Contraseñas seguras en las organizaciones

El tema de las contraseñas seguras es simpre motivo de preocupación para quienes gestionan redes corporativas serias. Lo cierto es que muchas veces el problema de seguridad radica dentro de la organización. Muchos usuarios no comprenden el significado de “seguro” al establecer sus contraseñas.

Una medida correctiva, a la vez eficaz y viable, es la aplicación de directivas de contraseñas. Una medida de este tipo contribuye significativamente a impedir que los atacantes puedan suplantar a los usuarios y consigan información confidencial para fines mal intencionados.

A propósito de este tema, el Centro de Seguridad de Microsoft ha publicado un articulo muy útil y práctico explicando la forma de implementar directivas de contraseñas seguras en equipos que ejecutan los sistemas operativos Windows 2000, Windows XP y Windows Server 2003.

Seguro que a todo administrador de red corporativa le caerá bien este articulo.

Enlace: Aplicación del uso de contraseñas seguras en las organizaciones (Microsoft)

Google y su novedad en resultados: “El sitio puede dañar tu equipo”

Ahora, al usar el buscador Google, los sitios peligrosos van a aparecer con el siguiente texto: “El Sitio puede dañar tu equipo”. Esta es la nueva novedad de Google y realmente convierte a Google en un mejor buscador (aunque por supuesto, siempre ha sido el mejor)

Ahora puedes sentirte más seguro al navegar por Internet, ya que Google te va a advertir cual sitio puede ser peligroso. Estoy seguro que esta novedad del buscador, la agregarán al Google Toolbar.

Para Google, un sitio que puede dañar tu equipo es:

Este mensaje de advertencia aparece al hacer clic en los resultados de búsqueda que hemos identificado como páginas que pueden instalar programas dañinos o engañosos en tu equipo. Nuestro objetivo es que nuestros usuarios se sientan seguros cuando buscan en Internet, y trabajamos sin descanso para identificar esas páginas peligrosas e incrementar la protección de nuestros usuarios.

Los programas engañosos se instalan de forma inadvertida y sin tu consentimiento cuando visitas ciertas páginas. Por ejemplo, estos programas pueden borrar información en tu equipo, robar información personal como contraseñas y números de tarjetas de crédito o, incluso, modificar tus resultados de búsqueda. Para más información sobre este tipo de páginas, por favor, visita http://www.stopbadware.org/home/help

Ver la Tv en nuestro PC, es una realidad

La televisión por Internet ya es una realidad en España

Sin necesidad de conexiones especiales, adaptadores que reciban Televisión Digital Terrestre, antenas que se conecten al ordenador o tarjetas especiales, la televisión por Internet o IPTV es una realidad en nuestro país. Lo que hace meses parecía muy lejano y exclusivo de los estadounidenses ya está aquí gracias al nacimiento de páginas que permiten ver on-line series, películas en castellano o, directamente, disfrutar de los canales convencionales en el monitor del PC.
Zattoo es un programa gratuito que ocupa poco más de 60 megas del disco duro y que permite disfrutar en un ordenador de los principales canales de televisión privada y pública que se pueden ver en nuestro país. Es obra de la empresa estadounidense Zattoo que ha visto cómo su programa ha ido aumentando su notoriedad por todo el orbe y, en los últimos meses han abierto sedes en Suiza, Dinamarca y Reino Unido.

El programa fue lanzado en EE.UU. hace algo más de un año -se cumplió el 6 de junio- y, desde entonces, ha aumentado su oferta de los cuatro primeros canales a los 64 actuales que suma entre todos los países en los que opera. El lanzamiento en nuestro país se produjo el pasado domingo 13 de junio, coincidiendo con el final de la liga y en Zattoo prepararon una divertida presentación en su página web.

Para poder utilizar el servicio tan sólo hay que crear una cuenta con un correo electrónico y una clave y descargar el programa. La televisión a través de Zattoo se muestra en una ventana insertada en el escritorio del ordenador que se puede ampliar hasta ocupar toda la pantalla y ofrece una calidad de imagen bastante competente.
Por el momento, la edición española de Zattoo no incluye publicidad al margen de la insertada en los propios canales que se pueden ver (La Primera, Canal 24 horas de TVE, La 2, Antena 3, Cuatro, laSexta y Telecinco, entre otras) pero no sería descabellado que anunciantes decidieran insertar cortinillas en el programa cuando se inicia el programa o cuando cambiamos de canal.

Televisión a la carta Otra opción a la televisión es la televisión a la carta que ofrece Internet y el libre intercambio de archivos entre usuarios. Sin ningún fin comercia, la web de Yendit, pone a disposición de los internautas muchos contenidos audiovisuales que se pueden disfrutar desde la propia página sin necesidad de descargarlos en el disco duro del ordenador, aunque también existe esta opción.

El único requisito es disponer del Web-Codec Divx (disponible en la página), para visionar películas y series en español -aunque también hay disponibles algunas en versión original. Al “pinchar” en distintas series como ‘Me llamo Earl’, ‘Cámera Café’ o ‘Friends’, el usuario puede elegir entre varios capítulos -aunque la oferta es aún algo limitada- que se reproducen en el propio navegador. Además, es posible descargar los capítulos al disco duro en formato .divx.

Dos opciones distintas -televisión o programas a la carta- pero desde la comodidad del sofá. Hace pocos meses estas opciones se antojaban muy lejanas y solo al alcance de los estadounidenses. Sin embargo, el aumento del ancho de banda en España y la iniciativa de los internautas han convertido la Televisión por Internet en toda una realidad en nuestro país.

Fuente: Orange Noticias

En el futuro ya no habra Mouse ni Teclado

Bill Gates ha anunciado en una entrevista para “the Observer” que en los proximos 10 anos todas las instrucciones que el usuario le de al ordenador van hacer por movimientos de la mano o palabras de lenguaje natural. “El ritmo de innovación en los diez próximos años será mucho más rápido que el habido hasta ahora”, señala Gates. Esta nueva tecnologia dara paso a la desaparicion del papel en todo sentido ya que en toda empresa, oficina, lugar de trabajo y el hogar, esta tecnologia sera la reinante en un futuro no muy lejano.

Las Redes P2P congestionan el Internet

Hoy en dia el 60% de todo el trafico en el internet corresponde a las redes P2P, con lo cual se esta saturando cada dia mas el internet. Ya que descargarse la ultima cancion de un artista preferido por el usuario resulta cotidiano (siendo o no legal), la mayoria de usuarios de internet tiene algun tipo de software de este tipo para compartir toda clase de archivos. Esto genera que los provedores de internet limiten el ancho de banda a los usuarios que se descargan archivos en general, inclusive hay empresas que prohiben el uso de estos programas a sus empleados, instalando en sus servidores programas que bloquean el acceso a estas redes, tambien bloquean el protocolo FTP (File Transfer Protocol, Protocolo de transferencia de archivos), y el mayor problema es que generan congestion en la red privada empresarial y en la mayoria de los casos permiten la transmision de virus, segun un reciente estudio publicado por la consultora IDC.

Las mil caras de los celulares avanzados

Teléfonos inteligentes, celulares multimedia y otros dispositivos
se han convertido en verdaderas navajas suizas de la comunicación.

