- Migrar a un sistema GNU/Linux
- Migrar a un sistema Mac.
- Migrar a Vista
- Seguir con la copia pirata de XP.
- Firmar para salvar a XP.
Is it a fake website?
30 enero 2008
30 de Junio 2008: Fecha para el cambio a GNU/Linux o MAC
Microsoft va a forzar la entrada en el mercado de vista a pesar de su rotundo fracaso. Para ello, tiene planeado parar todas las ventas de XP a partir del 30 de Junio de 2008. A partir de esa fecha, no se podrá comprar una copia de XP. Tenemos 5 opciones:
23 enero 2008
El gran hermano de la Seguridad
Imaginad; 5 personas durante 5 días. Sin teléfono móvil, sin ordenador, sin distracciónes. Unicamente hablando sobre Seguridad Web. Todos firmaran acuerdos de confidencialidad y no revelación, de tal manera que puedan hablar libremente sobre sus problemas directos en relación a sus sitios web, redes, aplicaciones.., sin tener que preocuparse de que se hagan públicos.
Unas clases de Seguridad a la carta para gente con nivel, pero que quieren alcanzar un paso más. Y que mejor que hacerlas con el maestro. ¿Requisitos?
Bienvenido al Proyecto Austin. Ah!, otro requisito, 6.500$.
¿Por qué estas iniciativas se hacen sólo en EE.UU?
Estoy abierto a que cualquiera me lo financie. :D
Unas clases de Seguridad a la carta para gente con nivel, pero que quieren alcanzar un paso más. Y que mejor que hacerlas con el maestro. ¿Requisitos?
- Sin móvil, sin ordenador, sin distracciones de ningún tipo.
- Experiencia en seguridad web.
- Sociabilidad y divertido. Tendrás que salir por la noche a tomar unas copas mientras hablas en un ambiente relajado sobre todo tipo de temas.
- Firmar un acuerdo de confidencialidad.
Bienvenido al Proyecto Austin. Ah!, otro requisito, 6.500$.
¿Por qué estas iniciativas se hacen sólo en EE.UU?
Estoy abierto a que cualquiera me lo financie. :D
20 enero 2008
¿Qué le preguntarías a un Administrador de Sistemas de Google?
El grupo de Ingeniería de Google.com es el principal responsable de mantener toda la infraestructura de Google.com, de todos sus sistemas, y de enfrentarse a problemas que únicamente una compañía que posee el motor de búsquedas más grande del mundo podría afrontar.
El número es interminable, motor de búsquedas más utilizado mundialmente, sistemas de publicidad, sistema de ficheros a gran escala GFS, sistemas de noticias, sistemas de correo y así podríamos seguir durante horas.
Pues bien, en breve voy a tener la oportunidad de entrevistar a un administrador de sistemas de este grupo de Google, un sysadmin de Google, pero he pensado que sería demasiado egoísta por mi parte si soy el único que tiene la oportunidad de hacerle preguntas relacionadas con aspectos de su trabajo. Por eso, dejo este post abierto para que cualquiera de vosotros, deje la pregunta que le gustaría hacer o conocer a cerca de la vida de un administrador de sistemas en Google.
El número es interminable, motor de búsquedas más utilizado mundialmente, sistemas de publicidad, sistema de ficheros a gran escala GFS, sistemas de noticias, sistemas de correo y así podríamos seguir durante horas.
Pues bien, en breve voy a tener la oportunidad de entrevistar a un administrador de sistemas de este grupo de Google, un sysadmin de Google, pero he pensado que sería demasiado egoísta por mi parte si soy el único que tiene la oportunidad de hacerle preguntas relacionadas con aspectos de su trabajo. Por eso, dejo este post abierto para que cualquiera de vosotros, deje la pregunta que le gustaría hacer o conocer a cerca de la vida de un administrador de sistemas en Google.
19 enero 2008
sed - Mes de las herramientas unix; semana 2
Introducción
Sed parece ser una de esas herramientas que provoca miedo en la gente. Muchos ni que decir tiene que ya lo conoceis, ¿pero es útil para vosotros?, ¿la conoceis realmente?
En este mes de las herramientas unix pretendo concentrar gran información práctica. Para saber más sobre las herramientas con las que practicaremos podreis consultar sus man pages.
tabla de contenidos.
¿Qué es sed?
Invocación y uso básico
¿Funciones y Síntaxis
¿Qué es una dirección?
¿Qué son funciones?
¿Qué puedo hacer con sed?
Muestra todo excepto la primera línea
Imprime las líneas sin comentarios de squid.conf
De un archivo con múltitud de líneas en blanco, déjalo todo a doble espacio.
Inserta una línea en blanco por cada línea que coincida con regex.
Convierte los saltos de línea de DOS (CR/LF) al formato unix.
Substituye foo con bar en cada línea
Imprimer la sección de archivo entre dos expresiones regulares. (inlcusive)
¿Qué es sed?
Sed viene de "Stream Editor", esto es, "editor de flujos". Básicamente nos permite realizar múltiples manipulaciones a los flujos de texto.
Invocación y uso básico
#sed [-rn] [-e 'sedscript'] [file1 file2 ...]
-r para utilizar regex extendido, -n para que no muestre nada por la salida por defecto, -e creo que no hará falta explicarlo. Consultar las páginas de manual para más información.
Sed es básicamente un lenguaje de procesamiento de textos. Aunque contiene una gramática muy limitada, sed es muy potente. La instrucción que seguro nos sonará de perl s/foo/bar viene de sed. Algunos ejemplos.
Reemplazamiento simple de texto.
#echo "Hola a todos" | sed -e 's/todos/logadmin/'
Hola a logadmin
Característica similar a grep.
#sed -ne '/Ubuntu/p' /etc/motd
The programs included with the Ubuntu system are free software;
Ubuntu comes with ABSOLUTELY NO WARRANTY, to the extent permitted by
Funciones y Síntaxis.
La síntaxis de sed es muy simple. Una expresión general sera así:
address[,address]function
Las expresiones están separadas por nuevas líneas o punto y coma.
¿Qué es una dirección?
Una dirección es una manera de indicar un lugar en tu flujo de datos. Una dirección poría ser:
¿Qué son funciones?
Las funciones en sed son siempre con una letra. Las más usuales:
¿Qué puedo hacer con sed?
Muestra la primera línea de entrada (igual que head -n 1)
#sed -ne 1p archivo
Muestra todo excepto la primera línea
#sed -ne '1!p' archivo
Imprime las líneas sin comentarios de squid.conf
#sed -ne '/^[^# ]/{p;q;}' squid.conf
De un archivo con múltitud de líneas en blanco, déjalo todo a doble espacio.
#sed '/^$/d;G' antes.txt > despues.txt
Inserta una línea en blanco por cada línea que coincida con regex.
#sed '/regex/{x;p;x;}' antes.txt > despues.txt
Convierte los saltos de línea de DOS (CR/LF) al formato unix.
#sed 's/^M$//' <> despues.txt # para poner en bash ^M pulsa Ctrl-V y Ctrl-M
Substituye foo con bar en cada línea
#sed 's/foo/bar/' <> outfile # reemplaza sólo la primera instancia de una línea
#sed 's/foo/bar/4' <> outfile # reemplaza las 4 primeras instancias de una línea
#sed 's/foo/bar/g' <> outfile # reemplaza todas las instancias de una línea.
Imprimer la sección de archivo entre dos expresiones regulares. (inlcusive)
#sed -n '/regex1/,/regex1/p' <> archivo_nuevo.txt
Sed parece ser una de esas herramientas que provoca miedo en la gente. Muchos ni que decir tiene que ya lo conoceis, ¿pero es útil para vosotros?, ¿la conoceis realmente?
En este mes de las herramientas unix pretendo concentrar gran información práctica. Para saber más sobre las herramientas con las que practicaremos podreis consultar sus man pages.
tabla de contenidos.
¿Qué es sed?
Invocación y uso básico
¿Funciones y Síntaxis
¿Qué es una dirección?
¿Qué son funciones?
¿Qué puedo hacer con sed?
Muestra todo excepto la primera línea
Imprime las líneas sin comentarios de squid.conf
De un archivo con múltitud de líneas en blanco, déjalo todo a doble espacio.
Inserta una línea en blanco por cada línea que coincida con regex.
Convierte los saltos de línea de DOS (CR/LF) al formato unix.
Substituye foo con bar en cada línea
Imprimer la sección de archivo entre dos expresiones regulares. (inlcusive)
¿Qué es sed?
Sed viene de "Stream Editor", esto es, "editor de flujos". Básicamente nos permite realizar múltiples manipulaciones a los flujos de texto.
Invocación y uso básico
#sed [-rn] [-e 'sedscript'] [file1 file2 ...]
-r para utilizar regex extendido, -n para que no muestre nada por la salida por defecto, -e creo que no hará falta explicarlo. Consultar las páginas de manual para más información.
Sed es básicamente un lenguaje de procesamiento de textos. Aunque contiene una gramática muy limitada, sed es muy potente. La instrucción que seguro nos sonará de perl s/foo/bar viene de sed. Algunos ejemplos.
Reemplazamiento simple de texto.
#echo "Hola a todos" | sed -e 's/todos/logadmin/'
Hola a logadmin
Característica similar a grep.
#sed -ne '/Ubuntu/p' /etc/motd
The programs included with the Ubuntu system are free software;
Ubuntu comes with ABSOLUTELY NO WARRANTY, to the extent permitted by
Funciones y Síntaxis.
La síntaxis de sed es muy simple. Una expresión general sera así:
address[,address]function
Las expresiones están separadas por nuevas líneas o punto y coma.
¿Qué es una dirección?
Una dirección es una manera de indicar un lugar en tu flujo de datos. Una dirección poría ser:
- Un número de línea (ej. 1). La primera línea es '1'
- Una expresión que coincide con una expresión regualar, como /foo/
- El carácter $ que coincide con la última línea del fichero.
- Nada, lo que significará 'cada línea del archivo'
¿Qué son funciones?
Las funciones en sed son siempre con una letra. Las más usuales:
- p (print -imprime-)
- s (substitute -sustitye-)
- d (delete -borra-)
- x (intercambia el patrón y manten el buffer)
- h y H (copia y añade al buffer mantenido)
- ! (aplica la próxima función contra las líneas que no coincidan)
¿Qué puedo hacer con sed?
Muestra la primera línea de entrada (igual que head -n 1)
#sed -ne 1p archivo
Muestra todo excepto la primera línea
#sed -ne '1!p' archivo
Imprime las líneas sin comentarios de squid.conf
#sed -ne '/^[^# ]/{p;q;}' squid.conf
De un archivo con múltitud de líneas en blanco, déjalo todo a doble espacio.
#sed '/^$/d;G' antes.txt > despues.txt
Inserta una línea en blanco por cada línea que coincida con regex.
#sed '/regex/{x;p;x;}' antes.txt > despues.txt
Convierte los saltos de línea de DOS (CR/LF) al formato unix.
#sed 's/^M$//' <> despues.txt # para poner en bash ^M pulsa Ctrl-V y Ctrl-M
Substituye foo con bar en cada línea
#sed 's/foo/bar/' <> outfile # reemplaza sólo la primera instancia de una línea
#sed 's/foo/bar/4' <> outfile # reemplaza las 4 primeras instancias de una línea
#sed 's/foo/bar/g' <> outfile # reemplaza todas las instancias de una línea.
Imprimer la sección de archivo entre dos expresiones regulares. (inlcusive)
#sed -n '/regex1/,/regex1/p' <> archivo_nuevo.txt
15 enero 2008
Elige cualquier web vulnerable y... netdisaster
Netdisaster, es una web para atacar otros sitios, pero úsala con precuación. Tal y como dicen en su FAQ, su uso es tu responsabilidad. Tambien nos dan la opción para evitar que alguien la utilice en nuestra contra.
