En breve, la dirección http://logadmin.blogspot.com pasará a ser http://www.logadmin.net
Soy consciente de que perderé pagerank y muchos enlaces, pero intentaré actualizarlos al máximo. Tampoco es algo que me preocupe mucho, ya que si el tráfico que he ganado hasta ahora ha sido con el sudor del trabajo de mantener este blog, esto no va a cambiar, pienso seguir con este ritmo de actualización de contenidos y calidad de los mismos.
Hasta ahora estoy muy satisfecho con este trabajo, por lo que seguiré adelante con más ánimo viendo que funciona y es útil para mucha gente, y no sólo para mí.
Recordar,
http://www.logadmin.net
Sí, es http://logadmin.net
http://logadmin.net
http://logadmin.net
http://logadmin.net
http://logadmin.net
http://logadmin.net
http://logadmin.net
http://logadmin.net
http://logadmin.net
http://logadmin.net
http://logadmin.net
http://logadmin.net
http://logadmin.net
http://logadmin.net
http://logadmin.net
http://logadmin.net
http://logadmin.net
"El éxito es la habilidad de ir de fallo en fallo sin perder el entusiasmo." ¿Sir Winston Churchill?
31 enero 2007
30 enero 2007
Entrevista a Mathias -administrador de Wikipedia-
Mathias Schindler de 25 años, estudiante universitario en Frankfurt. Fue una de las personas que puso en marcha la asociación alemana Wikimedia.
Actualmente trabaja como administrador de sistemas de la versión alemana de la
Wikipedia.
En esta entrevista, podremos saber que tareas diarias se llevan a cabo como
administrador, herramientas que utilizan para agilizar trabajo, que piensan sobre las críticas al proyecto, algunos tips para empezar a editar artículos, y mucho, mucho más. Interesante entrevista.
Algunos brochazos de la entrevista:
Wikipedia (versión inglesa), tiene actualmente 1089 administradores.
Wikipedia (versión alemana), 253 administradores.
Utilizan OTRS, un sistema de tiquets Open Source para administrar mails y peticiones entrantes.
Esto me ha llamado la atención, ya que ese sistema lo montamos en mi trabajo y lo usamos para averías de equipos y partes hechos por los clientes. La interfaz es poco amigable, pero se gana con la agilidad de trabajo. :)
Lee la entrevista completa.
Actualmente trabaja como administrador de sistemas de la versión alemana de la
Wikipedia.
Democracia, anarquía, feudalismo y por supuesto fascismo son algunos de los atributos utilizados para explicar la estructura social en Wikipedia.
En esta entrevista, podremos saber que tareas diarias se llevan a cabo como
administrador, herramientas que utilizan para agilizar trabajo, que piensan sobre las críticas al proyecto, algunos tips para empezar a editar artículos, y mucho, mucho más. Interesante entrevista.
Algunos brochazos de la entrevista:
Wikipedia (versión inglesa), tiene actualmente 1089 administradores.
Wikipedia (versión alemana), 253 administradores.
Utilizan OTRS, un sistema de tiquets Open Source para administrar mails y peticiones entrantes.
Esto me ha llamado la atención, ya que ese sistema lo montamos en mi trabajo y lo usamos para averías de equipos y partes hechos por los clientes. La interfaz es poco amigable, pero se gana con la agilidad de trabajo. :)
Lee la entrevista completa.
29 enero 2007
La técnica anti-spam "foo at bar dot org" no sirve para nada
Una técnica anti-spam fácilmente vencida.
En algún post anterior, comentaba una técnica muy conocida para evitar que tu dirección de correo sea carne de spam. Pues bien, veo mucha gente que usa otro método pensando que así están a salvo. Estoy hablando de poner la dirección de correo en Internet o en el pie de cada correo electrónico de la forma "foo at bar dor org". Tambien, muchos sistemas de archivado de mail de listas de correo, utilizan la misma técnica.
Esta técnica no sirve para nada, excepto para perder usabilidad, nada más.
Una búsqueda en google de "* at * dot *" muestra miles de coincidencias. Tambien muestra las siguientes variantes dado a que las búsquedas de google ignora los paréntesis.
Realiza cualquier búsqueda como la anterior reemplazando at y dot con lo que se quiera.