Si un aparato ha evolucionado en los últimos años, es el teléfono celular. Dejó de ser solo un equipo para hacer llamadas y se convirtió en un computador en miniatura. Sin embargo, Sasha Segan, columnista de la revista PC Magazine, escribió recientemente que “los operadores y los fabricantes preferirían que usted no pensara en los teléfonos como en computadores, sino como dispositivos electrónicos (como un televisor). Los operadores quieren que usted piense que el poder viene de sus redes, y no de los teléfonos”. Lo cierto es que ese poder lo tiene usted, que con seguridad cuenta entre sus objetos de uso diario con un teléfono móvil. Con la excepción de los modelos más económicos, que cumplen las funciones tradicionales, hoy la oferta de los fabricantes es muy amplia, e incluye equipos multimedia, que combinan la telefonía con la música, el video o la toma de fotografías, y teléfonos inteligentes, que incorporan la telefonía, la computación móvil y el acceso a Internet y otras redes. Estos dispositivos se han convertido en verdaderas navajas suizas que, además de su función básica de cortar, también tienen serrucho, tijeras, alicate, lima, lupa, destornilladores, destapador, sacacorchos y hasta palillo de dientes, entre muchas otras funciones. Pero, a diferencia de estas navajas, que entre más funciones tienen se vuelven más grandes y pesadas, los teléfonos avanzados pueden multiplicar la versatilidad con la que salen de las fábricas simplemente por medio del software. En su teléfono, usted no tiene que repetir aquello de comprar una inmensa navaja con 120 funciones para tener en su bolsillo el destornillador de estrella que tanto necesita y que no está incluido en una más pequeña. Solamente debe buscar en Internet un programa que haga la tarea que requiere para instalarlo en el aparato. El desafío de los fabricantes de teléfonos avanzados va más allá de ofrecer muchas cosas en un tamaño pequeño. El director de servicios de valor agregado de Claro, un operador móvil brasileño, le dijo a ENTER: “Uno de los retos de los teléfonos inteligentes es seguir ofreciendo tantos servicios, pero lograr que sean más fáciles de usar y de entender para la gente”. Según sus necesidades Si usted aún no cuenta con un teléfono avanzado y tiene planeado comprar uno, no se deje enceguecer por un diseño espectacular, una moda o una pauta publicitaria. Primero, evalúe qué quiere hacer con él, además de hablar por teléfono e intercambiar mensajes de texto. ¿Quiere oír música y ver videos? Compre un celular multimedia. ¿Lo necesita como remplaz de un computador de mano o incluso de un computador portátil? Un teléfono inteligente es para usted. Los celulares multimedia incluyen elementos como cámara fotográfica y de video, grabador de voz, parlantes, pantalla a color de buena calidad, radio FM y la posibilidad de almacenar internamente o en tarjetas de memoria flash grandes cantidades de canciones, fotos o videos. Entre tanto, los teléfonos inteligentes generalmente ofrecen estas mismas funciones –aunque no son tan fáciles de usar o sofisticadas– y además añaden teclados pequeños que le permiten editar texto y revisar documentos de oficina. El hardware les da a estos dispositivos varias facetas que los hacen más versátiles. Pero en los teléfonos inteligentes es el software el que los lleva mucho más lejos. En su corazón está un sistema operativo similar al de los computadores (los más populares son Symbian, Windows Mobile, Palm OS y BlackBerry). Y sobre este sistema operativo los teléfonos inteligentes montan de fábrica software de agenda digital (similar al de los computadores de mano), así como programas de productividad para editar textos y hojas de cálculo, aplicaciones multimedia y juegos. Además, estos dispositivos brindan acceso a Internet, por lo que en ellos es posible navegar por la Web, enviar y recibir correo electrónico, conectarse a redes de mensajería instantánea y compartir archivos con computadores, entre muchas otras funciones. Si los ejemplos mencionados no se adecúan a sus necesidades específicas, no se preocupe: es muy probable que exista una aplicación que haga lo que requiere. ¿Es usted un médico? Puede instalar en su teléfono inteligente enciclopedias médicas, software para almacenar historias clínicas o conectarse a servicios web especializados para la comunidad médica. ¿Da clases en el colegio o la universidad? Existe software que le permite llevar un control de los temas que debe dictar, así como de las entregas de trabajos de sus alumnos y sus calificaciones. ¿Es un líder cristiano? Puede instalar en su teléfono una Biblia con concordancias, explicaciones de los pasajes y paralelos entre distintas versiones. ¿Viaja con frecuencia y no es bilingüe? Instale diccionarios para diferentes idiomas, y añádales frases frecuentes y clases de pronunciación. ¿Es un fanático de los juegos? Instale clásicos como Pacman o Tetris, o nuevos simuladores o juegos deportivos. Son muchas las herramientas que usted puede encontrar para que el teléfono responda a lo que usted requiere (ver recuadro). El fabricante de los teléfonos le entrega un dispositivo con distintas funciones, el operador celular le brinda servicios para aprovecharlo mejor, pero es usted quien puede imprimirle su sello personal y adecuarlo exactamente a lo que quiere. El poder está en sus manos, y en su teléfono. Directorios de software En estos sitios es posible encontrar miles de aplicaciones (algunas gratuitas y otras en prueba) e instalarlas en el teléfono, pero tenga en cuenta que debe bajar las versiones creadas para el sistema operativo de su equipo. Palm OS: - VersionTracker (www.versiontracker.com/palmos). - Palmgear (www.palmgear.com). Windows Mobile: - HPC.net (www.hpc.net). Symbian: - My-Symbian.com (www.my-symbian.com). - Download.com (www.download.com/Symbian/3150-11138_4-0.html). BlackBerry: - BlackBerryCool (www.blackberrycool.com). Varios sistemas operativos: - Download.com (www.download.com), sección Mobile Software. - Handango (www.handango.com). - PDATopSoft (www.pdatopsoft.com). - Smartphone.net (www.smartphone.net).

Servicios menores a 512 Kbps de velocidad no son considerados como banda ancha, advierte Gobierno

La CRT controlará la calidad de los accesos de alta velocidad que se venden en el país, así como la calidad de las llamadas a través de celular.

La Comisión de Regulación de Telecomunicaciones anunció una resolución de protección al usuario de servicios de acceso a Internet de alta velocidad, que contempla varias medidas tendientes a definir los parámetros de calidad técnica que deben recibir los colombianos en sus hogares.

La primera de tales consideraciones es la de definir como banda ancha únicamente a aquellos enlaces iguales o superiores a 512 kilobits por segundo (Kbps). Los que estén por debajo de tal medida, no deben comercializarse ni entenderse como banda ancha.

De otro lado, la CRT en su resolución obliga a los operadores a prestar las herramientas necesarias a sus clientes para que puedan medir tal calidad del canal que contratan.

De otro lado, el ente regulador también incluyó a los operadores celulares en tal decreto de protección al consumidor. Cada tres meses, dice la norma, los proveedores de telefonía móvil deberán informar la cantidad de llamadas fallidas y caídas en su red, factor que permitirá a la CRT controlar la calidad del servicio.

Avantel firma acuerdo con Movistar y Comcel

La empresa trabajará bajo condiciones idénticas a los operadores celulares existentes, mediante el prefijo 350.

La interconexión comenzará a partir del 9 de octubre.

Después de más de seis años de procesos jurídicos con los operadores de telefonía móvil, la empresa de comunicaciones trunking Avantel logró ratificar su derecho a la interconexión con los operadores móviles Comcel y Movistar, quienes se comprometieron a interconectar sus redes con la de Avantel desde el próximo 9 de octubre.

Según Ximena Barberena, vicepresidente jurídica de Avantel, aunque las condiciones de interconexión estaban fijadas por la Comisión de Regulación de Telecomunicaciones (CRT) desde noviembre del 2006, solo hasta ahora se concertó la fecha.

El anuncio se conoce tan solo una semana después de que el Ministerio de Comunicaciones expidiera una resolución mediante la cual multó a la empresa mexicana Comcel por no acatar las decisiones tomadas por la CRT, que la obligan a realizar esta interconexión.

La resolución, que seguramente ya no será aplicada, establecía una sanción de 150 salarios mínimos mensuales legales (unos 65 millones de pesos) por cada día en que Comcel persistiera en esta conducta.

Para Carlos Mariño, presidente de Avantel, "más allá de ser un triunfo para la empresa es un logro para los más de 30 millones de usuarios móviles que tiene el país, quienes muy pronto podrán comunicarse con los usuarios de Avantel a tarifas muy competitivas”.

Según lo dispuesto ante la Superintendencia de Industria y Comercio, los operadores móviles deben empezar a cumplir con un cronograma detallado de actividades que permitirá definir las condiciones generales, técnicas, operativas, comerciales y económicas que deben regir entre las partes.

Los cambios

Anteriormente, si bien A vantel era considerado como un operador más de telefonía móvil, no tenía acceso directo a las redes de los demás competidores. De esta manera, los usuarios estaban obligados a utilizar la numeración de los operadores locales, situación que había generado muchos inconvenientes y altos costos.

Ahora, los 130 mil usuarios de esta compañía contarán con numeración propia, al utilizar un número con 10 dígitos (similar al de los celulares), que iniciará con el prefijo 350 más los siete dígitos que conforman el número actual de su línea.