¿Vulnerables a XSS, javascript..?, algo más sencillo.
La página objetivo se carga en un frame. La animación, es un archivo .swf cargado dentro de un tag div con el índice z=100. Básicamente crean dos capas, el sitio "vulnerable" como fondo y el div contiene la animación como una capa transparente en primer plano.
¿Vulnerables a XSS, javascript..?, algo más sencillo.
La página objetivo se carga en un frame. La animación, es un archivo .swf cargado dentro de un tag div con el índice z=100. Básicamente crean dos capas, el sitio "vulnerable" como fondo y el div contiene la animación como una capa transparente en primer plano.
14 enero 2008
Los 11 proyectos Open Source más seguros
Coverity, una compañía que crea herramientas de análisis automático del código fuente, ha anunciado recientemente los 11 proyectos Open Source certificados como libres de defectos de seguridad.
Coverity ha trabajado en colaboración con la Universidad de Stanford, bajo un contrato del departamento de Seguridad Nacional.
Los proyectos certificados están escritos en C, C++, y Java. La lista de los 11 proyectos seleccionados es:
Este tipo de certificación se ha creado para que las compañía puedan seleccionar aplicaciones "Open Source" con gran confianza.
Coverity ha trabajado en colaboración con la Universidad de Stanford, bajo un contrato del departamento de Seguridad Nacional.
Los proyectos certificados están escritos en C, C++, y Java. La lista de los 11 proyectos seleccionados es:
Este tipo de certificación se ha creado para que las compañía puedan seleccionar aplicaciones "Open Source" con gran confianza.
09 enero 2008
awk - Mes de las herramientas unix; semana 1
Introducción
En este mes de las herramientas unix pretendo concentrar gran información práctica. Para saber más sobre las herramientas con las que practicaremos podreis consultar sus man pages.
Qué es awk? Uso básico de awk Registros y campos Selección de campo Patrones y funciones Patrones mágicos; Begin, End Ejemplo de expresiones de patrones Variables Arrays Concatencación de cadenas Ejemplo: Sumando el total del valor de un campo de un fichero de log
Ejemplo: ¿Cuantos archivos de cada tipo tiene abiertos mi usuario? Ejemplo: Muestra archivos que no esten vacios Ejemplo: Muestra las entradas del log comprendidas entre el 10 y el 20 de diciembre (incl):
¿Qué es awk?
awk es una de las más útiles herramientas de filtrado que encontraras. Awk es un completo lenguaje de script, pero nos centraremos exclusivamente en su uso en la shell.
Uso básico de awk
Registros y campos
Awk tiene dos conceptos de datos que vienen de la entrada de un archivo: registros y campos.
Un registro es generalmente una línea entera. El separador de registro por defecto es una nueva línea (RS). Pero se puede cambiar.
Un campo es generalmente una palabra entre espacios en blanco (tabulador o espacio). El separador de campo por defecto es un espacio (FS). También se puede cambiar en cualquier momento.
Selección de campo
A los campos se accede usando el "operador" $. Son válidos:
$1,$2,$3: (primer, segundo y tercer campos)
$NF: (el último campo, es una variable que contiene el número total de campos)
x=1; $(x+3): (equivale al cuarto campo, pero esto ya es liarla :P )
Ejemplo.
Muestra con la que trabajaremos
Ejemplo
Podemos combinar.
Y formatear
Si ejecutamos el mismo comando con un fichero diferente, pongamos /etc/passwd
no mostrara nada por 2 razones, ¿adivinais por que?
Arreglemoslo entonces.
Patrones y funciones
Las expresiones de awk vienen en dos formas; un patrón o una función. Nos centraremos en los patrones que es lo que más se usa.
Un patrón será algo como: [ expresión de la condición ] { [ expresión de la acción ] }
En pseudocódigo sería: if ( expresión de la condición ) { expresión de la acción }
Si no existiera ninguna acción, por defecto haría un 'print'. Si no hubiera condición, por defecto ejecutaría la acción para todos los campos.
Patrones mágicos: BEGIN Y END
BEGIN se usa para ejecutar cosas antes de que se parsee la primera expresión, y END obviamente hace las cosas después de que se haya ejecutado el último registro.
Ejemplo de expresiones de patrones
$1 ~ /foo/ { print $2 }
Imprime el segundo campo de todos los registros de aquellos donde el primer campo coincida con /foo/
$2 > 128
Imprime todos los registros donde el segundo campo se más grande que 128
Variables
Las variables tienen la misma sintáxis que en C, pero no tienes que declararlas.
$3 == "test" { x++ }; END { print x }
Registros totales donde $3 == "test"
{ $1 = ""; print }
Borrar el primer campo de cada registro, imprime el nuevo campo.
{ $3 = "Hola"; print }
Arrays
Los arrays son mágicos. Simplemente empieza usando una variable como un array, y se convertirá en array.
#awk '{ a[$1]++ } END { for (i in a) { print i, a[i] } }'
Concatenación de cadenas
Juntar cadenas es muy simple.
x = "log"; x = x"admin"; # x == "logadmin"
Ejemplo: Sumando el total del valor de un campo de un fichero de log.
Del fichero de log que habíamos elegido al principio, hacemos;
#awk 'BEGIN{total=0;} {total += $5;} END{print "el total es ", total}' access.log
el total es 28677417
Donde $5 es el quinto campo (bytes tranferidos) y obtenemos el total del tamaño transferido en ese log.
Ejemplo: ¿Cuantos archivos de cada tipo tiene abiertos mi usuario?
#lsof -u logadmin | sed 1d| awk '{a[$1]++} END { for (i in a) { print i, a[i] } }' | sort -nk2
gnome-pty 4
ssh-agent 4
awk 9
compiz 9
firefox 9
run-mozil 9
mapping-d 15
sed 21
sort 21
lsof 31
..
Ejemplo: Muestra archivos que no esten vacios.
# ls -l | awk '$5 > 0'
Ejemplo: Muestra las entradas del log comprendidas entre el 10 y el 20 de diciembre (incl).
# cat *.log | awk '$1 == "Dec" && ($2 >= 10 && $2 <= 20)'
NOTA: Perdonad la presentación, se que quedaría infinitamente mejor con estilos definidos y todo ese tipo de formateos, pero me centro en el contenido, no en la apariencia ;)
En este mes de las herramientas unix pretendo concentrar gran información práctica. Para saber más sobre las herramientas con las que practicaremos podreis consultar sus man pages.
Tabla de contenidos
¿Qué es awk?
awk es una de las más útiles herramientas de filtrado que encontraras. Awk es un completo lenguaje de script, pero nos centraremos exclusivamente en su uso en la shell.
Uso básico de awk
awk [-F] [awk_script] Registros y campos
Awk tiene dos conceptos de datos que vienen de la entrada de un archivo: registros y campos.
Un registro es generalmente una línea entera. El separador de registro por defecto es una nueva línea (RS). Pero se puede cambiar.
Un campo es generalmente una palabra entre espacios en blanco (tabulador o espacio). El separador de campo por defecto es un espacio (FS). También se puede cambiar en cualquier momento.
Selección de campo
A los campos se accede usando el "operador" $. Son válidos:
$1,$2,$3: (primer, segundo y tercer campos)
$NF: (el último campo, es una variable que contiene el número total de campos)
x=1; $(x+3): (equivale al cuarto campo, pero esto ya es liarla :P )
Ejemplo.
Muestra con la que trabajaremos
#tail -1 access.log
1199488503.117 239 127.0.0.1 TCP_REFRESH_UNMODIFIED/304 310 GET http://www.logadmin.net/ - NONE/- -
Ejemplo
#awk '{print $7}' access.log
http://www.logadmin.net/
#awk '{print $7 " " $9}' access.log
http://www.logadmin.net/ DIRECT/72.14.207.121
#awk '{print $7 "\t" $9}' access.log
http://www.logadmin.net/ DIRECT/72.14.207.121
Si ejecutamos el mismo comando con un fichero diferente, pongamos /etc/passwd
no mostrara nada por 2 razones, ¿adivinais por que?
Arreglemoslo entonces.
#awk -F: '{print $1 " " $6}' /etc/passwd
logadmin /home/logadmin
Las expresiones de awk vienen en dos formas; un patrón o una función. Nos centraremos en los patrones que es lo que más se usa.
Un patrón será algo como: [ expresión de la condición ] { [ expresión de la acción ] }
En pseudocódigo sería: if ( expresión de la condición ) { expresión de la acción }
Si no existiera ninguna acción, por defecto haría un 'print'. Si no hubiera condición, por defecto ejecutaría la acción para todos los campos.
Patrones mágicos: BEGIN Y END
BEGIN se usa para ejecutar cosas antes de que se parsee la primera expresión, y END obviamente hace las cosas después de que se haya ejecutado el último registro.
Ejemplo de expresiones de patrones
$1 ~ /foo/ { print $2 }
Imprime el segundo campo de todos los registros de aquellos donde el primer campo coincida con /foo/
$2 > 128
Imprime todos los registros donde el segundo campo se más grande que 128
Variables
Las variables tienen la misma sintáxis que en C, pero no tienes que declararlas.
$3 == "test" { x++ }; END { print x }
Registros totales donde $3 == "test"
{ $1 = ""; print }
Borrar el primer campo de cada registro, imprime el nuevo campo.
{ $3 = "Hola"; print }
Arrays
Los arrays son mágicos. Simplemente empieza usando una variable como un array, y se convertirá en array.
#awk '{ a[$1]++ } END { for (i in a) { print i, a[i] } }'
Concatenación de cadenas
Juntar cadenas es muy simple.
x = "log"; x = x"admin"; # x == "logadmin"
Ejemplo: Sumando el total del valor de un campo de un fichero de log.
Del fichero de log que habíamos elegido al principio, hacemos;
#awk 'BEGIN{total=0;} {total += $5;} END{print "el total es ", total}' access.log
el total es 28677417
Donde $5 es el quinto campo (bytes tranferidos) y obtenemos el total del tamaño transferido en ese log.
Ejemplo: ¿Cuantos archivos de cada tipo tiene abiertos mi usuario?
#lsof -u logadmin | sed 1d| awk '{a[$1]++} END { for (i in a) { print i, a[i] } }' | sort -nk2
gnome-pty 4
ssh-agent 4
awk 9
compiz 9
firefox 9
run-mozil 9
mapping-d 15
sed 21
sort 21
lsof 31
..
Ejemplo: Muestra archivos que no esten vacios.
# ls -l | awk '$5 > 0'
Ejemplo: Muestra las entradas del log comprendidas entre el 10 y el 20 de diciembre (incl).
# cat *.log | awk '$1 == "Dec" && ($2 >= 10 && $2 <= 20)'
NOTA: Perdonad la presentación, se que quedaría infinitamente mejor con estilos definidos y todo ese tipo de formateos, pero me centro en el contenido, no en la apariencia ;)
04 enero 2008
Mes de las herramientas unix
Para empezar fuerte, voy a crear una serie de artículos cubriendo información práctica de algunas de las herramientas a menudo olvidadas pero de un gran valor para un administrador de sistemas.
El objetivo de estos artículos será mostrar ejemplos realmente prácticos de esas herramientas, con las que algunos duran 5 segundos leyendo las man pages.
Herramientas unix que exploraremos:
Admito sugerencias para explorar otras herramientas.
Idea basada del blog de Jordan. Un sysadmin de Google.
El objetivo de estos artículos será mostrar ejemplos realmente prácticos de esas herramientas, con las que algunos duran 5 segundos leyendo las man pages.