Ahora tengo 55,900,000 de direcciones de correo. ¿Y ahora que?
Por ejemplo, reemplacemos para hacer la búsqueda en los dominios .es, curiosa la primera dirección de correo que obtenemos.
Gallir, no es nada personal. ;)
Este esfuerzo sólo sirve para hacer pensar a la gente que así esta más segura, y de paso, quitar usabilidad.
Ciertamente esta técnica no protege de spam. Entonces, ¿Por qué se sigue usando?
Thanks Jordan
En algún post anterior, comentaba una técnica muy conocida para evitar que tu dirección de correo sea carne de spam. Pues bien, veo mucha gente que usa otro método pensando que así están a salvo. Estoy hablando de poner la dirección de correo en Internet o en el pie de cada correo electrónico de la forma "foo at bar dor org". Tambien, muchos sistemas de archivado de mail de listas de correo, utilizan la misma técnica.
Esta técnica no sirve para nada, excepto para perder usabilidad, nada más.
Una búsqueda en google de "* at * dot *" muestra miles de coincidencias. Tambien muestra las siguientes variantes dado a que las búsquedas de google ignora los paréntesis.
- foo at bar dot com
- foo [at] bar [dot] com
- foo (at) bar (dot) com
- ....etc...
Realiza cualquier búsqueda como la anterior reemplazando at y dot con lo que se quiera.
Ahora tengo 55,900,000 de direcciones de correo. ¿Y ahora que?
Por ejemplo, reemplacemos para hacer la búsqueda en los dominios .es, curiosa la primera dirección de correo que obtenemos.
Gallir, no es nada personal. ;)
Este esfuerzo sólo sirve para hacer pensar a la gente que así esta más segura, y de paso, quitar usabilidad.
Ciertamente esta técnica no protege de spam. Entonces, ¿Por qué se sigue usando?
Thanks Jordan
26 enero 2007
Resolviendo problemas en Linux con lsof
Una de las herramientas unix más desconocidas pero de una gran utilidad en la administración de sistemas, es lsof. Lsof lista la información de los archivos abiertos por los procesos. Pero realmente esto ¿que quiere decir?.
Con este post podremos resolver problemas típicos como:
Casi todo el mundo olvida que, en UNIX, (casi) todo es tratado como un ARCHIVO. El sistema operativo crea el hardware disponible a las aplicaciones mediante los archivos de /dev. La información del Kernel, sistema, memoria, dispositivos etc está disponible a través de los archivos en /proc. Los sockets TCP/UDP a veces son representados internamente como archivos. Incluso los directorios son realmente ficheros conteniendo otros nombres de fichero.Lsof trabaja examinando las estructuras de datos del kernel y proporciona una gran variedad de información relacionada con los ficheros, pipes, sockets y demás.Lsof viene instalado por defecto en la mayoría de distribuciones Linux y muchos de las versiones de Unix.Veamos algo de práctica con lsof.Descifrando su salida.Cámbiate a root y escribe lsof en la línea de comandos.
Se presentará una lista muy larga de archivos abiertos, de la cual puedes querer utilizar
cat o tu paginador favorito para verla completa.
Por defecto (en Linux), lsof muestra la siguiente información sobre los archivos abiertos:
Para una comprensión exhaustiva de estos campos y mas parámetros, echar un vistazo a las páginas de manual de lsof.
Como lsof trabaja examinando la memoria del kernel, necesitarás acceso root para ser capaz de utilizarlo sin ningún tipo de restricción. Un usuario que no sea root, no tendrá acceso a la información perteneciente a otros usuarios.
Uso común
lsof, normalmente es usado con una o más de las siguientes opciones:
Muestra los archivos de Internet OR los archivos abiertos por el usuario "foobar"
Las fórmulas siguientes, demuestran como lsof puede usarse para resolver problemas en el mundo real de Linux.
Formula #1 Encontrar puertos problematicos.
Tu servidor web está rechazando levantarse porque el puerto 80 esta en uso por otro proceso. ¿Cómo consigues para ese proceso que no deja levantar al servidor web?