Así las cosas, las personas con líneas de Comcel, Movistar y Avantel podrán establecer comunicaciones directas entre sí, sin utilizar marcaciones especiales, tal como lo vienen haciendo los usuarios de Comcel, Movistar y Colombia Móvil-Tigo hace algunos años.

Carlos Mariño agrega que este acuerdo permitirá que las personas puedan aprovechar los beneficios tarifarios que la compañía anunciará en los próximos días, así como disfrutar beneficios en términos de calidad.

No obstante, esto no significa que Avantel vaya a tener una oferta de productos y servicios parecida a la de los otros operadores. Esta empresa está enfocada en el sector empresarial y, en opinión de Ximena Barberena, el foco de la compañía seguirá siendo dicho mercado.

Qué pasa con Tigo

Por lo pronto, el operador Colombia Móvil-Tigo no ha firmado un acuerdo de interconexión con Avantel. La razón de esto es que entre las dos compañías no hay ningún proceso jurídico (como si sucedía con Comcel y Movistar) pero, como lo afirmó la vicepresidente jurídica de Avantel, las negociaciones entre las empresas han sido más concertadas, están muy avanzadas y pronto van a llegar a feliz término.

“Tenemos algunos puntos de divergencia que debemos allanar con Tigo. Queríamos tratar de llegar a un acuerdo con los tres operadores, pero todavía quedan asuntos pendientes con esta compañía. Esto no indica que no podamos acordar una interconexión previa de las redes antes de que se firme el pacto”, dice Barberena.

ENVIDIA - un mal presente...

Hoy me permito pensar en mil cosas pero al final la síntesis de la misma se resume en la ENVIDIA.

Observo mi alrededor, veo tanta envidia solapada y en otras de forma sínica y abierta, hasta diría sinverguenza, creo que la falta de pudor les lleva de piedra en piedra y los trancos se avistan de forma risible y en otras simplemente se convierte en una forma de adoración en las sombras y hacer méritos de la mediocridad.

La bazofia humana está centrada en sus sociedades y hacen de ella, de la envidia, una de las torpes lacras que vulcanizan la personalidad de quienes se ufanan de mostrarla.

Quien envidia se convierte en un subalterno y baja su estatus de noble. Para ser envidioso no basta ser pobre o misarable sino aún en medios donde sobra lo material existe esta mal sana actitud. La envidia es el sufrir del bien ajeno, de la dicha del prójimo o de cualquiera culminación ajena.

Existe personas capaces de jactarse de vicios infames; pero ninguna ha tenido el valor de confesarse como persona envidiosa.

La envidia es un grillete que arrastra los fracasados y torpes inverbes de la vida.

La envidia es similar al ácido que la herrumbre crea y que carcome los metales, así queda el corazón de los envidiosos.

Algunos psicólogos señalan como un caso de los celos pero, qué lejos estan estas apreciaciones. Son simplistas.

Préguntate...¿SOY ENVIDIOSO?

Resulta que en mi observación percibo dos clases de envidiosos; envidiosos activos y envidiosos pasivos, sí, es verdad amigo de EL RINCONCITO pero permíteme decirte así las cosas:

ENVIDIA ACTIVA

El envidioso activo lleva una característica marcada de ser ELOCUENTE intrépido, es disimulado como las aguas del niágara (son tranquilas en apariencia). Es furtivo en sus ideales y llega a ser convincente. Gusta de sondar el espíritu ajeno sin haber nunca desenredado su propio espíritu. Parece poseer el don de las mil lenguas, de ser un diccionario accesible. Destila contínuamente la insidiosidad en forma viborezca como elogio reticente. Lleva un falso loar al grado máximun la moral de la vida. Se convierte en el escudero de la justicia. Gusta multiplicarse al infinito cual si fuere un enroque ajedrezístico; tiene mil piernas y gusta insinuarse de mil formas. Disfruta de las academias falsas y se refugia en ellas para cubrir su mediocridad y ese espíritu envidioso. Lleva una madurez esteril e insípida. Es lamiscon, puede besar el mismo trasero de su enemigo por lograr la felicidad ajena por camino fácil. Es capaz de jurar que es su obra cuando es ajena sin pudor alguno. Es cobarde porque no es capaz de ser completo en sus principios cuando las ve sometidas al fuego de las escorias. No es completo. Gusta tomar aureolas ajenas y mostrarlas como suyas. Sabe alimentarse del medio de la inferioridad para doblarse en el 'yo' excelsior.

ENVIDIA PASIVA

Ummm...déjame decirte que el envidioso pasivo lleva una característica de CEPA SERVIL. Siempre intenta practicar el bien pero lo hace mal, se equivoca constantemente; capaz de matar una víctima por el culpable. Es un cirujano miope predestinado a herir o extirpar los órganos vitales y respetar los órganos cancerinos. No retrocede ante una bajeza cuando un astro se levanta en su horizonte. Es una persona que persigue el mérito hasta la tumba. Es serio por incapacidad de reirse de sus propios errores. Le afecta la felicidad de los satisfechos. Proclama la solemnidad de la importancia y es aplaudida por sus congéneres cubriendo su mediocridad o inferioridad. Es capaz de sacrificar la comida de sus hijos por el aplauso y la reverencia ajena.


CONCLUSIÓN

En fin, el envidioso pasivo es solemne y sentencioso, en cambio el envidioso activo es un escorpión atrabiliario, nunca rie de la risa inteligente y sana. Su mueca es falsa, sólo rie a contrapelo.

La alquímia del sinsabor de la envidia es enorme, puede uno hallar distintas combinaciones. No es posible generarle una tabla de valores firmes y constantes universales, pues estan sujetas al tiempo ambiental de las circunstancias.

Bueno, creo que me dió mi catarsis otra vez, jajaja, pero escribí, considerando que son las 3:00 am y el aire es fresco, las musas estan de mi lado y me inspiran de forma increible. Creo que es buena hora para escribir y decir lo que siento, veo y defino agudizando mis sentidos.

Saludos sinceros para todos uds. y también reciban mis abrazos en la distancia.

LA BIBLIA INFANTIL - COLECCION EN AUDIO

LA BIBLIA INFANTIL

LISTADO DE LOS AUDIOS:
101 - Presentación
102 - La Creación Del Mundo
103 - La Primera Pareja- Adán Y Eva
104 - El Hermano Envidioso
105 - El Arca De Noé
106 - El Diluvio Universal
107 - La Torre De Babel
108 - Sacrificio De Isaac
109 - Vendido Como Esclavo
110 - José En Egipto
111 - Los Sueños De Faraón
112 - José Encuentra A Sus Hermanos
113 - El Pequeño Moisés
114 - Esclavos En Tierra Egipcia
115 - Las Plagas De Egipto
116 - El Paso Del Mar Rojo
117 - El Misterioso Man
118 - Las Tablas De La Ley
119 - El Becerro De Oro
120 - El Arca De La Alianza
121 - La Conquista De Jericó³
122 - La Fuerza De Sansón
123 - Sansón Y Dalila
124 - El Gigante Goliat
125 - El Sabio Salomón
126 - El Juicio De Salomón
127 - El Fabuloso Viaje De La Reina De Saba
128 - El Profeta Elías
129 - El Carro De Fuego
130 - La Paciencia De Job
131 - Jonás Y La Ballena
132 - U Matrimonio Muy Anciano
201 - La Anunciación A Marí­a
202 - El Censo En Israel
203 - El Nacimiento De Jesús
204 - Adoración De Los Pastores
205 - Los Tres Reyes Magos
206 - La Huí­da A Egipto
207 - El Feliz Encuentro
208 - El Bautismo De Jesús
209 - Tentaciones De Jesús
210 - La Pesca Milagrosa
211 - Los 12 Apóstoles
212 - La Venganza De Herodes
213 - Las Bodas De Caán
214 - La Multiplicación De Los Panes Y Los Peces
215 - Jesús Camina Sobre Las Aguas
216 - La Transfiguración
217 - Jesús Cuenta Parábolas
218 - Jesús Y Los Niños
219 - La Resurrección De Lázaro
220 - La Entrada Triunfal
221 - El Enfado De Jesús
222 - La Última Cena
223 - La Santa Cena
224 - La Oración Del Huerto
225 - Jesús Ante Caifás
226 - Pilato, Gobernador Romano
227 - Camino Del Calvario
228 - La Crucifixión
229 - Muerte De Jesús
230 - La Resurección Del Señor
231 - Apariciones De Jesús
232 - La Ascención A Los Cielos
233 - El Espírtu Santo

DESCARGAR AQUI
Después que ingrese a la página de descarga, haga click en la expresión Download file hasta que aparecerá la ventana de descarga.