Herramientas unix que exploraremos:
- Semana 1: awk
- Semana 2: sed
- Semana 3: xargs
- Semana 4: perl
Admito sugerencias para explorar otras herramientas.
Idea basada del blog de Jordan. Un sysadmin de Google.
03 enero 2008
Carta abierta a un administrador de sistemas
La entrada 20 maneras de eliminar el estres parecía escrita por y para administradores de sistemas, gracias Armonth, tomaré nota. De cualquier manera y como añadido a las estrategias clave de un administrador de sistemas, quería empezar el año dando ánimos y respirando hondo para afrontar todo lo que nos deparará este año. Válido para cualquier trabajo relacionado con los sistemas e informática en general, qué tan devaluado está últimamente.
Administrador de sistemas, es un trabajo desagradecido, pero no desesperes;
Habrá días en que te encuentres muy cansado, tan cansado que te preguntarás por qué no has
elegido otro medio de vivir. Días en que parecerá que sólo has hecho un 1% del trabajo que queda por hacer, trabajo que no conseguiras terminar nunca y que por otra parte, nadie se da cuenta de ello, ni siquiera imaginan una ínfima parte de lo que hay detrás de todos esos sistemas que usan a diario. En esos días te sentiras hundido, maltratado y sin apenas fuerzas para enfrentarte a usuarios cínicos, jefes cabreados, personas que conocen el precio de todo pero el valor de nada. Pero no te dejes, no te des por vencido NUNCA. Subestimando algo que vale una fortuna puede ser un riesgo laboral para un administrador de sistemas, pero no tienes que caer en esta particular trampa tú mismo. Simplemente, mantén presente que alguien que puede manejar el día a día de la administración de sistemas (en sus múltiples variedades) vale su peso en oro.
Me viene a la mente un animal como signo de lo que sería el trabajo de un administrador de sistemas, ¿se os ocurre cual podría ser?
Administrador de sistemas, es un trabajo desagradecido, pero no desesperes;
Habrá días en que te encuentres muy cansado, tan cansado que te preguntarás por qué no has
elegido otro medio de vivir. Días en que parecerá que sólo has hecho un 1% del trabajo que queda por hacer, trabajo que no conseguiras terminar nunca y que por otra parte, nadie se da cuenta de ello, ni siquiera imaginan una ínfima parte de lo que hay detrás de todos esos sistemas que usan a diario. En esos días te sentiras hundido, maltratado y sin apenas fuerzas para enfrentarte a usuarios cínicos, jefes cabreados, personas que conocen el precio de todo pero el valor de nada. Pero no te dejes, no te des por vencido NUNCA. Subestimando algo que vale una fortuna puede ser un riesgo laboral para un administrador de sistemas, pero no tienes que caer en esta particular trampa tú mismo. Simplemente, mantén presente que alguien que puede manejar el día a día de la administración de sistemas (en sus múltiples variedades) vale su peso en oro.
Me viene a la mente un animal como signo de lo que sería el trabajo de un administrador de sistemas, ¿se os ocurre cual podría ser?
31 diciembre 2007
Feliz año nuevo 2008
Feliz Año Nuevo!
Xin nian yu kuai
Godt Nytår
Gelukkig nieuwjaar
Aide shoma mobarak
Bonne année
Aith-bhliain Fe Nhaise Dhuit
Gutes Neues Jahr
Hauoli Makahiki Hou
Shanah tovah
Nyob zoo xyoo tshiab
elamat Tahun Baru
Buon Capo d'Anno
Akemashite Omedetou Gozaimasu
Godt Nyttår
Maligayang Bagong Taon
Szczesliwego Nowego roku
Feliz ano novo
La Multi Ani
S Novym Godom
Wilujeng Tahun Baru
Gott Nytt År
Yeni Yiliniz Kutlu Olsun
Blwyddyn Newydd Dda
Unicamente desearos a todos un feliz año nuevo amigos.
Tomad el nuevo año con ganas y optimismo, recobrar fuerzas que nos harán falta. ;)
Enjoy!.
Xin nian yu kuai
Godt Nytår
Gelukkig nieuwjaar
Aide shoma mobarak
Bonne année
Aith-bhliain Fe Nhaise Dhuit
Gutes Neues Jahr
Hauoli Makahiki Hou
Shanah tovah
Nyob zoo xyoo tshiab
elamat Tahun Baru
Buon Capo d'Anno
Akemashite Omedetou Gozaimasu
Godt Nyttår
Maligayang Bagong Taon
Szczesliwego Nowego roku
Feliz ano novo
La Multi Ani
S Novym Godom
Wilujeng Tahun Baru
Gott Nytt År
Yeni Yiliniz Kutlu Olsun
Blwyddyn Newydd Dda
Unicamente desearos a todos un feliz año nuevo amigos.
Tomad el nuevo año con ganas y optimismo, recobrar fuerzas que nos harán falta. ;)
Enjoy!.
28 diciembre 2007
¿Por qué no puedes encontrar a tu Administrador de Sistemas?
Recomiendo este libro, que describe unas cuantas verdades que a muchos administradores les gustaría gritar decir a los usuarios de sus sistemas.
Una imagen vale más que mil palabras.
Tendría que añadir una sexta estrategia de los administradores de sistemas, "permanece oculto a tus usuarios" que ellos se las arreglen y puedas invertir tu tiempo en otras cosas más valiosas.
Enjoy!.
Una imagen vale más que mil palabras.
Tendría que añadir una sexta estrategia de los administradores de sistemas, "permanece oculto a tus usuarios" que ellos se las arreglen y puedas invertir tu tiempo en otras cosas más valiosas.
Enjoy!.
26 diciembre 2007
Los mejores programas hechos en C++ según su Inventor
Bjarne Stroustrup es el inventor de C++, podeis consultar numerosas entrevistas que se le han hecho desde las cuales podremos sacar nuestras propias conclusiones del panorama actual en relación a la programación y entorno en el que nos movemos. Particularmente me quedo con esta pregunta y respuesta de una de las entrevistas:
¿Cuál ha sido el mejor y peor programa realizado en C++?
B.S: El mejor Google!, ¿puedes recordar el mundo antes de Google? (después de todo solo hace 6 años). Lo que me gusta de Google es su rendimiento bajo severas restricciones de recursos. Posee unos de los más sencillos e ingeniosos algoritmos de paralelización y computación distribuida.
Tambien hay sistemas-embebidos que me gustan como por ejemplo los análisis de escena y autonomía de movimiento de la Mars Rovers. Procesamiento de imágenes en Photoshop...
El peor... Lo siento, no voy a poner en verguenza a nadie nombrando su trabajo, es tan tentador.. pero no lo haré.
Entrevista completa.
Escribe el resto del post aqui
¿Cuál ha sido el mejor y peor programa realizado en C++?
B.S: El mejor Google!, ¿puedes recordar el mundo antes de Google? (después de todo solo hace 6 años). Lo que me gusta de Google es su rendimiento bajo severas restricciones de recursos. Posee unos de los más sencillos e ingeniosos algoritmos de paralelización y computación distribuida.
Tambien hay sistemas-embebidos que me gustan como por ejemplo los análisis de escena y autonomía de movimiento de la Mars Rovers. Procesamiento de imágenes en Photoshop...
El peor... Lo siento, no voy a poner en verguenza a nadie nombrando su trabajo, es tan tentador.. pero no lo haré.
Entrevista completa.
Escribe el resto del post aqui
21 diciembre 2007
La Comisión Europea reconoce al Software Libre como un verdadero competidor en la Industria IT
La Comisión Europea, después de haber conseguido que Microsoft publique toda la información técnica de su protocolo para beneficio de la comunidad Open Source y en especial del proyecto Samba, no hace más que reconocer al Software Libre como un verdadero competidor en la industria Tecnológica.
Es una muy buena noticia y un punto de inflexión para la comunidad Open Source, ya que muchos proyectos de código abierto podrán adaptarse para su compatibilidad con la tecnología de Microsoft, que guste ono, está presente en más del 90% de las redes de empresas.
Esto se ha conseguido gracias al esfuerzo que durante años han realizado algunos de los miembros del equipo samba junto con abogados de la Comsión Europea.
Detalles completos.
Decisión de la Comisión Europea.
Es una muy buena noticia y un punto de inflexión para la comunidad Open Source, ya que muchos proyectos de código abierto podrán adaptarse para su compatibilidad con la tecnología de Microsoft, que guste ono, está presente en más del 90% de las redes de empresas.
Esto se ha conseguido gracias al esfuerzo que durante años han realizado algunos de los miembros del equipo samba junto con abogados de la Comsión Europea.
Detalles completos.
Decisión de la Comisión Europea.
16 diciembre 2007
Las 5 reglas de oro para comportarse en una lista de correo.
Bikeshed es un término que convertido a principio vendría a decir algo así como:
La cantidad de discusión es inversamente proporcional a la complejidad del tema.
Se utiliza mucho en listas de correo muy concurridas y su origen viene de las listas de FreeBSD.
Lo explican muy bien con unos ejemplos de ventanas pop-up que deberían implementar todos los clientes de correo cuando alguien va a enviar o responder un mail en una lista:
-----------------------------------------------------------------
-Tu mail se va a enviar a miles de personas que tendrán que gastar al menos 10 segundos leyendo antes de que puedan decidir si es interesante o no. Muchos de los destinatarios incluso tendrán que pargar por leerlo. (nótese aquí la época donde se formo el término)
[Yes] [Revise] [Cancel]
-----------------------------------------------------------------
-Aviso: No has leido todos los mails de este hilo todavía. Alguno ha podido decir antes que tú lo que vas a exponer en tu mail. Por favor, lee el hilo entero antes de enviar el correo.
[Cancel]
-----------------------------------------------------------------
-Aviso: Tu programa de correo no te ha mostrado aún el mensaje entero. Lógicamente quiere decir que no lo has podido leer completamente y entenderlo.
No es de buena educación responder a un correo hasta que lo has leido entero y pensado sobre él.
Un precioso tiempo salvado en este hilo te prevendrá de responder a un mail de este hilo durante la próxima hora.
[Cancel]
-----------------------------------------------------------------
-Has escrito este mail en un ratio de más de N.NN cps. Generalmente no es posible pensar y escribir a un ratio mayor de A.AA cps, de ahí que tu respuesta puede resultar incoherente mal pensada y/o emocional.
Un precioso tiempo te prevendrá de enviar un mail durante la próxima hora.
[Cancel]
-----------------------------------------------------------------
¿Aún estás seguro de enviar ese correo a la lista? :D
La historia completa.
La cantidad de discusión es inversamente proporcional a la complejidad del tema.
Se utiliza mucho en listas de correo muy concurridas y su origen viene de las listas de FreeBSD.
Lo explican muy bien con unos ejemplos de ventanas pop-up que deberían implementar todos los clientes de correo cuando alguien va a enviar o responder un mail en una lista:
-----------------------------------------------------------------
-Tu mail se va a enviar a miles de personas que tendrán que gastar al menos 10 segundos leyendo antes de que puedan decidir si es interesante o no. Muchos de los destinatarios incluso tendrán que pargar por leerlo. (nótese aquí la época donde se formo el término)
[Yes] [Revise] [Cancel]
-----------------------------------------------------------------
-Aviso: No has leido todos los mails de este hilo todavía. Alguno ha podido decir antes que tú lo que vas a exponer en tu mail. Por favor, lee el hilo entero antes de enviar el correo.
[Cancel]
-----------------------------------------------------------------
-Aviso: Tu programa de correo no te ha mostrado aún el mensaje entero. Lógicamente quiere decir que no lo has podido leer completamente y entenderlo.