Bien. Una lista de Sockets de Internet abiertos, junto con el proceso, direcciones y propietarios. Tambien, fijate que (igual que netstat) se muestra el estado TCP. Arriba, podemos ver dos sesiones SSH establecidas en progreso.
Vamos a añadir un filtro con el puerto para buscar exactamente lo que queremos.
Este problema tambien puede resolverse facilmente con la herramienta fuser, aquí no entraremos en detalle en ella, daría para otro post, sólo realizar esta solución con fuser.
Formula #2 Encontrar procesos entre un rango de puertos dados.
Necesitas encontrar un rango de puertos libres para tu nueva aplicación multimedia.
Formula #3 Mostrando archivos de usuario
Qué archivos tienen abiertos los usuarios squid y smmsp
Muestra los puertos UDP en uso por el usuario squid.
# lsof -i UDP -a -u squid
Formula #4 Desmontando un disco o sistema de ficheros.
A veces, necesitas localizar el usuario o proceso que te está bloqueando de poder permitir desmontar un disco, por ejemplo.
Ups, estoy dentro de esa partición. :)
O simplemente:
Formula #5 Encontrando dispositivos problemáticos
¿Quién está usando el administrador de audio?
¿Porqué no puedo iniciar mi logger alternativo?
¿Por qué no sale mi bandeja de CD?
Formula #6 Usando exclusiones
El modificador negativo '^' puede usarse como prefijo en los parámetros de Usuario o proceso para excluirlos de la lista de resultados. Como representan exclusiones, se aplican sin OR o AND y toman efecto antes de que se aplique cualquier otro criterio de selección.
Muestra todos los archivos /sockets abiertos por usuarios no root.
Formula #7 Recursividad en directorios
La opción '+D' hace que lsof busque archivos abiertos dentro del directorio especificado, recursivamente hasta completarlo.
# lsof +D /tmp
La opción '+d' realiza lo mismo pero no desciende por recursivamente por el directorio.
Formula #8 Coincidencias por nombre de proceso
Muestra todos los archivos abiertos que empiecen con las letras mpg
# lsof -c mpg
Usando expresiones regulares
# lsof -c '/post.*er/'
Formula #9 Examinando procesos sospechosos
Lsof puede ser usado junto con strace para examinar y monitorizar la actividad de virus, gusanos o spyware.
¿Qué archivos tiene abiertos el PID 14554?
¿Quién está usando/mirando el archivo de passwords?
Formula #10 Modo repetidor
La opción '-r' pone a lsof en modo repetición. Retarda cada 15 segundos (a menos que se especifique), y muestra otro listado.
Mirando los archivos abiertos por un usuario cada 5 segundos.
Monitorizando el archivo de password.
Formula #11 Encontrando archivos abiertos borrados.
Uno de los problemas más molestos es tener un sistema de archivos mostrando rápidamente el mensaje "running out of space" sin tener ninguna pista de que archivo es responsable de ello.
Esto suele ocurrir cuando un archivo (generalmente un archivo de log) se borra mientras se está escribiendo sobre él. Cuando borras un archivo abierto, el kernel quitá el link del archivo en el directorio, pero no puede borrar el inodo, ya que todavía está abierto.
Esto causa que el archivo siga creciendo, sin tener conocimiento de su existencia en algún lugar. Bien... al menos alguna parte.
Lsof proporciona el parámetro +L para listar el número de enlaces que tiene un archivo abierto. Cuando está seguido por un número, lsof sólo muestra archivos con un número de enlaces menores que el número especificado.
Muestra una lista de los archivos borrados-pero-abiertos de un sistema de ficheros específico.