Todo en uno Ages of Empires - 1 DVD

Este resumen no está disponible. Haz clic en este enlace para ver la entrada.

Intercambio ultraveloz de archivos

Un equipo de investigadores de Estados Unidos ideó un sistema para acelerar el intercambio de archivos a través de internet.

El sistema, llamado Similarity-Enhanced Transfer (SET - Transferencia Aumentada por la Semejanza), se basa en el reconocimiento de fragmentos de datos idénticos y semejantes al archivo requerido.

Con él, los investigadores han logrado incrementos de hasta el 500% en la velocidad de intercambio, en relación con los servicios actuales, como BitTorrent.

BitTorrent y otros sistemas similares dividen los archivos en fragmentos y los distribuyen a las personas que realizan esa búsqueda específica.

Pero su velocidad se ve limitada por la cantidad de personas que comparten un archivo determinado, como una canción o un video.

Con frecuencia, si no hay un número suficiente de usuarios conectados a internet que tengan los fragmentos del archivo buscado, la velocidad de suministro es muy baja o nula.

Fragmentos idénticos

"Una gran limitación de BitTorrent es que sólo les permite a los clientes compartir datos si están bajando el archivo exacto", dijo el catedrático David Andersen, de la Universidad Carnegie Mellon, en Pittsburgh, Pennsylvania, uno de los creadores de SET.

"Esto significa que la reserva de usuarios disponible para cualquier archivo es menor de lo que se necesita", añadió.

Andersen y los otros dos autores de SET -Himabindu Pucha de la Universidad Purdue, en Indiana, y Michael Kaminsky, de la red de investigación Intel Research- se percataron de que muchos de los archivos que se comparten en internet tienen fragmentos idénticos de datos, aunque parezcan diferentes.

"En retrospectiva, por supuesto, las causas de la semejanza (diferentes archivos de audio, diferentes nombres de los artistas, etc.) tienen mucho sentido, pero honestamente no me lo esperaba", le dijo Andersen a la BBC.

Jerarquía

SET establece una jerarquía de semejanzas y, entre menor sea el número de éstas que se busque, mayor será la probabilidad de encontrar fuentes con los datos.

"El costo indirecto adicional de localizar estas fuentes no es mayor que el beneficio de usarlas para ayudar a saturar la amplitud de banda del receptor", señalaron los científicos, en un artículo titulado "Exploiting Similarity for Multi-Source Downloads Using File Handprints".

"En efecto, el aprovechamiento de fuentes similares puede mejorar significativamente el tiempo de descarga", añadieron.

SET emplea una técnica llamada "handprinting", que ya se ha usado para filtrar correos basura.
Por ejemplo, la búsqueda de una canción determinada de Madonna puede arrojar un gran número de títulos porque diversos usuarios la han llamado con diferentes nombres o han cambiado su género u otros datos de clasificación.

SET reconoce que los datos son idénticos, a pesar de los diferentes nombres, y permite que los usuarios compartan fragmentos de esos archivos.

Sistema abierto

En experimentos, SET mejoró el tiempo de transferencia de un archivo de MP3 en el 71% y el intercambio de un video de 55Mb en el 30%.

Andersen dijo que SET podría ser muy útil para encontrar los archivos menos populares.

Según él, también sería fácil adaptar BitTorrent para usar SET como su sistema de búsqueda.

Andersen dijo que espera que los programadores estudien las ideas propuestas en el artículo y las mejoren.

"Me gustaría que la gente se robe esta técnica", dijo.

El investigador añadió que quiere usar a SET en un servicio para compartir programas informáticos o artículos académicos.

FUENTE: WWW.BBCMUNDO.COM

El BLOGKER...nueva terminología en el MUNDO HACKING

A todos mis lectores y visitantes quiero hacer un aporte ACUÑANDO este nuevo nombre a un nuevo miembro dentro de la "familia hacking" los BLOGKERS y el diseño del logotipo que represente.

Después de visitar muchos sitios y BLOGs afectados por gente ociosa llegué a una conclusión que se trataba de gente que sólo gusta ingresar de forma ilegal a estos lugares y destruir todo material almacenado y publicado por su autor, dejando a miles de lectores y a muchos amigos bloggeros e inclusive a enteros sitios webs, indefensos, impotentes y desanimados. En todos esos casos fue simplemente atacar en forma maléfica y ruín el trabajo de muchos amigos. (ver el artículo: "blogs hackeados")
Esto me llevó a que, esta clase de personas en denominarles BLOGKERS, pero antes debo sustentar este nuevo nombre explicando las otras variantess que existe en el mundo hacking.

CLASIFICACIÓN DE LA FAMILIA HACKING:

1. HACKERS
Es el primer eslabón o nivel de mayor jerarquía en esta familia. Es un personaje altamente preparado en informática y electrónica, domina la programación, es hábil y muy curioso los sistemas complejos de comunicación fija y móvil. Se proyecta mejor a los sistemas remotos y se abre en ingresar a sistemas muy protegidos de tal forma demuestra su capacidad para simplemente decir "estuve por aquí".
Es quien se interesa plenamente en la tecnología y sus novedades. Como diríamos, es ELITE en el mundo background. Aunque suene raro pero lleva ÉTICA en sus acciones. Muchas veces son contratados por las empresas que fabrican software o trabajen en sistemas de seguridad de las empresas para que verifiquen si es suceptible de los "ladrones informáticos o piratas del hackeo". Esta clase llamaría LOS SUPREMOS DE LA INFORMÁTICA.

2. CRACKERs
Esta clase de personas son denominados "los REBELDES" del mundo hacker. Ingresan o rompen los sistemas de seguridad y publican esta información en la red. No tiene ETICA. Descifran las claves de los sitemas informáticos y crean clanes donde se distribuye y muchas veces son quienes regalan los seriales o son quienes crean programas que quiebran la seguridad informatica de los sistemas. El término va muy bien con lo que significa "crack = rotura", asi como los hackers son gente muy preparada en los dos lados: programación y electrónica.

3. LAMMERs
Este grupo es muy numeroso y con mayor presencia en la red. Llevan ganas de hacer hacking pero carecen de conocimientos. son muy habilosos y obsesivos en crear hacking pero con ideas halladas en la red, como cambiarle el color de pantalla, etc. Son quienes se dedican a enviar miles de correos a cuentas mediante bombeadores y hacer colapsar el sistema. Son quienes buscan los password y calves de correos pero torpemente. Son muy negligentes en sus labores. Estan lejos de los hackers y crackers.

4. COPYHACKERs
Son quienes que se dedican al CRACKEO DE HARDWARE, por ejemplo las tarjetas de crédito, interceptar y robar las señales de TV CABLE. Son ostentosos pero poco éticos, pués roban conocimientos de los hackers y crackers, asumen suyas y aplican, claro que de manera hábil y práctico. Estos serían a ser los mercaderes del pirateo informático y comercializan con los "BUCANEROS".

5. BUCANEROS
Som peores que los lammers, ya que no saben nada de nada pero comercializan los trabajos de los hackers, crackers y copyhackers. Los llamaría como los mercaderes informáticos.

6. PHREAKER
Esta clase de gente se especializa en telefonía, todo, absolutamente todo, conocen las nuevas tecnologías en este ramo. gustan ingresar a las centralitas de comunicación. Gustan y viven en la telefonía móvil. Extraen los procesos de los datos en estos lugares descifrando y volcando para fines negros o de simple bloqueo.

7. NEWBIE
Es un novato que gusta navegar por la red e ingresa asitios de hacking, aprende todas las cosas que ve y aplica paso a paso pero nunca se mofa de sus logros, sino aprende.

8. SCRIPT KIDDIE
Es el último eslabón de este mundo del hacking. no posee ningun conocimiento pero son devotos de los temas estos que se trata del mundo hacking.No comprenden ni un rabano de lo que leen, se dedican a recopilar y acumular, coleccionan los programillas de los hackers y crackers, hacen explotar y se golpean el alma por su travesura y hacen a otros estas cosas. Por fastidar a otros hacen explotar algun virus que ni el mismo conoce haciendo una maldad gratuita, son los ingenuos del mundo hacking. yo los llamaría los "pulsabotones". Esta clase no son útiles en el proceso del hacking.