No es de buena educación responder a un correo hasta que lo has leido entero y pensado sobre él.
Un precioso tiempo salvado en este hilo te prevendrá de responder a un mail de este hilo durante la próxima hora.
[Cancel]
-----------------------------------------------------------------
-Has escrito este mail en un ratio de más de N.NN cps. Generalmente no es posible pensar y escribir a un ratio mayor de A.AA cps, de ahí que tu respuesta puede resultar incoherente mal pensada y/o emocional.
Un precioso tiempo te prevendrá de enviar un mail durante la próxima hora.
[Cancel]
-----------------------------------------------------------------
¿Aún estás seguro de enviar ese correo a la lista? :D
La historia completa.
Receta para el éxito en programación
Aprende a programar en diez años, traducido al español por Carlos Rueda, es un conjunto de puntos y pautas que nos marcarán el camino clave para poder empezar a escribir código, detalla perfectamente las instrucciones de como aplicar primer punto del post como colaborar en proyectos open source, es la parte más dura, sí, es cierto, pero también es la que más recompensas te traerá.
Son los mejores consejos que he oido para iniciarse en la programación, personalmente me quedo con este consejo:
"The best kind of learning is learning by doing. To put it more technically, "the maximal level of performance for individuals in a given domain is not attained automatically as a function of extended experience, but the level of performance can be increased even by highly experienced individuals as a result of deliberate efforts to improve." (p. 366) and "the most effective learning requires a well-defined task with an appropriate difficulty level for the particular individual, informative feedback, and opportunities for repetition and corrections of errors"
Y esta anécdota:
"One of the best programmers I ever hired had only a High School degree; he's produced a lot of great software, has his own news group, and made enough in stock options to buy his own nightclub.
Peter Norvig
Director of Research
"
Son los mejores consejos que he oido para iniciarse en la programación, personalmente me quedo con este consejo:
"The best kind of learning is learning by doing. To put it more technically, "the maximal level of performance for individuals in a given domain is not attained automatically as a function of extended experience, but the level of performance can be increased even by highly experienced individuals as a result of deliberate efforts to improve." (p. 366) and "the most effective learning requires a well-defined task with an appropriate difficulty level for the particular individual, informative feedback, and opportunities for repetition and corrections of errors"
Y esta anécdota:
"One of the best programmers I ever hired had only a High School degree; he's produced a lot of great software, has his own news group, and made enough in stock options to buy his own nightclub.
Peter Norvig
Director of Research
"15 diciembre 2007
No tiene precio
Portada en barrapunto: 2400 visitas
Portada en meneame: 2600 visitas
Comprobar como interesa a la gente lo que escribes, no tiene precio.
Portada en meneame: 2600 visitas
Comprobar como interesa a la gente lo que escribes, no tiene precio.
13 diciembre 2007
¿Cómo sobreviven algunos proyectos Open Source?
Un usuario, pregunta acerca de la financiación de un proyecto Open Source, de como se sustenta y sobrevive. Lo que a continuación escribo, es la traducción directa de uno de los desarrolladores del proyecto consultado en cuestión, una respuesta que puede resumir el estado actual de tanto proyecto Open Source al margen de los patrocinados por Google.
Traducido del original:
Es una cuestión muy difícil de contestar, déjame intentarlo. :)
Ninguno de los actuales desarrolladores de squid trabaja en él como parte de su trabajo diario, contribuyen con pequeñas aportaciones. Aparte de algún trabajo ocasional con contrato o por proyecto, hacemos esto por amor. Honestamente.
(Por ejemplo, Yo lo he estado haciendo recientemente para evitar estudiar en los éxamenes).
Pero esto no siempre ha sido así, -Henrik y yo, hemos trabajado para compañias que usaban squid y les gustaba (en mi caso) que hiciéramos pequeñas aportaciones.
Duane y Alex, fueron patrocinados hace tiempo por una beca de investigación. Nada de esto es realidad ahora mismo.
Squid tambien funciona relativamente mal comparado a lo que hay disponible en el mercado comercial hoy día pero no ha habido un verdadero empujón en arreglar esto hasta hace bien poco. Algunos otros proyectos han derivado en proxy/cache de entornos muy específicos con cargas de trabajo muy específicas, pero squid todavía es el mejor en cargas de trabajo "generales".
La desafortunada verdad es esta -Hoy día es más barato comprar $dispositivos_comerciales en pequeñas cantidades que invertir en un desarrollador de squid. Los grandes proyectos simplemente compran más equipos ya que es menos arriesgado que invertir en un desarrollador de squid. Para aquellos que squid "simplemente funciona", es "simplemente funciona" suficiente con configurar y dejarlo; Creo que somos víctimas de la loca habilidad de Henrik de corregir bugs como sustitutivo de dormir. :)
Cómo tenemos que comer, y la mayoría de los demás desarrolladores tienen familias etc por las que preocuparse, no podemos dedicar mucho tiempo simplemente a hacer "rellenos"por el arte de rellenar.
Creo que este es un buen comienzo. Hay otros temas pero he prometido no hablar de ellos.
Personalmente, intento cambiar esto de alguna manera. Anunciaré parte de lo que estoy haciendo en unos días. Estoy cansado de estar sin un duro y trabajando en squid - algo se tiene que hacer que me permita trabajar con squid, terminar la universidad finalmente -y- comer. :)
Traducido del original:
Es una cuestión muy difícil de contestar, déjame intentarlo. :)
Ninguno de los actuales desarrolladores de squid trabaja en él como parte de su trabajo diario, contribuyen con pequeñas aportaciones. Aparte de algún trabajo ocasional con contrato o por proyecto, hacemos esto por amor. Honestamente.
(Por ejemplo, Yo lo he estado haciendo recientemente para evitar estudiar en los éxamenes).
Pero esto no siempre ha sido así, -Henrik y yo, hemos trabajado para compañias que usaban squid y les gustaba (en mi caso) que hiciéramos pequeñas aportaciones.
Duane y Alex, fueron patrocinados hace tiempo por una beca de investigación. Nada de esto es realidad ahora mismo.
Squid tambien funciona relativamente mal comparado a lo que hay disponible en el mercado comercial hoy día pero no ha habido un verdadero empujón en arreglar esto hasta hace bien poco. Algunos otros proyectos han derivado en proxy/cache de entornos muy específicos con cargas de trabajo muy específicas, pero squid todavía es el mejor en cargas de trabajo "generales".
La desafortunada verdad es esta -Hoy día es más barato comprar $dispositivos_comerciales en pequeñas cantidades que invertir en un desarrollador de squid. Los grandes proyectos simplemente compran más equipos ya que es menos arriesgado que invertir en un desarrollador de squid. Para aquellos que squid "simplemente funciona", es "simplemente funciona" suficiente con configurar y dejarlo; Creo que somos víctimas de la loca habilidad de Henrik de corregir bugs como sustitutivo de dormir. :)
Cómo tenemos que comer, y la mayoría de los demás desarrolladores tienen familias etc por las que preocuparse, no podemos dedicar mucho tiempo simplemente a hacer "rellenos"por el arte de rellenar.
Creo que este es un buen comienzo. Hay otros temas pero he prometido no hablar de ellos.
Personalmente, intento cambiar esto de alguna manera. Anunciaré parte de lo que estoy haciendo en unos días. Estoy cansado de estar sin un duro y trabajando en squid - algo se tiene que hacer que me permita trabajar con squid, terminar la universidad finalmente -y- comer. :)
05 diciembre 2007
ISDC: De como se lo montan los phishers
Revisando el correo, me encuentro con uno de esos que tan acostumbrados estamos a ver, esos que nos avisan de un nuevo mensaje, o que tenemos un problema en el servicio X y tenemos que solucionarlo, pero no sabemos de que hablan a priori. Pues bien, ese, es el primer paso de un delicado camino, en el cual los ciberestafadores, se las ingenian para engañar a los usuarios de Internet más nóveles.
Tengo algo de tiempo, asi que veamos de que trata esto, como ya he dicho alguna vez, un buen administrador de sistemas tiene que saber como funcionan realmente las cosas, veamos:
Examinemos de una manera detallada el correo.
Primero, observamos que el enlace apunta a un sitio web un tanto peculiar. Algo desconcertante tratándose de algo oficial y no coincidiendo el dominio del correo con la url a la que nos quieren llevar.
Entremos en materia.
Nos descargamos ese enlace manualmente para ver que es lo que contiene:
Ya lo tenemos, veamos entonces ahora:
Mmmh, vaya, tenemos una redireccion inmediata a grante.org/login.
Ya que estamos aqui, un consejo, no utiliceis la tecnica refresh para redirigir. Usa estandares.
Vaya, es una pagina de un banco americano, tanto para esto, espera un momento, algo me huele mal, veamos el remitente del correo que estamos analizando, es office@granite.org, veamos esa pagina web. Confirmamos sospechas, granite.org es identica a grante.org. Pero como vemos en la imagen, firefox tambien nos avisa de ello gracias a la protección antiphising.
Aquí, con firefox, podemos reportar páginas de este tipo sospechosas de phising, a través de "Ayuda" -> "Informar de falsificación web".
NOTA: Actualmente, el sitio reportado está deshabilitado como podreis comprobar. Cuando realice estas pruebas, funcionaba perfectamente.
Resumimos secuencia y veamos que técnicas se han utilizado en este ataque mini-ataque phising:
1. Nos intentan engañar de alguna manera para realizar una accion determinada, en este caso hacer click en un enlace. Podriamos denominarlo Ingeniería social.
2. Se aprovechan de vulnerabilidades o debilidades de clientes de correo. En este caso, nos presentan un enlace que apunta a un sitio web malicioso. Esta vez era fácil, ya que simplente situando el puntero sobre el enlace comprobabamos a donde nos redirigiria.
3. La similitud del nombre de dominio confundiria a una gran parte de la gente. Una tecnica denominada cybersquatting.
ISDC: Ingeniería Social + Debilidad + Cybersquatting.
Como sé que todos los que leeis este blog lo haceis con firefox, cuando os encontreis con un correo de este tipo, reportad la página a la cual os llevan como fraudulenta, aportarás tu pequeño granito de arena en la gran lucha contra el phising.
Tengo algo de tiempo, asi que veamos de que trata esto, como ya he dicho alguna vez, un buen administrador de sistemas tiene que saber como funcionan realmente las cosas, veamos:
Examinemos de una manera detallada el correo.
Primero, observamos que el enlace apunta a un sitio web un tanto peculiar. Algo desconcertante tratándose de algo oficial y no coincidiendo el dominio del correo con la url a la que nos quieren llevar.
Entremos en materia.
Nos descargamos ese enlace manualmente para ver que es lo que contiene:
ubuntu@ubuntu:~/phishing$ wget http://transchryver.net/manual/redirect.html
--16:16:03-- http://transchryver.net/manual/redirect.html
=> `redirect.html'
Resolving transchryver.net... 200.63.222.16
Connecting to transchryver.net|200.63.222.16|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 107 [text/html]
Ya lo tenemos, veamos entonces ahora:
ubuntu@ubuntu:~/phishing$ ls
redirect.html
ubuntu@ubuntu:~/phishing$ more redirect.html
</HTML>
<HEAD><meta http-equiv="Refresh" content="0;
URL=http://grante.org/login/"> </HEAD>
</HTML>
Mmmh, vaya, tenemos una redireccion inmediata a grante.org/login.
Ya que estamos aqui, un consejo, no utiliceis la tecnica refresh para redirigir. Usa estandares.
Vaya, es una pagina de un banco americano, tanto para esto, espera un momento, algo me huele mal, veamos el remitente del correo que estamos analizando, es office@granite.org, veamos esa pagina web. Confirmamos sospechas, granite.org es identica a grante.org. Pero como vemos en la imagen, firefox tambien nos avisa de ello gracias a la protección antiphising.