Para terminar
Apenas hemos visto la superficie de lo que se puede hacer con lsof, pero con los anteriores consejos hemos podido comprobar que es una poderosa herramienta. Sería interesante conocer de que manera es utilizado por otros usuarios, si te ha sido útil de alguna manera o como lo sueles usar, dejame un comentario please. ;)
Gracias 0xfe
Con este post podremos resolver problemas típicos como:
- Qué archivos está usando un usuario actualmente
- ¿Por qué no puedo desmontar un sistema de ficheros? (device is busy)
- Encuentra archivos borrados pero que siguen creciendo
- Encuentra que aplicacion utiliza un puerto dado
Casi todo el mundo olvida que, en UNIX, (casi) todo es tratado como un ARCHIVO. El sistema operativo crea el hardware disponible a las aplicaciones mediante los archivos de /dev. La información del Kernel, sistema, memoria, dispositivos etc está disponible a través de los archivos en /proc. Los sockets TCP/UDP a veces son representados internamente como archivos. Incluso los directorios son realmente ficheros conteniendo otros nombres de fichero.Lsof trabaja examinando las estructuras de datos del kernel y proporciona una gran variedad de información relacionada con los ficheros, pipes, sockets y demás.Lsof viene instalado por defecto en la mayoría de distribuciones Linux y muchos de las versiones de Unix.Veamos algo de práctica con lsof.Descifrando su salida.Cámbiate a root y escribe lsof en la línea de comandos.
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
init 1 root cwd DIR 8,5 4096 2 /
init 1 root rtd DIR 8,5 4096 2 /
init 1 root txt REG 8,5 32684 163815 /sbin/init
init 1 root mem REG 8,5 106397 404872 /lib/ld-2.3.4.so
init 1 root mem REG 8,5 1454802 404874 /lib/tls/libc-2.3.4.so
init 1 root mem REG 8,5 53736 404893 /lib/libsepol.so.1
syslogd 2622 root 5w REG 8,5 0 566965 /var/log/spooler
syslogd 2622 root 6w REG 8,5 8752 566771 /var/log/boot.log
syslogd 2622 root 8w REG 8,5 42232 566913 /var/log/kernel
klogd 2626 root cwd DIR 8,5 4096 2 /
klogd 2626 root txt REG 8,5 22320 163570 /sbin/klogd
klogd 2626 root mem REG 8,5 1454802 404874 /lib/tls/libc-2.3.4.so
klogd 2626 root mem REG 8,5 106397 404872 /lib/ld-2.3.4.so
Se presentará una lista muy larga de archivos abiertos, de la cual puedes querer utilizar
cat o tu paginador favorito para verla completa.
Por defecto (en Linux), lsof muestra la siguiente información sobre los archivos abiertos:
- COMMAND: Nombre del comando unix asociado con el proceso.
- PID: El ID del proceso.
- USER: El id del usuario o nombre de login al cual pertenece el proceso.
- FD: El número del descriptor de fichero del archivo o un código representando más información sobre la estructura. Mira la página del manual para más detalles.
- TYPE: El tipo del nodo asociado con el fichero. Ejem. REG significa un archivo regular, IPV4 O IPV6 significa un socket IP, DIR un directorio, "unix" un dominio socket UNIX, etc.
- DEVICE: Usualmente contiene números de dispositivo mayores y menores para los ficheros, o direcciones/referencias para otras estructuras.
- SIZE: El tamaño del archivo o el offset del archivo, en bytes. (Si está disponible). En el caso de archivos que no tienen tamaños verdaderos (Ejem, socket, pipes), lsof muestra el tamaño de el contenido del buffer de los descriptores del kernel.
- NODE: Número de nodo / inodo / Tipo del protocolo de Internet (TCP) etc.
- NOMBRE: El nombre del archivo / punto de montaje / dispositivo / Dirección de Internet etc.
Para una comprensión exhaustiva de estos campos y mas parámetros, echar un vistazo a las páginas de manual de lsof.
Como lsof trabaja examinando la memoria del kernel, necesitarás acceso root para ser capaz de utilizarlo sin ningún tipo de restricción. Un usuario que no sea root, no tendrá acceso a la información perteneciente a otros usuarios.
Uso común
lsof, normalmente es usado con una o más de las siguientes opciones:
- /directorio/del/archivo: Lista procesos, propietarios y descriptores de fichero abiertos que están usando actualmente el archivo especificado.
- -u name: Lista archivos propiedad del usuario especificado.
- -p pid: Lista los archivos abiertos por el proceso especificado.
- -t: Salida lacónica. Sin cabeceras, sólo PIDs. Util para scripts.
- -n: Deshabilita la resolución de nombres de red.
- -N: Lista archivos NFS
Muestra los archivos de Internet OR los archivos abiertos por el usuario "foobar"
Para mostrar todos los archivos de Internet abiertos por "foobar", es necesario aplicar la condición AND (-a) entre las opciones.