Qué es un BLOGKERS?

Habiendo explicado en resumen este mundo del hacking, pues ahora inserto a este nuevo grupo de personas que sólo se dedican al hackeo de sitios web, los BLOGKERS, gente dedicada a ingresar a sitios web y blogs, destruir la información almacenada. Hacen esto con malicia y dañina. Incluso inculpan a otros esta labor. Llevan genes de los lammers (primos)pero especializados en ingresar a las webs. Este nombre acuñaré para esta clase de personajes. Lleva conocimientos de programación, entonces algún gen de los crackers pero no tanto como para hacer grandes cosas. Saben sobre servidores, de programación de lado servidor y cliente.
ESpero que este aporte sirva a cuidarnos de los "blogkers".

Antes de acuñar revisé muy bien en la red la existencia de este nombre y no existe relación alguna a la definición dada.

ATAJOS DE ACCESO PARA PCs

Si eres un experto en pc seguro que ya lo sabes, pero algunas personas no, asi que aqui tienes esta ayudita:

Tecla Inicio + E: Muestra el explorador de Windows con el contenido de Mi Pc.

Tecla Inicio + D: Minimiza todas las ventanas y muestra el escritorio.

Esc: Permite cerrar menús, volver atrás y cerrar ventanas de diálogo.

Alt + F4: Cierra la ventana que actualmente se encuentra activa.

Alt + Tabulador: Cambia de programa activo sin usar la barra de tareas.

Control + X: Corta al portapapeles el contenido que actualmente está seleccionado.

Control + C: Copia al portapapeles el contenido que actualmente está seleccionado.

Control + V: Pega (inserta) el contenido del portapapeles en la posición del cursor.

Control + Z: Deshacer. Paso atrás en la última acción realizada.

Control + Y: Rehacer. Realiza de nuevo la acción que previamente hemos deshecho.

Control + P: Abre la ventana Imprimir del programa actual.

Control + S: Guarda el archivo.

Control + O: Abrir archivo.

Control + A / Control + E: Depende del programa. Selecciona todo el documento.

Control + F / Control + B: Depende del programa. Abre la ventana Buscar.

ImpPant: Captura una imagen de la pantalla. La guarda en el portapapeles.

Control + tecla de cursor: Permite moverse por el texto de palabra en palabra.

Control + Supr: Elimina la palabra situada a la derecha del cursor.

Control + Retroceso: Elimina la palabra situada a la izquierda del cursor.

Inicio: El cursor salta al inicio de la línea. Combinada con Control salta al inicio de documento.

Fin: El cursor salta al final de la línea. Combinada con Control salta al final de documento.

PASSWORD...¿Cómo proteger?

"Un password debe ser como un cepillo de dientes. Úsalo cada día; cámbialo regularmente; y NO lo compartas con tus amigos." Cristian F. Borghello.

Uno de los métodos más comunes y certeros para controlar el acceso a información en los sistemas es usar contraseñas. En Seguridad Informática, corresponde al concepto de identificar a un usuario mediante algo que sólo él sabe y, este mismo criterio se aplica cuando asignamos una clave a algún archivo creado en cualquier programa.

Cabe señalar la importancia de fortalecer nuestras contraseñas y asegurarnos de mantenerlas siempre como algo verdaderamente confidencial. Uno de los errores más comunes es elaborar una clave que sea fácil de recordar (con la intención de no olvidarla), pero no es recomendable basarnos en datos personales (teléfono, número de cartilla, fecha de cumpleaños, etc.), palabras de diccionario (en ningún idioma), nombres de nuestras mascotas, aficiones o gustos.

Si una contraseña se adivina fácilmente, pierde su validez para proteger el acceso a información que se quiere mantener de manera confidencial o reservada. La contraseña ideal es la que usted como usuario puede recordar con facilidad, pero que nadie más pueda dar con ella.

Antes de sugerir reglas para elaborar buenas contraseñas, asegurémonos de poner énfasis en el aspecto de preservar la confidencialidad. Para ello: No comparta sus contraseñas, cámbielas con frecuencia, no las repita en diferentes sistemas, no las almacene por comodidad en su computadora, no la envíe por correo electrónico ni por mensajero instantáneo y, en caso de que intuya que alguien más ya las sabe, proceda a cambiarlas de inmediato.

Además, las contraseñas son vulnerables al robo por tres factores:
PRIMERO, porque los usuarios acostumbran a ser descuidados, de forma que a menudo escogen contraseñas fáciles de adivinar,
SEGUNDO, por la forma en que los sistemas operativos guardan, codifican y transmiten las contraseñas y,

TERCERO, los ataques que se pueden realizar a un archivo con contraseña a fin de dar con ella valiéndose de varios recursos. Puntualizamos que, para proporcionar servicios de autenticación, un sistema operativo debe almacenar las contraseñas de manera que pueda compararlas con las que introducen los usuarios en la pantalla de inicio de sesión. Además, un sistema operativo debe transmitir a una computadora remota algo parecido a una clave o código descifrable cuando autentifica una petición de conexión de un usuario remoto. La autenticación deja abierta la posibilidad de que un intruso pueda recuperar las contraseñas de los usuarios al acceder al archivo de contraseñas o intervenir los canales de comunicación.

Ahora bien, después de haber señalado todo lo anterior, pasemos a señalar varias reglas y sugerencias que los expertos han recomendado en los últimos años para elaborar una buena contraseña (decidimos aquí caminar sobre hombros de gigantes).

A saber:

1.- Debe contener al menos 8 caracteres y no más de 64. Se recomienda combinar números y letras en mayúscula y minúscula, de preferencia no repetir los mismos caracteres. La contraseña distingue mayúsculas y minúsculas, por ello deberá de recordar las letras que escribe en mayúscula. En caso de incluir caracteres que no sean alfa-numéricos hay que averiguar primero cuáles son los que el sistema permite.

2.- Nunca utilice una contraseña que resulte fácil de averiguar como su fecha de nacimiento o el nombre de sus hijos. Su contraseña no debe contener su nombre de correo electrónico, sus apellidos o la respuesta a su pregunta secreta. Tampoco se deben de utilizar derivados de estos, ni datos personales que se puedan llegar a indagar fácilmente.

3.- Nunca escriba su contraseña en papel. Elija una contraseña que pueda recordar (la contraseña debe de ser fácil de recordar para no tener que escribirla y también es deseable que se pueda escribir rápidamente sin necesariamente tener que mirar el teclado, o bien, no tener que depender demasiado de este hecho).

4.- No utilice palabras de diccionario en ningún idioma. En la actualidad existen muchos programas para tratar de develar claves que basan su ataque en técnicas de diccionario y de fuerza bruta.

5.- Nunca envíe su contraseña por correo electrónico o en un mensaje instantáneo (obviamente tampoco mencionarla en una conversación telefónica, ni faltar a la discreción de manera alguna).

6.- No se recomienda poner la misma contraseña en todas partes. Esto es, evite usar exactamente la misma clave en distintos sistemas y archivos.

7.- Procure no mantener sus contraseñas indefinidamente. Trate de cambiarlas con cierta regularidad.

8.- Existen varias maneras de plantear una contraseña que no sea débil. Por ejemplo, utilice las primeras letras de una frase u oración que no sea tan conocida (puede combinarla con números o letras), o bien, se puede elegir palabras sin sentido pero que sean pronunciables, etc.

9.- Si se trata de una contraseña para acceder a un sistema procure que esta solamente admita un número limitado de intentos y se bloquee. En caso de que esto suceda frecuentemente, que también pueda enviar un aviso al administrador.

Todas las recomendaciones anteriores van más bien orientadas a los usuarios promedio. En lo que concierne a los administradores de sistemas, considero que ellos están obligados tanto al sentido común como a la preparación necesaria antes de adquirir la responsabilidad de administrar algo y, a la disposición para aprender cada día cosas nuevas e irlas implementando.

Espero les sirva las sugerenciaS en cuanto a seguridad personal y de trabajo.

INGENIERÍA SOCIAL...¿que peligro?

