota original de la BBC acerca de un "Spy Drone". El aparato es un mini helicoptero de 1 m de diámetro con una cámara de CCTV y controlado remotamente. El operador tiene unos gogles que le permiten ver lo que la cámara a bordo del aparato esta filmando (Wooow!!). El aparato aparentemente es usado en la milicia del Reino Unido y ahora hara su aparicón en la policia para perseguir "anti-social behaviour and public disorder" o sea, vandalismo.

Hace un par de meses estaba volando un papalote con mi hija y se me ocurrio ponerle una cámara para ver "como se vería" desde las alturas. Aún no consigo una cámara lo suficientemente ligera y barata para ponersela. Seguro como yo debe de haber muchos que quieren tener la sensación de manejar un avión o volar de alguna forma (sin los riesgos que esto implica). Asi que pronostico que en unos años veremos "juguetitos" como estos accesibles para el público en general.

También sería interesante si estos aparatitos aprendieran como volar. Igual cuando tenga tiempo sera uno de mis proyectos de "machine learning".

Redes P2P usadas para DDoS

Un par de notas acerca de redes P2P (usando DC++) que han sido comprometidas para crear botnets. El problema se debe a una vulnerabilidad en el software de P2P que permite que hackers puedan inyectar codigo malicioso en el host el cual puede ser usado para lanzar ataques de DDoS.

Netcraft
Net-security

miércoles, mayo 23, 2007

Regresa Negación de Servicios Distribuida (DDoS)

Si, los ataques de Negación de Servicio Distribuida (DDoS) no son cosa del pasado como mencionó Yazan Gable de Symantec en el blog de la empresa. Como muestra un botón (extraido de un post previo):

Finnish Website prey of DoS
DDoS/DoS to myBulgaria.info
Computer Terrorism For Sale

Y eso no es todo. Ayer el website del Daily Telegraph de Inglaterra fue "noqueado" por un ataque de DDoS (la nota). Lo más crítico en mi opinión fue el Ciber Ataque que aparentemente realizó Rusia en contra de Estonia hace unos días usando un DDoS en contra de la infraestructura de red de Estonia. Claro, esto aún no esta comprobado pero no sería la primera vez que hackers atacan la infraestructura de un país cuando existen problemas políticas (China v.s Taiwan). Esto me recuerda a los comentarios de la Profesora Dorothy Denning en su libro Information Warfare and Security. (Prof. Denning fue de las primeras personas en investigar Sistemas de Detección de Intrusos, su paper).

Mi opinión es que los DDoS seguirán allí por algún rato más independientemente a lo que las companías de seguridad digan. Mientras exista la motivación, seguirá el problema.

Herramientas de Captura de Paquetes

Jim Clausing en el sitio de ISC del SANS publica una lista de herramientas para captura, análisis, generación, modificación y re-inyección de paquetes (la nota no menciona análisis pero algunas de las herramientas lo permiten aunque sea en una forma no muy gráfica).

Me llama la atención que no estén en la lista herramientas como tcpreplay y vomit (para Voice over IP). Para información sobre más herramientas de seguridad una buena lista es secure.org:

Y para usar distribuciones de linux especificas para seguridad yo recomendaría Backtrack (basada en slackware) y S-T-D (basada en Kanoppix).

domingo, mayo 20, 2007

Fall de NTT fue ... enrutadores Cisco

Aparentemente el corte de servicio de hace unos días de la red de usuarios de Japón de NTT fue ocasionada por la falla de entre 2,000 y 4,000 enrutadores Cisco de acuerdo a la nota de NetworlWorld. La nota de Slashdot también menciona que la falla se debió a un problema en las tablas de ruteo de los equipos. NTT aún está preparando el reporte oficial, pero independientemente esto no lucirá bien en el profile de Cisco. Dudo que pongan la noticia en su sitio. La falla afectó a varios millones de usuarios.

miércoles, mayo 16, 2007

New Media

He estado siguiendo como ha evolucionado la distribución de medios usando Internet, especificamente la Television. Posiblemente escribiré algo después de que tenga más tiempo. Por lo pronto esta noticia me hizo mucha gracia, aunque no quisiera estar en sus zapatos. Tener alta tecnología, usarla y después que se la quiten ... No se si yo soportaría perder la TV de HD, la macbook, el apppleTV y el media center después de usarlos una semana como en este reportaje. En fin, como diria Andy Warhol, sus 5 minutos de fama.

La nota

¿Son realmente DDoS attacks menos populares?

De acuerdo a Yazan Gable de Symantec el número de Distributed Denial of Service Attacks (DDoS)se ha reducido en el último año de acuerdo a los incidentes manejados por la compañía. Esto lo publica en el blog corporativo de Symantec. De acuerdo a Gable los hackers han decido moverse de los antiguos métodos de extorsión a un modelo mejor pagado y menos riesgoso como lo es el SPAM.

La razón es que al usar sus botnets para ejecutar DDoS los hackers exponen sus recursos y corren el riesgo de perder un porcentaje de su ejército. En cambio, mediante el rely de SPAM el riesgo es menor. Si bien es cierto que la extorsión usando DDoS es mucho más riesgosa que enviar SPAM, aún me queda la duda de las verdaderas intenciones de Symantec al publicar la nota. Symantec se encuentra en un dificil mercado de seguridad donde IBM recientemente adquirió ISS y Cisco hizo lo mismo con Ironport. Esta segunda representa un riesgo importante para Symantec en el mercado de anti-spammers, donde un exitoso engine como Ironport es adquirido por un gigante como Cisco.

He seguido la nota y al parecer hay mucho "revuelo" y por todos lados aparece notas como "DDoS don't pay off", "DDoS extorsion Fading", etc. Sin embargo todas usan la misma nota de Symantec. Solo encontré una nota en la BBC donde Paul Sop, Chief Technology Officer en Prolexic que contrariamente a lo expuesto por Symantec su compañía ha registrado no un decremento, sino un incremento en el número de ataques de negación de servicio. Posiblemente en el futuro otras companías de seguridad expongan sus opiniones del hecho.

Es imposible saber quien tiene razón, pero lo que es cierto es que no podemos dejar de pensar en los DDoS attacks como un riesgo importante a la infraestructura de Internet solo porque una compañía se seguridad indique que el ataque ha dejado de ser popular.


Sitios de Interés:
Distributed Denial of Service (DDoS) Attacks/tools

Postnote:
He seguido el tema, aquí hay algunos ataques recientes que indican que posiblemente el problema persiste:

Finnish Website prey of DoS

DDoS/DoS to myBulgaria.info
Computer Terrorism For Sale