# lsof -u foobar -i
# lsof -u foobar -i
Las fórmulas siguientes, demuestran como lsof puede usarse para resolver problemas en el mundo real de Linux.
Formula #1 Encontrar puertos problematicos.
Tu servidor web está rechazando levantarse porque el puerto 80 esta en uso por otro proceso. ¿Cómo consigues para ese proceso que no deja levantar al servidor web?
# lsof -i
... SNIP ...
asterisk 7554 root 16u IPv4 6861 UDP *:4569
postmaste 7688 postgres 5u IPv4 5955 UDP localhost:32768->localhost:32768
postmaste 7689 postgres 5u IPv4 5955 UDP localhost:32768->localhost:32768
sshd 27038 root 3u IPv4 677971 TCP reddwarf:ssh->CPE.xxxx.com:61702 (ESTABLISHED)
sshd 27043 mohit 3u IPv4 677971 TCP reddwarf:ssh->CPE.xxxx.com:61702 (ESTABLISHED)
... SNIP ...
Bien. Una lista de Sockets de Internet abiertos, junto con el proceso, direcciones y propietarios. Tambien, fijate que (igual que netstat) se muestra el estado TCP. Arriba, podemos ver dos sesiones SSH establecidas en progreso.
Vamos a añadir un filtro con el puerto para buscar exactamente lo que queremos.
# lsof -i TCP:80OK, vemos que lighttpd es la razón de que apache no se levante. Esto es probablemente una buena noticia.
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
lighttpd 7356 lighttpd 3u IPv4 6409 TCP *:http (LISTEN)
Este problema tambien puede resolverse facilmente con la herramienta fuser, aquí no entraremos en detalle en ella, daría para otro post, sólo realizar esta solución con fuser.
# fuser -n tcp 80
80/tcp: 7356
Formula #2 Encontrar procesos entre un rango de puertos dados.
Necesitas encontrar un rango de puertos libres para tu nueva aplicación multimedia.
# lsof -i TCP:5000-5200
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
asterisk 7001 root 10u IPv4 6015 TCP localhost:5038 (LISTEN)
asterisk 7001 root 14u IPv4 6016 TCP localhost:5038->localhost:32768 (ESTABLISHED)
asterisk 7002 root 10u IPv4 6015 TCP localhost:5038 (LISTEN)
asterisk 7002 root 14u IPv4 6016 TCP localhost:5038->localhost:32768 (ESTABLISHED)
asterisk 7039 root 10u IPv4 6015 TCP localhost:5038 (LISTEN)
asterisk 7039 root 14u IPv4 6016 TCP localhost:5038->localhost:32768 (ESTABLISHED)
asterisk 7040 root 10u IPv4 6015 TCP localhost:5038 (LISTEN)
asterisk 7040 root 14u IPv4 6016 TCP localhost:5038->localhost:32768 (ESTABLISHED)
asterisk 7041 root 10u IPv4 6015 TCP localhost:5038 (LISTEN)
asterisk 7041 root 14u IPv4 6016 TCP localhost:5038->localhost:32768 (ESTABLISHED)
asterisk 7042 root 10u IPv4 6015 TCP localhost:5038 (LISTEN)
asterisk 7042 root 14u IPv4 6016 TCP localhost:5038->localhost:32768 (ESTABLISHED)
asterisk 7044 root 10u IPv4 6015 TCP localhost:5038 (LISTEN)
asterisk 7044 root 14u IPv4 6016 TCP localhost:5038->localhost:32768 (ESTABLISHED)
perl 7046 root 3u IPv4 6054 TCP *:5100 (LISTEN)
perl 7046 root 4u IPv4 6055 TCP *:5101 (LISTEN)
perl 7046 root 6u IPv4 6056 TCP localhost:32768->localhost:5038 (ESTABLISHED)
asterisk 7073 root 10u IPv4 6015 TCP localhost:5038 (LISTEN)
Formula #3 Mostrando archivos de usuario
Qué archivos tienen abiertos los usuarios squid y smmsp
# lsof -u squid,smmsp
squid 7606 squid 1254u IPv4 121922382 TCP orfeo.cti.unav.es:59250->filter.cti.unav.es:webcache (ESTABLISHED)
squid 7606 squid 1274u IPv4 120935612 TCP orfeo.cti.unav.es:webcache->159.237.12.243:1842 (ESTABLISHED)
unlinkd 7637 squid cwd DIR 8,8 4096 229825 /usr/local/squid
unlinkd 7637 squid mem REG 8,8 1571692 574569 /lib/tls/libc-2.3.2.so
unlinkd 7637 squid mem REG 8,8 106912 623822 /lib/ld-2.3.2.so
unlinkd 7637 squid 0r FIFO 0,5 99332239 pipe
unlinkd 7637 squid 1w FIFO 0,5 99332238 pipe
unlinkd 7637 squid 2u CHR 1,3 67219 /dev/null
sendmail 10209 smmsp cwd DIR 8,3 1380352 320004 /var/spool/clientmqueue
sendmail 10209 smmsp txt REG 8,8 650816 640420 /usr/sbin/sendmail.sendmail
Muestra los puertos UDP en uso por el usuario squid.