" Usted puede tener la mejor tecnología, firewalls, sistemas de detección de ataques, dispositivos biométricos, etc. Lo único que se necesita es un llamado a un empleado desprevenido e ingresan sin más. Tienen todo en sus manos." Kevin Mitnick.

"La gente quiere ser agradable y no pretende armar un escándalo, pero es importante enseñarles a decir no. No debe haber sutilezas cuando lo que está en juego son nuestros ingresos."Allan Vance


Bajo el nombre de Ingeniería Social (literalmente traducido del inglés Social Engineering) se encuentran comprendidas todas aquellas conductas útiles para conseguir información de las personas cercanas a una computadora. Es una disciplina que consiste, ni más ni menos en sacar información a otra persona sin que esta sé de cuenta de que te esta revelando "información sensible".

Hoy en día sólo son necesarias las malas intenciones y una conexión a Internet para sembrar el caos. Ya no es cuestión de conocimientos, sobre todo teniendo en cuenta que en los sistemas operativos más populares, se antepone la comodidad a la seguridad del sistema mismo. La mayoría de los ataques a la seguridad se deben a errores humanos y no a fallas electrónicas. Los intrusos usan "ingeniería social" para acceder a los sitios, y siempre alguien los deja entrar sin ningún problema.

Tradicionalmente, los intrusos se han valido de los engaños para conseguir atacar al eslabón más débil de la cadena de usuarios y responsables de un equipo de cómputo o de una red. De nada vale encriptar las comunicaciones, sellar los accesos, diseñar un buen esquema de seguridad para las distintas estaciones de trabajo y jerarquizar convenientemente los accesos a los mismos si no contamos con un personal que se halle lo suficientemente preparado para hacerle frente los engaños externos.

La principal herramienta que manejan actualmente los creadores de virus es la que se ha dado en llamar ingeniería social. Con este curioso término se engloba una serie de tretas, artimañas y engaños elaborados cuyo fin es confundir al usuario o, peor todavía, lograr que comprometa seriamente la seguridad de sus sistemas.

Esto no es un conocimiento exacto pero, al ponerse en práctica con un grupo tan elevado de posibles víctimas, el éxito casi siempre está garantizado. Aprovechando sentimientos tan variados como la curiosidad, la avaricia, el sexo, la compasión o el miedo, el vándalo interesado consigue su objetivo, una acción por parte del usuario.

Un claro ejemplo de Ingeniería Social más común es el de alguien que llama por teléfono a una empresa para decir que necesita ayuda o hablar con el administrador de la red porque hay que modificar algún aspecto de la configuración. Durante la conversación, y a través de escogidas y cuidadas preguntas, el atacante obtendrá los datos (como los códigos de acceso a los equipos) que necesita para vulnerar la seguridad de todo el corporativo.

La ingeniería social es una acción muy simple, pero peligrosa. Los "hackers" llaman a los centros de datos y fingen ser un cliente que perdió su contraseña, o se dirigen a un sitio y esperan que alguien deje la puerta abierta. Otras formas de ingeniería social no son tan obvias.

Los "hackers" son conocidos por crear sitios Web, concursos o cuestionarios falsos que piden a los usuarios que ingresen una contraseña. Si un usuario escribe la misma contraseña que usa en su trabajo, el hacker puede ingresar en las instalaciones sin tener que descifrar ni siquiera una línea de código.

Con el objetivo de infectar el mayor número posible de equipos, cada vez son más los gusanos que recurren a la Ingeniería Social, habitualmente empleada por los creadores de código malicioso para engañar a los usuarios. En la Ingeniería Social no se emplea ningún programa de software o elemento de hardware, sólo grandes dosis de ingenio, sutileza y persuasión para así lograr obtener información a través de otra persona sin que se dé cuenta de que está revelando información importante con la que, además, el atacante puede dañar su computadora.

En la práctica, los autores de virus (gusanos o troyanos) emplean la Ingeniería Social para que sus creaciones se propaguen rápidamente. Para ello atraen la atención del usuario y consiguen que realice alguna acción que, normalmente, consiste en inducirlo a que abra algún archivo que es el que procede a realizar la infección. De hecho, la mayoría de las pérdidas provocadas por los efectos de los códigos maliciosos tienen su origen en la ignorancia u omisión de políticas de seguridad.

El personal de una empresa debería de seguir las siguientes recomendaciones para evitar caer víctima de las trampas de la Ingeniería Social:

1. - Antes de abrir los correos analizarlos con un antivirus eficaz y debidamente actualizado, ya que cualquier mensaje de correo electrónico puede contener códigos maliciosos aunque no le acompañe el símbolo de datos adjuntos.

2. - Nunca ejecutar un programa de procedencia desconocida, aun cuando previamente sea verificado que no contiene virus. Dicho programa puede contener un troyano o un sniffer que reenvíe nuestra clave de acceso.

3. - Los usuarios no necesitan tener acceso a todo tipo de ficheros ya que no todos son necesarios para su trabajo habitual, por ello puede ser conveniente por parte del administrador bloquear la entrada de ficheros con extensiones ".exe",".vbs", etc.

4. - Nunca informe telefónicamente de las características técnicas de la red, sus localizaciones espaciales o personas a cargo de la misma. En su lugar lo propio es remitirlos directamente al responsable del sistema.

5.- Controlar los accesos físicos al lugar donde se hallan los servidores o terminales desde los que se puede conectar con los servicios centralizados de control.

6.- Nunca tirar documentación técnica a la basura, sino destruirla.

7.- Verificar previamente la veracidad de la fuente que solicite cualquier información sobre la red, su localización en tiempo y espacio y las personas que se encuentran al frente de la misma.

8.- En caso de existir, instalar los parches de actualización de software que publican las compañías para solucionar vulnerabilidades. De esta manera se puede hacer frente a los efectos que puede provocar la ejecución de archivos con códigos maliciosos.

9.- Controlar que las anteriores instrucciones se cumplan sistemáticamente.

Bueno, hasta aquí las sugerencias...

10 RAZONES PARA USAR LINUX

Publicar entrada

1 - Si usas Linux no tendrás que reiniciar el ordenador cada vez que instales un dispositivo, programa, actualización o similares. Notarás la ausencia de esos puntos muertos porque te perderás la oportunidad de hacer otra cosa que no sea utilizar el ordenador.

2 - No volverás a ver el mensaje “Se recomienda cerrar todas las aplicaciones antes de continuar” ya que en Linux no es necesario, ¿qué seguridad nos aporta esto?.

3 - No es necesario actualizar (normalmente tampoco instalar) periódicamente el antiVirus o antiSpyware. Lamentablemente, tendrás que buscar otra forma de gastar el dinero. Y si el antivirus es pirata ya no podrás alardear ante nadie de que has pirateado la última versión de tu antivirus favorito.

4 - Ya no podrás gastar ingentes cantidades de dinero en programas. Y tampoco podrás piratearlos. Linux viene con muchas, muchísimas aplicaciones para hacer casi cualquier cosa que puedas imaginar. No verás mucho software para Linux en las tiendas porque seguramente viene ya en tus CD de instalación o lo puedes descargar libremente de Internet.

5 - Dejaras de buscar “Acuerdo de licencia para el usuario final” o claves para instalar los programas. Simplemente no existen. Esto provocará que no tengas que descargar parches de páginas de dudosa fiabilidad, lo que conlleva que tu sistema no estará en peligro a cada instante.

6 - Autoconfiguración. Si hay driver para tu memoria USB, disco externo, o impresora simplemente enchúfalo y empezará a funcionar. Olvídate de buscar la última version de driver, reiniciar y todo eso. Con lo bien que se lo pasa uno instalando los CDs de los drivers e instalando el pesado software que les acompaña.

7 - Olvidate de tu “PC Doctor” favorito. Instalar 40000 aplicaciones no ralentiza el sistema, ni unas librerias corrompen las de otro programa que acabas de instalar. Tambien puedes desinstalar una aplicacion estando seguro de que no vas a romper otra aplicación de depende de no-se-que-otra libreria.

8 - Defragmentación de disco. Simplemente no es necesario. ¿Y ahora en qué pierdo yo el tiempo?

9 - En el menú de inicio encontraras las aplicaciones que instalas clasificadas de forma lógica en categorias, no todas en un enorme menú con flechitas para examinar. Esto provocará que encuentres rapidamente lo que buscas y que tengas siempre todo a mano.