Aquí, con firefox, podemos reportar páginas de este tipo sospechosas de phising, a través de "Ayuda" -> "Informar de falsificación web".
NOTA: Actualmente, el sitio reportado está deshabilitado como podreis comprobar. Cuando realice estas pruebas, funcionaba perfectamente.
Resumimos secuencia y veamos que técnicas se han utilizado en este ataque mini-ataque phising:
1. Nos intentan engañar de alguna manera para realizar una accion determinada, en este caso hacer click en un enlace. Podriamos denominarlo Ingeniería social.
2. Se aprovechan de vulnerabilidades o debilidades de clientes de correo. En este caso, nos presentan un enlace que apunta a un sitio web malicioso. Esta vez era fácil, ya que simplente situando el puntero sobre el enlace comprobabamos a donde nos redirigiria.
3. La similitud del nombre de dominio confundiria a una gran parte de la gente. Una tecnica denominada cybersquatting.
ISDC: Ingeniería Social + Debilidad + Cybersquatting.
Como sé que todos los que leeis este blog lo haceis con firefox, cuando os encontreis con un correo de este tipo, reportad la página a la cual os llevan como fraudulenta, aportarás tu pequeño granito de arena en la gran lucha contra el phising.
01 diciembre 2007
Meme: ¿Cuales son los 10 mejores posts que has escrito en tu blog?
En algunos blogs, a veces, se pierden muy buenos contenidos. Por ello, muchos hacen resúmenes mensuales de las entradas. Leyendo un blog que hacía eso, se me ha ocurrido ¿cuales serán los X mejores posts del blog?. Pensando en el blog de un administrador de sistemas, he buscado (ejerecicio que recomiendo) y me han salido los que a continuación pondré. Tened en cuenta que la opinión es muy subjetiva, pero son unos posts que me gustan particularmente por mil motivos.
Quería compartirlo con vosotros, pero a la vez también quería descubrir que posts consideran los autores de otros blogs que son los mejores, para ello, nada mejor que convertirlo en meme.
Enumerad los 10 posts que querais con una pequeña reseña de el porqué.
Meme: ¿Cuáles son los 10 mejores posts que has escrito en tu blog?
1. Mitos sobre los usos desconocidos de los móviles: Un post que me pareció muy interesante cuando leí uno similar, me dedique a investigar un poco para recopilar esa información. Al final parece que el post intereso a la gente. Tuvo su efecto.
2. ¿Sólo en las películas?. Un escenario de el peligro de nuestra privacidad. Me interesa todo lo relacionado con la privacidad, me divertí escribiendo esa pequeña historia (o tocho infumable :)).
¿Alguno sabe de que empresa se podría tratar?
3. Imagina. Todos tenemos derecho a soñar.
4. Grep utilitiy question. A veces me gustá usar mi blog para fines personales, ¡qué!
5. Líderes tecnológicos que trabajan en Google. Open Source y los productos relacionados con Google, agitándolo, salió un posto como éste.
6. Desmitificando mitos de como acceder a páginas bloqueadas. A veces, me gusta llevar la contraria a algunos, o a muchos.
7. Posteadores en portadas. ¿Nuevo perfil profesional en Internet?. ¿Sere un visionario?
8. Las extensiones de firefox son las respuestas a muchas de tus preguntas. Un día inspirado.
9. Sí tienes un accidente, ¿cómo avisaran a tu familia?. A veces, la puedes liar en esto de la blogosfera.
10. Lee las instrucciones aunque no las siguas. Otras veces soy un sentimental.
Hay muchos más, pero ese es un pequeño resumen. ¿Y tú, cuales son los 10 mejores posts de tu blog?
No soy muy amigo de los memes, pero siento especial interes con éste por ver que piensa la gente de sus blogs. Por ello, envío este meme a Armonth, Magarto, Alcanjo, Inkilino, forat y a cualquiera que lo siga y me avise.
Quería compartirlo con vosotros, pero a la vez también quería descubrir que posts consideran los autores de otros blogs que son los mejores, para ello, nada mejor que convertirlo en meme.
Enumerad los 10 posts que querais con una pequeña reseña de el porqué.
Meme: ¿Cuáles son los 10 mejores posts que has escrito en tu blog?
1. Mitos sobre los usos desconocidos de los móviles: Un post que me pareció muy interesante cuando leí uno similar, me dedique a investigar un poco para recopilar esa información. Al final parece que el post intereso a la gente. Tuvo su efecto.
2. ¿Sólo en las películas?. Un escenario de el peligro de nuestra privacidad. Me interesa todo lo relacionado con la privacidad, me divertí escribiendo esa pequeña historia (o tocho infumable :)).
¿Alguno sabe de que empresa se podría tratar?
3. Imagina. Todos tenemos derecho a soñar.
4. Grep utilitiy question. A veces me gustá usar mi blog para fines personales, ¡qué!
5. Líderes tecnológicos que trabajan en Google. Open Source y los productos relacionados con Google, agitándolo, salió un posto como éste.
6. Desmitificando mitos de como acceder a páginas bloqueadas. A veces, me gusta llevar la contraria a algunos, o a muchos.
7. Posteadores en portadas. ¿Nuevo perfil profesional en Internet?. ¿Sere un visionario?
8. Las extensiones de firefox son las respuestas a muchas de tus preguntas. Un día inspirado.
9. Sí tienes un accidente, ¿cómo avisaran a tu familia?. A veces, la puedes liar en esto de la blogosfera.
10. Lee las instrucciones aunque no las siguas. Otras veces soy un sentimental.
Hay muchos más, pero ese es un pequeño resumen. ¿Y tú, cuales son los 10 mejores posts de tu blog?
No soy muy amigo de los memes, pero siento especial interes con éste por ver que piensa la gente de sus blogs. Por ello, envío este meme a Armonth, Magarto, Alcanjo, Inkilino, forat y a cualquiera que lo siga y me avise.
27 noviembre 2007
Las 5 estrategias clave de un administrador de sistemas
A veces, recibo algunos correos de lectores solicitando consejos para dedicarse a la administración de sistemas. Lo primero decir que el trabajo de un administrador de sistemas es como la RENFE, te encargas de que los trenes lleguen a su hora, pero la gente no se entera de eso a menos que lleguen tarde.
Otras veces, las tareas de un administrador de sistemas no están muy claras.
Pero lo que si está claro, es que la administración de sistemas es un trabajo nada agradecido, o "thankless job" como dirían los yankis.
Imagina realizar un popurrí de tareas, únelo a la interacción con personal (cualificado y no cualificado) y manten a la vez ese equilibrio necesario de adecuación y cumplimiento de políticas internas. Es por ello que muchas veces afloran intereses opuestos de responsabilidad, tensión con los altos departamentos y necesidad de cooperación y servicio hacia los demás.
Por otra parte, en cuanto al aspecto técnico del trabajo, existen 5 estrategias en mi opinión básicas para un administrador de sistemas, las cuales se pueden aplicar en casi cualquier tarea a realizar:
1. Planealo antes de hacerlo.
2. Haz que el cambio sea reversible.
3. Crea los cambios incrementalmente.
4. Testea, testea, testea y testea antes de ponerlo en producción.
5. Aprende como funcionan las cosas realmente.
Al menos, esto es algo que he aprendido en mi corta experiencia como administrador.
¿Se os ocurre alguna más?
Otras veces, las tareas de un administrador de sistemas no están muy claras.
Pero lo que si está claro, es que la administración de sistemas es un trabajo nada agradecido, o "thankless job" como dirían los yankis.
Imagina realizar un popurrí de tareas, únelo a la interacción con personal (cualificado y no cualificado) y manten a la vez ese equilibrio necesario de adecuación y cumplimiento de políticas internas. Es por ello que muchas veces afloran intereses opuestos de responsabilidad, tensión con los altos departamentos y necesidad de cooperación y servicio hacia los demás.
Por otra parte, en cuanto al aspecto técnico del trabajo, existen 5 estrategias en mi opinión básicas para un administrador de sistemas, las cuales se pueden aplicar en casi cualquier tarea a realizar:
1. Planealo antes de hacerlo.
2. Haz que el cambio sea reversible.
3. Crea los cambios incrementalmente.
4. Testea, testea, testea y testea antes de ponerlo en producción.
5. Aprende como funcionan las cosas realmente.
Al menos, esto es algo que he aprendido en mi corta experiencia como administrador.
¿Se os ocurre alguna más?
20 noviembre 2007
4 motivos por los cuales las empresas no son seguras
Los estándares de seguridad están en auge hoy día aquí en España PCI-DSS, estándares como la ISO 27001, y otros más.. No es que vayan a resolver todos tus problemas, pero es una manera de conocer hacia donde se dirige tu organización.
En mi opinión, la mayoría de las organizaciones tienen un gran desconocimiento de los riesgos a los que se enfrentan, sobre todo aquellas con presencia en Internet, desconocen a los que se exponen, así como tambien cual sería el impacto en su negocio, pero... ¿cuales son los problemas a los que se enfrentan?:
1. Administración y gobierno: Toda la bibliografía al respecto indica lo mismo, si el CEO y el consejo de administración de una empresa no tienen la responsabilidad final de la seguridad del negocio, entonces es que no le prestan atención. En este aspecto, las tareas de un consejo de administración preocupado por la seguridad de su empresa serían: asegurar la supervivencia y solidez de la empresa a largo plazo, desde un punto de vista económico, competitivo y organizativo rigiendo principios de transparencia eficiencia colegialidad unidad y división de funciones.
La seguridad es EL problema del director. Los administradores de sistemas e ingenieros de seguridad, serían la herramienta que el director debería utilizar. Los directores tendrían que involucrarse directamente en las decisiones que conlleven riesgo. No necesitan conocer los aspectos técnicos, pero sí que riesgos se están introduciendo o disminuyendo según las acciones de la propia evolución de la empresa. No es decisión del administrador de sistemas donde invertir para mitigar riesgos. Es el director quién debería saber lo que vale en Euros la prevención de un riesgo.
Hoy día, los directores están más preocupados por otras aspectos de la empresa que en esto que estamos hablando.
2. Políticas y estándares: Lo he comentado al principio, los estándares de seguridad y las políticas no son la panacea. Hay que tener una efectiva capa de administración y gobierno para asegurar las buenas prácticas, así como tomar conciencia del entorno corporativo.
Hay que predicar con el ejemplo y nada mejor que aplicarlo en casa.
3. Conciencia del entorno: Llama la atención cuantas organizaciones presumen de ser seguras y de poseer fuertes medidas y controles de seguridad pero no tienen un concepto claro de lo que poseen. ¿Cómo puedes afirmar que tu organización es segura si ni siquiera conoces lo que tienes que proteger?. Rangos de direcciones IPs, sistemas, aplicaciones web, entornos corporativos...
4. Gestión de respuesta a incidentes: Si al final, algo falla, y ocurre un incidente de seguridad (ocurrirá), en el mejor de los casos, la compañía será consciente de lo que les ha pasado, pero si no hay un plan de acción ¿cómo va a responder rápida y efectivamente ante algún imprevisto?
Resumiendo
Puede haber mucha teoría en cuanto a la gestión de la seguridad en una organización, pero en este caso, a diferencia de muchas de las tareas de un administrador de sistemas donde lo que prima es la lógica y el sentido común, aquí hará falta un marco adecuado de medidas y políticas que englobe a todo el personal de la empresa para al final recaer toda la responsabilidad principal o la mayor parte de ella en el director y/o consejo de dirección.