10 - Tu ordenador es tuyo. Nadie te va a obligar a pagar para que actualices a una nueva version de tu reproductor de música. Nadie va a obligarte a que te conectes a sus servidores para verificar todo tu software y ninguna información sera enviada a ningun servidor de ninguna gran (enorme) compañia. ¿Dónde está la gracia? Que antigüo parece Linux.

BITEFIGHT

LA BATALLA EN TRE VAMPIROS Y HOMBRES LOBO
HAN PERDURADO POR SIGLOS,
ES TU ¡DESTINO DECIDIRLA!

JUEGA GRATIS AHORA

20 VULNERABILIDADES por INTERNET

Desde hace ya varios años, el Instituto SANS (System Administration Networking and Security Institute) y el FBI han venido publicando una lista con las 20 vulnerabilidades más explotadas en la mayoría de los ataques a sistemas informáticos a través de Internet. Estas vulnerabilidades son la base de la mayoría de los ataques, ya que los hackers explotan las brechas más conocidas con las herramientas de ataques más efectivas y asequibles.

Vulnerabilidades que afectan a todos los sistemas

1 - Instalaciones por defecto de sistemas y aplicaciones

La mayoría del software, incluyendo sistemas operativos y aplicaciones, viene con scripts o programas de instalación cuya meta es dejar los sistemas operativos lo más rápido posible, con la mayor parte de funciones disponibles o habilitadas y con la ayuda de muy poco trabajo por parte del administrador. Para lograr esta meta, los scripts instalan más componentes de los que realmente necesitan, debido a que la filosofía de los fabricantes es que resulta mejor habilitar funciones que no son utilizadas a que el usuario instale funciones adicionales a medida que las vaya requiriendo.

Esta situación genera la mayoría de las vulnerabilidades de seguridad. Es más, muchos usuarios no son conscientes de lo que está realmente instalado en sus propios sistemas, dejando peligrosos programas de demostración en ellos, porque no saben que están ahí.

En cuanto a los sistemas operativos, las instalaciones por defecto casi siempre incluyen extraños servicios con sus correspondientes puertos abiertos y, de esta forma, los atacantes se introducen en ellos, por medio de dichos puertos. Por esta razón, cuantos menos puertos se hallen abiertos, mayor seguridad tendrá el sistema.

Por último, con respecto a las aplicaciones, las instalaciones por defecto suelen incluir programas de demostración que no son realmente necesarios. Una de las peores vulnerabilidades en los servidores web son los script de ejemplo, ya que los atacantes usan estos scripts para comprometer el sistema u obtener información acerca de éste.


2 - Cuentas sin contraseña o contraseñas débiles

La mayoría de los sistemas se encuentran configurados para usar contraseñas secretas como primera y única línea de defensa. Sin embargo, los nombres de usuario son relativamente fáciles de conseguir, por lo que si un atacante puede determinar el nombre de una cuenta y su contraseña correspondiente, puede entrar en la red.
Ante esta situación, las contraseñas fáciles de adivinar y las contraseñas por defecto constituyen dos grandes problemas, aunque el mayor problema viene de las cuentas sin contraseñas.
Muchos sistemas contienen cuentas que vienen incluidas o cuentas por defecto. Estas cuentas generalmente tienen la misma contraseña para todas las instalaciones del software, por lo que los atacantes buscan esas cuentas por ser conocidas en su comunidad. Por esta razón, cualquier cuenta preexistente o por defecto debe ser identificada y eliminada del sistema.


3 - Copias de seguridad (backups) incompletos o inexistentes

Siempre que ocurre un incidente, la recuperación de los datos requiere copias de seguridad actualizadas y métodos probados para restaurar la información.
Algunas organizaciones hacen backups diarios, pero nunca verifican que éstos se encuentren realmente funcionando.

Tales errores son normalmente descubiertos después de que un atacante ha entrado en los sistemas y ha destruido o arruinado la información. Por otro lado, un segundo problema es la insuficiente protección física de dicha copia de seguridad, ya que suelen contener la misma información sensible que reside en los servidores y debe, por tanto, ser protegido de la misma forma.

Por seguridad, los backups deben realizarse diariamente, aunque en la mayoría de las organizaciones se realiza uno completo una vez a la semana y copias incrementales todos los días. Además, el soporte del backup debe verificarse al menos una vez al mes, mediante la restauración de un servidor de prueba que permita ver si la información se está salvando correctamente.


4 - Gran número de puertos abiertos

Tanto los usuarios legítimos como los atacantes se conectan a los sistemas por medio de puertos. Así, cuantos más puertos se encuentren abiertos más formas hay para que alguien se conecte. Por esta razón, es importante mantener abiertos sólo los puertos imprescindibles para que el sistema funcione correctamente y el resto deben ser cerrados.


5 - Insuficiente filtrado de los paquetes con direcciones de inicio y destino inadecuadas

La falsificación de direcciones IP es un método comúnmente utilizado por los atacantes para cubrir sus huellas cuando atacan a una víctima. Así por ejemplo, el popular ataque “smurf” hace uso de una característica de los routers para enviar una secuencia de paquetes a miles de máquinas. Cada paquete contiene una dirección IP de origen que es suplantada por la de una víctima. Las maquinas a las que estos paquetes falsificados son enviados inundan a la máquina víctima deteniendo sus servicios.


6 - Registro de eventos (logging) incompleto o inexistente

Mientras que se permite fluir el tráfico entre la red de un sistema e Internet, existen probabilidades de que un atacante se introduzca en ella silenciosamente. Una vez atacado, sin registros (logs) hay muy pocas probabilidades de que se descubra qué hicieron realmente los atacantes.

Sin esa información la organización afectada debe elegir entre recargar completamente el sistema operativo desde el soporte original y luego esperar que los backups se encuentren en buenas condiciones, o bien asumir el riesgo que representa seguir utilizando un sistema que un atacante controla.

Los registros proporcionan los detalles de lo que está ocurriendo, qué sistemas se encuentran bajo ataque y qué sistemas han sido comprometidos.


7 - Programas CGI vulnerables

La mayoría de los servidores web, incluyendo IIS de Microsoft y Apache, permiten el uso de programas CGI (Commom Gateway Interface) para proporcionar interactividad a las páginas web, habilitando funciones tales como recolección de información y verificación. De hecho, la mayoría de los servidores web vienen con programas CGI de ejemplo preinstalados.

Sin embargo, demasiados programadores de CGIs pasan por alto el hecho de que sus programas proporcionan un vínculo directo entre cualquier usuario, en cualquier parte de Internet, y el sistema operativo en la máquina que se encuentra ejecutando el servidor Web.

Los programas CGI vulnerables resultan especialmente atractivos para los intrusos, ya que son relativamente fáciles de localizar y de operar con los mismos privilegios y poder que tiene el software del servidor Web. De esta forma, los atacantes abusan de los programas CGI para modificar páginas Web, robar información de tarjetas de crédito e instalar puertas traseras para tener acceso a los sistemas comprometidos. Por esta razón, los programas de ejemplo deben ser siempre eliminados de los sistemas de producción.


Vulnerabilidades más críticas en sistemas Windows

8 - Vulnerabilidad Unicode (Salto de directorio en servidores Web-Web Server Folder Traversal)

Unicode proporciona un número único para cada carácter, sin importar cuál sea la plataforma, cuál sea el programa o cuál sea el lenguaje. El estándar Unicode ha sido adoptado por la mayoría de los fabricantes, incluyendo Microsoft.

Mediante el envío a un servidor IIS de una URL creada cuidadosamente con secuencias inválidas de Unicode UTF-8, un atacante puede forzar a que el servidor entre y salga de cualquier directorio y ejecute scripts de forma arbitraria. Este tipo de ataques es conocido como el ataque de salto de directorio.


9 - Desbordamiento de Buffer en extensiones ISAPI

El Microsoft Internet Information Server (IIS) es un servidor Web que se encuentra en la mayoría de los sitios basados en Microsoft Windows NT y Microsoft Windows 2000. Cuando se instala IIS, se instalan también automáticamente varias extensiones ISAPI (Interfaz de Programación de Aplicaciones para Servicios de Internet), que permiten que los programadores puedan extender las capacidades de un servidor mediante el uso de DLLs. Varias DLLs contienen errores de programación que causan que éstas realicen un chequeo incorrecto de límites. De esta forma, los atacantes pueden enviar información a estas DLLs, en lo que se conoce como un ataque por desbordamiento de buffer, y tomar control de un servidor IIS.


10 - Exploit para RDS del IIS (Servicios de información remota Microsoft)

Es muy posible encontrar fallos de programación en los servicios RDS de IIS con el fin de ejecutar comandos remotos con atributos administrativos. Habitualmente resultan afectados los sistemas Microsoft Windows NT 4.0 con Internet Information Server que tengan el directorio virtual /msadc asociado.


11 - NETBIOS –recursos compartidos en red no protegidos

El protocolo SMB (Server Message Block), tambien conocido como CIFS (Commom Internet File System), permite habilitar la compartición de recursos a través de la red. Muchos usuarios permiten el acceso a sus discos con la intención de facilitar el trabajo en un grupo con sus colaboradores. Sin saberlo, están abriendo sus sistemas a cualquier atacante al permitir el acceso, tanto de lectura como de escritura, a otros usuarios de la red.


12 - Fuga de información a través de conexiones de tipo “sesión nula”

Una conexión de tipo "sesión nula", también conocida como "entrada anónima al sistema", es un mecanismo que permite a un usuario anónimo obtener información a través de la red, o conectarse sin autenticarse contra el sistema. Este mecanismo es usado por aplicaciones como "explorer.exe" para enumerar los recursos compartidos en sistemas remotos. En Windows NT y Windows 2000 muchos servicios locales se ejecutan sobre la cuenta del sistema (SYSTEM), conocida como LocalSystem en Windows 2000. Dicha cuenta se usa para diversas tareas críticas para el sistema. Cuando una máquina necesita obtener datos de sistema de otra, la cuenta SYSTEM abrirá una "sesión nula" contra la otra máquina.

La cuenta SYSTEM tiene virtualmente privilegios ilimitados y no tiene contraseña, por lo que no es posible entrar en el sistema como usuario SYSTEM. Dado que no es posible conectarse a otros sistemas utilizando un identificador de usuario y una contraseña, utiliza una "sesión nula" para obtener acceso. Desgraciadamente, un atacante también puede utilizar la "sesión nula" del mismo modo.


13 - Hashing débil en SAM (LM hash)

A pesar de que la mayor parte de los usuarios de Windows no tienen necesidad de soporte para LAN Manager, Microsoft almacena las contraseñas LAN Manager por defecto. Dado que LAN Manager utiliza un esquema de cifrado mucho más débil que el resto de los utilizados por Microsoft, las contraseñas LAN Manager pueden ser descifradas en un corto espacio de tiempo.

Las mayores debilidades de los hashes de LAN Manager son las siguientes:

1. Las contraseñas son truncadas a 14 caracteres.
2. Se añaden espacios a las contraseñas para conseguir que tengan 14 caracteres.
3. Las contraseñas son convertidas a mayúsculas.
4. Las contraseñas son subdivididas en dos bloques de 7 caracteres cada uno.


Vulnerabilidades más críticas en sistemas Unix

14 - Desbordamiento de Buffer en los servicios RPC

Las llamadas a procedimiento remoto (RPCs) hacen posible que programas que se encuentran ejecutándose en un sistema ejecuten a su vez otros programas en un segundo sistema. Este tipo se servicios son ampliamente utilizados para acceder a servicios de red tales como el compartir archivos a través de NFS o NIS. Un gran número de vulnerabilidades causadas por defectos en los RPC han sido activamente explotadas. Existen evidencias de que la mayor parte de los ataques distribuidos de denegación de servicio efectuados durante 1999 y principios del 2000 fueron lanzados desde sistemas que habían sido comprometidos debido a vulnerabilidades en los RPC.


15 - Vulnerabilidades en sendmail

Sendmail es un programa que envía, recibe y redirecciona la mayor parte del correo electrónico procesado en máquinas UNIX y Linux. A lo largo de los años han sido descubiertos en sendmail diversos defectos. En uno de los ataques más habituales, el atacante envía un mensaje falsificado a la máquina que está ejecutando sendmail, éste lee el mensaje y lo interpreta como un conjunto de instrucciones mediante las cuales la máquina víctima envía su archivo de contraseñas a la máquina del atacante donde las contraseñas pueden ser descifradas.


16 - Debilidades en BIND

El paquete Berkeley Internet Name Domain (BIND) es una de las implementaciones más utilizadas del Servicio de Nombres de Dominio (DNS), lo que la convierte en uno de los blancos favoritos para los crackers. De acuerdo con un estudio realizado a mediados de 1999, nada menos que el 50% de todos los servidores DNS conectados a Internet estaban utilizando versiones vulnerables de BIND. En un ejemplo de un ataque clásico a BIND, los intrusos borraron los logs del sistema e instalaron herramientas que les permitieron conseguir privilegios de administrador. Posteriormente compilaron e instalaron utilidades para IRC y herramientas que les permitieron rastrear más de una docena de redes de clase B en busca de nuevos sistemas con versiones vulnerables de BIND. En cuestión de minutos, habían utilizado el sistema en cuestión para atacar a cientos de sistemas remotos, obteniendo nuevos sistemas comprometidos.


17 - Los comandos "r"

Las relaciones de confianza son ampliamente utilizadas en el mundo UNIX, especialmente para la administración de sistemas. Las empresas habitualmente asignan a un único administrador la responsabilidad sobre decenas de sistemas. Los administradores a menudo utilizan relaciones de confianza a través del uso de los comandos "r" para poder saltar de sistema en sistema convenientemente ya que estos comandos permiten acceder a sistemas remotos sin tener que introducir ninguna contraseña. En lugar de solicitar un nombre de usuario y su contraseña asociada, la máquina remota autentifica a cualquiera que provenga de direcciones IP "amigas". De esta forma, si un atacante consigue el control de cualquier máquina en una red en la que confiamos, él o ella pueden acceder al resto de las máquinas que confían en la máquina comprometida.


18 - LPD (demonio del protocolo de impresión remota)

En UNIX, el demonio "in.lpd" proporciona los servicios necesarios para que los usuarios puedan hacer uso de la impresora local. Para ello, LPD espera dichas peticiones escuchando en el puerto TCP 515. Los programadores que desarrollaron el código que transfiere trabajos de impresión de una máquina a otra cometieron un error que se ha traducido en una vulnerabilidad de desbordamiento de buffer. Si el demonio recibe demasiados trabajos de impresión en un corto intervalo de tiempo, éste morirá o permitirá la ejecución de código arbitrario con privilegios elevados.


19 - Sadmind y Mountd

Sadmind permite la administración remota de sistemas Solaris, proporcionando un interfaz gráfico para labores de administración de sistemas. Mountd, por otro lado, controla y arbitra el acceso a los volúmenes NFS en los sistemas UNIX. Debido a errores de programación de los desarrolladores, existe la posibilidad de utilizar desbordamientos de buffer en las aplicaciones para conseguir acceso como super-usuario en los sistemas afectados.


20 - Nombres de comunidad SNMP por omisión

El Protocolo Simple de Administración de Red (SNMP) es ampliamente utilizado por los administradores de red para supervisar todo tipo de dispositivos de red, desde routers hasta impresoras u ordenadores. El único mecanismo de autenticación que SNMP usa es un "nombre de comunidad" no cifrado. Si la falta de encriptación ya de por sí es mala, peor aún es que la mayor parte de los dispositivos SNMP utilicen como nombre de comunidad por omisión la palabra "public". Los posibles agresores pueden utilizar esta vulnerabilidad en SNMP para reconfigurar o incluso desactivar dispositivos remotamente. La captura del tráfico SNMP, por otra parte, puede revelar una gran cantidad de información sobre la estructura de la red, así como de los dispositivos y sistemas conectados a la misma. Toda esa información puede ser utilizada por parte de los intrusos para seleccionar blancos y planear ataques. SNMP no es exclusivo del mundo UNIX. Pero la mayor parte de los ataques de esta índole se producen contra sistemas UNIX debido a configuraciones SNMP deficientes. No se ha apreciado, sin embargo, que esto suponga un gran problema en los sistemas Windows.


Espero que le sirva este material y a cuidarnos de los peligros que corremos estar conectados al internet si somos muy descuidados en nuestra seguridad.