En mi opinión, la mayoría de las organizaciones tienen un gran desconocimiento de los riesgos a los que se enfrentan, sobre todo aquellas con presencia en Internet, desconocen a los que se exponen, así como tambien cual sería el impacto en su negocio, pero... ¿cuales son los problemas a los que se enfrentan?:
1. Administración y gobierno: Toda la bibliografía al respecto indica lo mismo, si el CEO y el consejo de administración de una empresa no tienen la responsabilidad final de la seguridad del negocio, entonces es que no le prestan atención. En este aspecto, las tareas de un consejo de administración preocupado por la seguridad de su empresa serían: asegurar la supervivencia y solidez de la empresa a largo plazo, desde un punto de vista económico, competitivo y organizativo rigiendo principios de transparencia eficiencia colegialidad unidad y división de funciones.
La seguridad es EL problema del director. Los administradores de sistemas e ingenieros de seguridad, serían la herramienta que el director debería utilizar. Los directores tendrían que involucrarse directamente en las decisiones que conlleven riesgo. No necesitan conocer los aspectos técnicos, pero sí que riesgos se están introduciendo o disminuyendo según las acciones de la propia evolución de la empresa. No es decisión del administrador de sistemas donde invertir para mitigar riesgos. Es el director quién debería saber lo que vale en Euros la prevención de un riesgo.
Hoy día, los directores están más preocupados por otras aspectos de la empresa que en esto que estamos hablando.
2. Políticas y estándares: Lo he comentado al principio, los estándares de seguridad y las políticas no son la panacea. Hay que tener una efectiva capa de administración y gobierno para asegurar las buenas prácticas, así como tomar conciencia del entorno corporativo.
Hay que predicar con el ejemplo y nada mejor que aplicarlo en casa.
3. Conciencia del entorno: Llama la atención cuantas organizaciones presumen de ser seguras y de poseer fuertes medidas y controles de seguridad pero no tienen un concepto claro de lo que poseen. ¿Cómo puedes afirmar que tu organización es segura si ni siquiera conoces lo que tienes que proteger?. Rangos de direcciones IPs, sistemas, aplicaciones web, entornos corporativos...
4. Gestión de respuesta a incidentes: Si al final, algo falla, y ocurre un incidente de seguridad (ocurrirá), en el mejor de los casos, la compañía será consciente de lo que les ha pasado, pero si no hay un plan de acción ¿cómo va a responder rápida y efectivamente ante algún imprevisto?
Resumiendo
Puede haber mucha teoría en cuanto a la gestión de la seguridad en una organización, pero en este caso, a diferencia de muchas de las tareas de un administrador de sistemas donde lo que prima es la lógica y el sentido común, aquí hará falta un marco adecuado de medidas y políticas que englobe a todo el personal de la empresa para al final recaer toda la responsabilidad principal o la mayor parte de ella en el director y/o consejo de dirección.
19 noviembre 2007
Autenticación 2.0: La red de telefonía como esquema de autentificación remota
Imagina que estás en la web a punto de realizar una transacción importante. Después de hacer login y especificar la transacción, el sitio te presentará una página mostrándote una serie de teléfonos y preguntándote a cual de ellos puedes responder ahora mismo. Cuando seleccionas el número, el sistema crea una llamada telefónica y a los pocos segundos tú teléfono suena. El sistema sincroniza la llamada telefónica con la sesión web (para asegurar que únicamente quién responde la llamada puede completar la transacción), quizá realiza alguna autenticación adicional, y entonces un mensaje a través del teléfono te indica un código de autorización.
Este método es lo que se denomina Autenticación de factor 2, existen otros tipos de autenticación de factor 2, uno de ellos lo conocemos muy bien y lo usamos casi a diario, sí, cuando vas a sacar dinero a un cajero, lo haces mediante una tarjeta de crédito/debito (algo que tienes) y con un pin (algo que conoces). Por otra parte, cuando realizamos una transacción con nuestro banco a través de Internet, lo hacemos mediante el mecanismo más debil de autenticación, usuario/password y sobre la red, pero menos mál que los sitios online de banca utilizan el protcolo seguro HTTPS , el cual no nos sirve de nada si cualquiera tiene nuestros datos de acceso, gracias a los key-loggers, una mirada por encima del hombro o cualquier otro método que no mencionaré. Es por ello que los bancos están obligados a cambiar de esquema de autenticación de sus usuarios si no quieren seguir siendo carne de phising.
Authentify posibilita este tipo de autenticación de 2 factores, pero existen muchos otros tipos como ya he dicho anteriormente pero que los dejo como ejercicio de descubrimiento del lector. ;)
Al fin y al cabo, la red telefónica es una de las mayores infraestructuras que tenemos después de Internet.
Este método es lo que se denomina Autenticación de factor 2, existen otros tipos de autenticación de factor 2, uno de ellos lo conocemos muy bien y lo usamos casi a diario, sí, cuando vas a sacar dinero a un cajero, lo haces mediante una tarjeta de crédito/debito (algo que tienes) y con un pin (algo que conoces). Por otra parte, cuando realizamos una transacción con nuestro banco a través de Internet, lo hacemos mediante el mecanismo más debil de autenticación, usuario/password y sobre la red,
Authentify posibilita este tipo de autenticación de 2 factores, pero existen muchos otros tipos como ya he dicho anteriormente pero que los dejo como ejercicio de descubrimiento del lector. ;)
Al fin y al cabo, la red telefónica es una de las mayores infraestructuras que tenemos después de Internet.
18 noviembre 2007
Curioso anuncio de empleo en el País.
¿Te encanta el olor a código fresco por la mañana?
Este tipo de anuncio me ha hecho pensar, si hasta hace poco eran los anuncios en inglés los que ya de entrada filtraban a un gran número de posibles candidatos, ¿por qué no realizar anuncios de empleo con código XML, perl o algoritmos describiendo los requisitos de los candidatos o direcciones de contacto?. Algo así como los que ya hizo Google, pero a menor escala.
De cualquier modo, la curiosidad me llevó a descubrir un nuevo sitio social de la web 2.0
15 noviembre 2007
Culturilla básica de un informático apasionado
¿Cuántos ingenieros conocen Slashdot o Barrapunto? ¿cuántos han participado en proyectos de software libre? ¿quiénes han mirado el código que otros han desarrollado? ¿cuántos se han presentado en uno de los tantos concursos de programación? ¿cuántos leen los ensayos o artículos de Larry Wall (genio del Perl), Paul Graham (gurú de las start-ups), Joel Spolsky, Marc Andreessen (creador de Netscape) o Lawrence Lessig (creador de Creative Commons)? ¿cuántos además de hablar y exigir tanto Java desde el primer día leen el blog de Jonathan Schwartz (CEO de Sun)? ¿cuántos consultan o colaboran con la Wikipedia? ¿cuántos están deseosos de hacer programas que lo use "la gente" que no "las empresas"?
Yo añadiría; ¿Cuantos siguen de cerca un proyecto Open Source aunque al principio sólo sea como observador? ¿Cuantos conocen los beneficios de participar en ese tipo de proyectos?
¿cuantos gastan todas las posibilidades de solucionar algo antes que preguntar?.
Un consejo, si has terminado o estás terminando la carrera de informática o telecomunicaciones y de verdad te apasiona, no seas carne de becario, avanza y participa en un proyecto Open Source. Hay miles.
Yo añadiría; ¿Cuantos siguen de cerca un proyecto Open Source aunque al principio sólo sea como observador? ¿Cuantos conocen los beneficios de participar en ese tipo de proyectos?
¿cuantos gastan todas las posibilidades de solucionar algo antes que preguntar?.
Un consejo, si has terminado o estás terminando la carrera de informática o telecomunicaciones y de verdad te apasiona, no seas carne de becario, avanza y participa en un proyecto Open Source. Hay miles.
07 noviembre 2007
¿Qué ocurre cuando unos hackers intentan gastar una broma (defacement) a su maestro?
HA.CKERS.ORG es un gran blog sobre seguridad, Robert Hansen aka RSnake está detrás de él, realiza una gran contribución a la seguridad de las aplicaciones web a través de su blog y con numerosos artículos que ha escrito.
Ha construido toda una comunidad alrededor de su blog, siempre con sanas discusiones sobre los artículos escritos en su web. Pero dos lectores asiduos, intentaron gastarle una broma, (él no se la tomo así) sin éxito.
¿Qué les ocurrio?
Mejor, leerlo en la entrada original Owning ha.ckers or not, no tiene desperdicio. Esos "guys" se lo pensarán antes de intentar hacer otra cosa similar. :D
Ha construido toda una comunidad alrededor de su blog, siempre con sanas discusiones sobre los artículos escritos en su web. Pero dos lectores asiduos, intentaron gastarle una broma, (él no se la tomo así) sin éxito.
¿Qué les ocurrio?
Mejor, leerlo en la entrada original Owning ha.ckers or not, no tiene desperdicio. Esos "guys" se lo pensarán antes de intentar hacer otra cosa similar. :D
31 octubre 2007
Singular presentación de seguridad web
Sí a una presentación de seguridad web le añadimos un toque de originalidad y un escogido diseño obtendremos algo como:
Merece la pena ver la presentación conozcamos o no los términos que en ella se exponen.
Un gran trabajo creativo de Joe Walker.
Merece la pena ver la presentación conozcamos o no los términos que en ella se exponen.
Un gran trabajo creativo de Joe Walker.
26 octubre 2007
Llegó, la plataforma web integrada en el entorno de escritorio
En el post anterior mencionaba el cambio de plataforma en el uso diario del ordenador, y de como el S.O ha dejado espacio para el entorno web donde podemos encontrar y utilizamos las aplicaciones de a diario. Pero, ¿y si se junta lo mejor de los dos mundos?.
Imagina tener cualquier aplicación web integrada en el escritorio como si de un programa más de tu equipo se tratase.
De eso trata prism, un proyecto de mozilla, donde cada aplicación web se puede integrar en el escritorio sin necesidad de tener que adaptar las aplicaciones para ello, ya que cualquier aplicación que se pueda ejecutar en un navegador moderno como firefox, se podrá ejecutar en prism.
Sin duda puede ser un gran paso para los usuarios noveles, que veran lo mejor de los dos mundos en uno solo.
Imagina tener cualquier aplicación web integrada en el escritorio como si de un programa más de tu equipo se tratase.
De eso trata prism, un proyecto de mozilla, donde cada aplicación web se puede integrar en el escritorio sin necesidad de tener que adaptar las aplicaciones para ello, ya que cualquier aplicación que se pueda ejecutar en un navegador moderno como firefox, se podrá ejecutar en prism.
Sin duda puede ser un gran paso para los usuarios noveles, que veran lo mejor de los dos mundos en uno solo.
18 octubre 2007
Nuevas amenazas; Rootkits de navegador. Protégete.
Muy lejos quedan aquellos tiempos en los que los rootkits te daban todo el control de un sistema simplemente parcheando "bajo la sombra" código del kernel.
Los tiempos cambian, y el S.O ha ocupado un segundo lugar dando paso al navegador web como "middleware", es decir, la fuente principal de trabajo de todo usuario hoy en día. Hoy ya no se concibe un ordenador sin navegador web. De ahí, que tambien el navegador web se ha convertido en el principal objetivo a comprometer.
Gran parte de un navegador puede estar escrito en lenguajes de script como Python o Javascript y se apoyan en formatos como XML, RDF, XHTML y más. Diversas tecnologías unidas y con un enfoque completamente diferente al entorno que subyace en el S.O, hacen de los navegadores web, un elemento totalmente aislado de la protección de los más modernos sistemas antivirus actuales.
Los nuevos antivirus y agentes antispyware van a tener un duro trabajo por delante, ya que lenguajes basados en prototipos como javascript pueden mutar facilmente, e incluso XML que es bastante dinámico tiene unas poderosas características polimórficas en conjunción por ejemplo con un simple XSLT.
Si antes los rootkits podían infectar un S.O específico. Hoy día, un rootkit de navegador puede estar en cualquier S.O teniendo en cuenta la propia naturaleza de los navegadores web que son independientes de la plataforma en que se ejecuten, como por ejemplo firefox.
Mientras esperamos a ver como se desarrollan los acontecimientos, dejad en un segundo plano los firewall y antivirus y echar un vistazo a NoScript, si no quereis tener algo más que un susto. Avisados estais.
Los tiempos cambian, y el S.O ha ocupado un segundo lugar dando paso al navegador web como "middleware", es decir, la fuente principal de trabajo de todo usuario hoy en día. Hoy ya no se concibe un ordenador sin navegador web. De ahí, que tambien el navegador web se ha convertido en el principal objetivo a comprometer.
Gran parte de un navegador puede estar escrito en lenguajes de script como Python o Javascript y se apoyan en formatos como XML, RDF, XHTML y más. Diversas tecnologías unidas y con un enfoque completamente diferente al entorno que subyace en el S.O, hacen de los navegadores web, un elemento totalmente aislado de la protección de los más modernos sistemas antivirus actuales.
Los nuevos antivirus y agentes antispyware van a tener un duro trabajo por delante, ya que lenguajes basados en prototipos como javascript pueden mutar facilmente, e incluso XML que es bastante dinámico tiene unas poderosas características polimórficas en conjunción por ejemplo con un simple XSLT.
Si antes los rootkits podían infectar un S.O específico. Hoy día, un rootkit de navegador puede estar en cualquier S.O teniendo en cuenta la propia naturaleza de los navegadores web que son independientes de la plataforma en que se ejecuten, como por ejemplo firefox.
Mientras esperamos a ver como se desarrollan los acontecimientos, dejad en un segundo plano los firewall y antivirus y echar un vistazo a NoScript, si no quereis tener algo más que un susto. Avisados estais.
16 octubre 2007
El pasaporte británico expira a los 10 años, pero el chip a los 2.
Y es que los gobiernos no saben usar la tecnología, al menos en otros países de Europa como Holanda o Reino Unido. No así en España, donde te explican como si de las instrucciones de un móvil se tratara, algunos de los elementos de seguridad del nuevo DNIe.
"Además, el documento incorpora un número único, una clave pública que se asocia al DNI y el titular dispone de una clave privada que se estructura como un código PIN alfanumérico, donde la huella digital actúa como código PUK.
03 octubre 2007
Hacker, éste es tu trabajo ideal
Me embargaba una sensación de total entusiasmo... Trabajaba constantemente días enteros hasta terminar, y era estimulante. Había momentos en que no quería parar [...] La actividad del hacker es tambien gozosa. A menudo se enraíza en exploraciones lúdicas.
¿Qué opinais de esta oferta? ¿No os parece realmente interesante?"La ética del hacker". Pekka Himanen.
Para seguir adecuadamente esa filosofía es preciso tener (o recuperar) esa actitud de disfrute y pasión. Es preciso que te importe. Necesitas jugar. Tienes que querer explorar. ¿Qué a que viene todo esto?. Corto y pego una oferta de trabajo que he visto y ha llamado mi atención:
-----
Closing Date: 2007-10-26
HACKERS this is the job that will make your day...
I'm a pen-test and research specialist recruiter currently looking to make contact with some of the best hackers in the world...
I'm currently recruitng for positions in 5 countries, and need to find some of the best of the best hackers in the world for my client. The role is client facing and, but NOT a sales role where you're expected to sell add-ons and hit targets. The role is for a REAL TECH-LOVER.
I'm really looking for people, ideally from programming and development backgrounds, with skills across all areas of pen-test including code-audit, network, web-apps, wireless, infrastructure review, VoIP/War Dialling, Protocol level testing, Social Engineering, Reverse engeneering, RFID testing, Database Testing etc etc.
The client will give you 25% of your time for personal research projects, and you WILL be expected to attend global security conferences like Blackhat and Defcon as part of your "keeping up with the trends" research. The role is really as good as it sounds, and it's the kind of thing that really, only the best need apply for.
The role is a truly unique opportunity for some truly unique individuals.
Apply today in total confidence. Your details will be kept totally secret until you are happy with the role and the company i have. Please apply with salary.
JOB REQUIREMENTS
---------------------------------------------------
CONTACT
---------------------------------------------------
call or email
(si quereis los datos pedirmelos personalmente :D )
-----
Closing Date: 2007-10-26
HACKERS this is the job that will make your day...
I'm a pen-test and research specialist recruiter currently looking to make contact with some of the best hackers in the world...
I'm currently recruitng for positions in 5 countries, and need to find some of the best of the best hackers in the world for my client. The role is client facing and, but NOT a sales role where you're expected to sell add-ons and hit targets. The role is for a REAL TECH-LOVER.
I'm really looking for people, ideally from programming and development backgrounds, with skills across all areas of pen-test including code-audit, network, web-apps, wireless, infrastructure review, VoIP/War Dialling, Protocol level testing, Social Engineering, Reverse engeneering, RFID testing, Database Testing etc etc.
The client will give you 25% of your time for personal research projects, and you WILL be expected to attend global security conferences like Blackhat and Defcon as part of your "keeping up with the trends" research. The role is really as good as it sounds, and it's the kind of thing that really, only the best need apply for.
The role is a truly unique opportunity for some truly unique individuals.
Apply today in total confidence. Your details will be kept totally secret until you are happy with the role and the company i have. Please apply with salary.
JOB REQUIREMENTS
---------------------------------------------------
CONTACT
---------------------------------------------------
call or email
(si quereis los datos pedirmelos personalmente :D )
30 septiembre 2007
SEO, no podrás con la wikipedia
Hace tiempo que llevo persiguiendo un pequeño objetivo con este blog, posicionarlo en primer lugar para la búsqueda "administrador de sistemas", fue algo que se me ocurrio cuando me empece a interesar por las técnicas SEO.
He ido comprobando durante meses como subía posiciones, únicamente creando contenido, y ahora veo que llego a un punto donde difícilmente podré menear ficha. (ver imagen).
Y es que wikipedia está ganando mucho podersobre gracias a google.
Datos del tráfico de la wikipedia.
Por otra parte, 4 millones y medio de resultados para "administrador de sistemas" no esta nada mal ;)
He ido comprobando durante meses como subía posiciones, únicamente creando contenido, y ahora veo que llego a un punto donde difícilmente podré menear ficha. (ver imagen).
Y es que wikipedia está ganando mucho poder
Datos del tráfico de la wikipedia.
Por otra parte, 4 millones y medio de resultados para "administrador de sistemas" no esta nada mal ;)
27 septiembre 2007
¿De dónde procede el término O-day de los exploits?
Últimamente se oye mucho sobre 0-day exploits, quicktime con firefox, pdf con windows, google desktop 0day, myspace 0day y tantos mas..
El término 0day se refiere a exploits existentes y en uso para los cuales aún no se ha publicado la vulnerabilidad y por supuesto, no hay parche.
El flujo que se espera en cuanto a la gestión de la seguridad de un administrador de sistemas es el siguiente:
El término 0-day fue acuñado por un ingeniero de seguridad disléxico que escuchaba
mucho a Harry Belafonte mientras trabajaba durante toda la noche y bebiendo ron. :D
vía lísta de seguridad web
El término 0day se refiere a exploits existentes y en uso para los cuales aún no se ha publicado la vulnerabilidad y por supuesto, no hay parche.
El flujo que se espera en cuanto a la gestión de la seguridad de un administrador de sistemas es el siguiente:
- Grupo de hackers descubren vulnerabilidad. (pasan días)
- El fabricante proporciona el parche de seguridad. (pasan meses)
- El administrador de sistemas aplica el parche en sus sistemas. (pasan meses)
- Aparece el exploit y es explotado por gusanos y script-kiddies o PACHers. (pasan meses)
- El administrador de sistemas que no ha parcheado sufre una intrusión y tiene un incidente de seguridad.
- Aparece el exploit y es explotado por gusanos y crackers. (pasan días)
- El administrador sufre una intrusión y tiene un incidente de seguridad.
El término 0-day fue acuñado por un ingeniero de seguridad disléxico que escuchaba
mucho a Harry Belafonte mientras trabajaba durante toda la noche y bebiendo ron. :D
vía lísta de seguridad web
26 septiembre 2007
PACHers los nuevos script-kiddies
Los script-kiddies han dejado paso a los PACHers (Point and Click Hackers). Si antes se utilizaban aplicaciones como Back Orifice o Netbus entre otras, ahora los PACHers se aprovechan de los MPack para conseguir sus fines. Hay un libro muy entretenido que habla sobre ellos.
Los tiempos cambian, por lo que hay que adaptarse, y losscript-kiddies PACHers no son ajenos a ello. Por eso, a parte de MPack será interesante ver que otras herramientas pueden estar utilizando:
SpringenWeek: Scanner de seguridad de Cross Site Scripting, escrito en phyton.
AppScan: Completo software de rastreo de vulnerabilidades web. Versión Comercial.
WebInspect: Scanner de los más completos en los días actuales de la dinámica web 2.0
N-stalker: Scanner de seguridad de HTTP. Con versión comercial.
Los tiempos cambian, por lo que hay que adaptarse, y los
SpringenWeek: Scanner de seguridad de Cross Site Scripting, escrito en phyton.
AppScan: Completo software de rastreo de vulnerabilidades web. Versión Comercial.
WebInspect: Scanner de los más completos en los días actuales de la dinámica web 2.0
N-stalker: Scanner de seguridad de HTTP. Con versión comercial.
PACHers, existen mejores maneras de aprovechar el tiempo, si os gusta la investigación de vulnerabilidades, invertid positivamente el tiempo, y colaborad en algún proyecto open source de vuestro interes. Lo agradecereis ambas partes. ;)
20 septiembre 2007
¿Cuales son las compañías que más contribuyen en el kernel de Linux?
| (Unknown) | 111777 | 16.9% |
| (None) | 99649 | 15.0% |
| Red Hat | 84224 | 12.7% |
| IBM | 39449 | 5.9% |
| Oracle | 36205 | 5.5% |
| Renesas Technology | 33152 | 5.0% |
| HP | 18718 | 2.8% |
| Tripeaks | 18567 | 2.8% |
| Novell | 17990 | 2.7% |
| Emulex | 15942 | 2.4% |
| XenSource | 15426 | 2.3% |
| Intel | 14962 | 2.3% |
| Sony | 11945 | 1.8% |
| Analog Devices | 10345 | 1.6% |
| rPath | 9678 | 1.5% |
| MIPS Technologies | 9171 | 1.4% |
| Solid Boot Ltd. | 8937 | 1.3% |
| MontaVista | 8065 | 1.2% |
| PMC-Sierra | 6888 | 1.0% |
| Astaro | 6687 | 1.0% |
RedHat mantiene su puesto entre las primeras posiciones como compañia que más código
aporta en el kernel de Linux.
"None" nos da la cantidad de desarrolladores que se dedican a ello en su tiempo libre y no
como tiempo dentro de su empresa.
Tambien se puede ver en que partes específicas del kernel se centra cada una, con lo que se pueden sacar conclusiones como que RedHat se centra en el área central del kernel pero no le
gusta nada documentar.
Gracias a Greg Kroah-Hartman por realizar los scripts que hacen posibles esas estadísticas entre otras muchas más.
Microsoft requiere desarrolladores de Linux
Sí, nada mas y nada menos diciendo:
Desarrolladores de Linux, ya es hora de que uses todos tus conocimientos en Microsoft.
[...]
La oferta de trabajo es para el cuartel general de Microsoft en Redmond. Concretamente en el equipo de interoperabilidad. (Este equipo se debio crear hace poco). :D
Microsoft, habeis llegado tarde, todos los buenos desarrolladores de linux estan en Google.
[C y P] de la oferta.
Desarrolladores de Linux, ya es hora de que uses todos tus conocimientos en Microsoft.
[...]
La oferta de trabajo es para el cuartel general de Microsoft en Redmond. Concretamente en el equipo de interoperabilidad. (Este equipo se debio crear hace poco). :D
Microsoft, habeis llegado tarde, todos los buenos desarrolladores de linux estan en Google.
[C y P] de la oferta.
Please do not contact the senders of job ads if you are not a direct
applicant
or considering applying for the job. Check the jobposts policy at
http://www.linuxchix.org/content/docs/listinfo.html#jobposts
My name is Steve Rath, Talent Sourcer, with Microsoft Corp. I recently
located the Linuxchix site and was hoping to find a few good
C++/Linux/UNIX developers interested in our Microsoft job opportunities! The
position is located at Microsoft's HQ in Redmond.
The purpose of my email is to seek permission to post this job
requirement. MS accepts H1-B visa transfers and will handle relocation.
Unfortunately we can't apply for new H1 visas at this time. If any of
your members are interested in learning more about the opportunity with
Microsoft they can respond to me with a recent copy of their resume in
Word format?
Thanks! Steve (my contact info is below)
Calling all closet Linux developers...the time is NOW for you to put
your Linux skills to use at Microsoft!!! The System Center Cross-Platform
& Interop team is tasked with building the infrastructure required for
the System Center suite of management products to manage non-Windows
operating systems like Unix, Linux, AIX, and HP-UX - this includes
extending Operations Manager (formerly MOM) and Configuration Manager
(formerly SMS). This expansion more than doubles the addressable market for
System Center. If you like the challenge and excitement of version
one projects and want to be involved in a central, strategic effort, the
System Center Cross-Platform & Interop team is the team for you. Be a
part of a rapidly growing and very passionate team that wants to take
Microsoft to the enterprise management level to compete head on with HP
OpenView and IBM Tivoli - and win.
The System Center Cross-Platform & Interop product team is looking for
a software development engineer candidate that is passionate about
managing more than Windows through our management suites. This is a
unique opportunity to be a pivotal part of a sea change in strategic
direction for Microsoft. This position provides the right candidate with
the opportunity to have a strong product wide impact, working with a
top-notch feature team to deliver what customers have been demanding for
years. This position will work closely with PM and test to deliver a
world-class solution.
It is a requirement that the candidate be able to learn the product
quickly and be very hands-on in the evolution of the product. The
candidate must have 5+ years of professional development experience. Strong
design skills and experience working on shipping products is required.
Expertise in C++ on Windows and non-Windows platforms is a must. Broad
areas of expertise are a major plus for this position - this position
requires driving the product development end-to-end. Skills in XML, CIM and
architecting complex products are all strongly preferred. Experience
working hands-on with C# and other .Net technologies is a plus. Previous
experience managing people is a plus but not required. Good
communication skills and ability to work with diverse set of people to drive and
ship the product is required. BA/BS or MS degree in Computer Science or
equivalent field experience required.
Qualified candidates should have
* Passion for and strong customer and partner empathy
* Systems administration experience, preferably in a
heterogeneous environment
* Excellent communication abilities
* Proven track record of working on challenging cross-team
initiatives
* Technically smart, logical and able to learn new areas
quickly
Basic Requirements
* 3 years of C++ coding experience
* 3 years of Windows coding experience
* 2 years of Linux/Unix coding experience
* Degree in computer science
Steve Rath
Recruiting Consultant
Search Wizards at Microsoft
Management & Solutions Division (MSD)
(770) 803-0444 (dir EST)
(404) 932-2123 (cell EST)
https://www.microsoft.com/careers
16 septiembre 2007
¿Alguien da más?. En España NO.
Más de lo mismo, ya lo sabemos, pero el otro día hablando con un amigo me comentó lo de este buscador y simplemente te cuesta 5 minutos hacer la prueba con cualquier perfil.
Juzgad vosotros mismos.
Situación: dice.com un buscador de profesionales en tecnologías de la información en Estados Unidos. Tecnoempleo.com lo que sería el equivalente en nuestro país.
Busca 2,3 pérfiles similares en cada uno y compara el campo pay rate/salario honorarios.
Administrador de sistemas linux en dice.com: $70,000-100,000
Administrador de sistemas linux en tecnoempleo.com: 15000 € - 21000 €
Administrador de sistemas windows en dice.com: $110,000.00
Administrador de sistemas windows en tecnoempleo.com 24000 € - 30000
Programador java en dice.com: $160-$175k !!!
Programador java en tecnoempleo.com: 15000 € - 21000
Y la cara que se te queda al comprobarlo no tiene precio.
Consigue ya tu greencard.
Juzgad vosotros mismos.
Situación: dice.com un buscador de profesionales en tecnologías de la información en Estados Unidos. Tecnoempleo.com lo que sería el equivalente en nuestro país.
Busca 2,3 pérfiles similares en cada uno y compara el campo pay rate/salario honorarios.
Administrador de sistemas linux en dice.com: $70,000-100,000
Administrador de sistemas linux en tecnoempleo.com: 15000 € - 21000 €
Administrador de sistemas windows en dice.com: $110,000.00
Administrador de sistemas windows en tecnoempleo.com 24000 € - 30000
Programador java en dice.com: $160-$175k !!!
Programador java en tecnoempleo.com: 15000 € - 21000
Y la cara que se te queda al comprobarlo no tiene precio.
Consigue ya tu greencard.
15 septiembre 2007
Navarparty V
Lo que en el 2003 empezó como proyecto de unos cuantos entusiastas, el jueves 20 de septiembre, llega a su 5ª edición.
Tras muchas horas de dedicación personal, entusiasmo, estress y falta de sueño, el grupo de conocidos y hoy amigos que empezaron con este proyecto, este año vuelven a organizarlo con toda la ilusión y experiencia acumulada de las ediciones anteriores.
Si bien colaboran empresas con su patrocinio, hay que destacar que la Navarparty esta ahí gracias a la dedicación y entusiasmo de las personas que la organizan. El apoyo de la gente que organiza la Euskal Party es un punto a destacar en la edición de este año.
La satisfacción personal es la mejor recompensa que los organizadores pueden tener. Aunque bien es cierto, que los patrocinadores o el propio Ayuntamiento podría ayudar en este punto. ;)
Interesantes talleres y conferencias los que se van a desarrollar.
Nos vemos por ahí.
Tras muchas horas de dedicación personal, entusiasmo, estress y falta de sueño, el grupo de conocidos y hoy amigos que empezaron con este proyecto, este año vuelven a organizarlo con toda la ilusión y experiencia acumulada de las ediciones anteriores.
Si bien colaboran empresas con su patrocinio, hay que destacar que la Navarparty esta ahí gracias a la dedicación y entusiasmo de las personas que la organizan. El apoyo de la gente que organiza la Euskal Party es un punto a destacar en la edición de este año.
La satisfacción personal es la mejor recompensa que los organizadores pueden tener. Aunque bien es cierto, que los patrocinadores o el propio Ayuntamiento podría ayudar en este punto. ;)
Interesantes talleres y conferencias los que se van a desarrollar.
Nos vemos por ahí.
09 septiembre 2007
Muevete por Google como en VI
Realiza una búsqueda en google, y en la url resultante escribe a continuación
En la parte derecha, te aparecerá un recuadro indicando los posibles movimientos con el teclado, muy similar al uso del editor VI.
donde podrás menearte entre las búsquedas, elegirlas o volver a buscar, como si lo hicieras en VI.
Muy útil para aquellos que evitan el uso del ratón.
Experimental.
&esrch=BetaShortcuts
En la parte derecha, te aparecerá un recuadro indicando los posibles movimientos con el teclado, muy similar al uso del editor VI.
donde podrás menearte entre las búsquedas, elegirlas o volver a buscar, como si lo hicieras en VI.
Muy útil para aquellos que evitan el uso del ratón.
Experimental.
08 septiembre 2007
¿Estas seguro que estas seguro?
La seguridad es una de las principales características que debe tener un administrador de sistemas, le siguen los conocimientos de redes, un pérfil autodidacta infatigable y un conjunto de técnicas de programación y SOs. Al menos ese es el resultado de la última encuesta que hice a lectores de este blog.
No puedo estar más de acuerdo en cuanto a la importancia de la seguridad, por lo que a continuación daré unos cuantos recursos de webs y blogs relacionados con ella que pueden sernos muy útiles en nuestros objetivos y formación, o porque no, tan sólo por diversión;
-Consorcio de seguridad web, clasificaciones de tipos de ataques web existentes con el objetivo de ser un estándar a consultar.
http://www.webappsec.org
- El gurú de la seguridad.
http://www.schneier.com/blog/
- Algo así como un barrapunto de la seguridad
http://www.cgisecurity.com/
- Otro gurú de la seguridad.
http://jeremiahgrossman.blogspot.com/
- No comments. :D
http://ha.ckers.org/blog/
- Múltitud de recursos y proyectos, incluso un capítulo español.
http://www.owasp.org/index.php/Main_Page
Veámos tambien algo de por aquí, que lo hay y muy bueno.
- Seguridad y tecnologías de la información.
http://www.hispasec.com/
- Noticias de seguridad. Aunque hayamos tenido algún "encuentro". ;)
http://www.kriptopolis.org/
- Blog español sobre seguridad.
http://vtroger.blogspot.com/
- Un blog jóven, pero viendo quién está detrás de él, no hay nada más que decir.
http://blog.s21sec.com/
Actualización gracias a corsaria.
- Blog de un auditor de sistemas de un gran banco, aunque no es informático. ;)
Buen blog.
http://www.sahw.com/wp
Espero ver más sugerencias de recursos y blogs sobre seguridad que conozcais.
No puedo estar más de acuerdo en cuanto a la importancia de la seguridad, por lo que a continuación daré unos cuantos recursos de webs y blogs relacionados con ella que pueden sernos muy útiles en nuestros objetivos y formación, o porque no, tan sólo por diversión;
-Consorcio de seguridad web, clasificaciones de tipos de ataques web existentes con el objetivo de ser un estándar a consultar.
http://www.webappsec.org
- El gurú de la seguridad.
http://www.schneier.com/blog/
- Algo así como un barrapunto de la seguridad
http://www.cgisecurity.com/
- Otro gurú de la seguridad.
http://jeremiahgrossman.blogspot.com/
- No comments. :D
http://ha.ckers.org/blog/
- Múltitud de recursos y proyectos, incluso un capítulo español.
http://www.owasp.org/index.php/Main_Page
Veámos tambien algo de por aquí, que lo hay y muy bueno.
- Seguridad y tecnologías de la información.
http://www.hispasec.com/
- Noticias de seguridad. Aunque hayamos tenido algún "encuentro". ;)
http://www.kriptopolis.org/
- Blog español sobre seguridad.
http://vtroger.blogspot.com/
- Un blog jóven, pero viendo quién está detrás de él, no hay nada más que decir.
http://blog.s21sec.com/
Actualización gracias a corsaria.
- Blog de un auditor de sistemas de un gran banco, aunque no es informático. ;)
Buen blog.
http://www.sahw.com/wp
Espero ver más sugerencias de recursos y blogs sobre seguridad que conozcais.
Suscribirse a:
Comentarios (Atom)