# lsof -i UDP -a -u squid
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
squid 7606 squid 8u IPv4 120916507 UDP *:37818
squid 7606 squid 72u IPv4 120916602 UDP *:3401
squid 28074 squid 6u IPv4 119796988 UDP *:37812
squid 28074 squid 35u IPv4 119797047 UDP *:3401
Formula #4 Desmontando un disco o sistema de ficheros.
A veces, necesitas localizar el usuario o proceso que te está bloqueando de poder permitir desmontar un disco, por ejemplo.
# umount /usr/local/etc3
umount: /usr/local/etc3: device is busy
umount: /usr/local/etc3: device is busy
# mount | grep "/etc3"
/dev/sdb1 on /usr/local/etc3 type ext3 (rw)
# lsof /dev/sdb1
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
bash 3667 root cwd DIR 8,17 4096 2 /usr/local/etc3
Ups, estoy dentro de esa partición. :)
# kill 3667
# umount /usr/local/etc3
O simplemente:
# kill `lsof -t /dev/sdb1`
Formula #5 Encontrando dispositivos problemáticos
¿Quién está usando el administrador de audio?
# lsof /dev/audio
¿Porqué no puedo iniciar mi logger alternativo?
# lsof /dev/log
¿Por qué no sale mi bandeja de CD?
# lsof /dev/cdrom
Formula #6 Usando exclusiones
El modificador negativo '^' puede usarse como prefijo en los parámetros de Usuario o proceso para excluirlos de la lista de resultados. Como representan exclusiones, se aplican sin OR o AND y toman efecto antes de que se aplique cualquier otro criterio de selección.
Muestra todos los archivos /sockets abiertos por usuarios no root.
# lsof -i -u^root
Formula #7 Recursividad en directorios
La opción '+D' hace que lsof busque archivos abiertos dentro del directorio especificado, recursivamente hasta completarlo.
# lsof +D /tmp
La opción '+d' realiza lo mismo pero no desciende por recursivamente por el directorio.
Formula #8 Coincidencias por nombre de proceso
Muestra todos los archivos abiertos que empiecen con las letras mpg
# lsof -c mpg
Usando expresiones regulares
# lsof -c '/post.*er/'
Formula #9 Examinando procesos sospechosos
Lsof puede ser usado junto con strace para examinar y monitorizar la actividad de virus, gusanos o spyware.
¿Qué archivos tiene abiertos el PID 14554?
# lsof -p 14554
¿Quién está usando/mirando el archivo de passwords?
# lsof /etc/passwd
Formula #10 Modo repetidor
La opción '-r' pone a lsof en modo repetición. Retarda cada 15 segundos (a menos que se especifique), y muestra otro listado.
Mirando los archivos abiertos por un usuario cada 5 segundos.
# lsof -u badcop -r5
Monitorizando el archivo de password.
# lsof /etc/passwd -r 2
Formula #11 Encontrando archivos abiertos borrados.
Uno de los problemas más molestos es tener un sistema de archivos mostrando rápidamente el mensaje "running out of space" sin tener ninguna pista de que archivo es responsable de ello.
Esto suele ocurrir cuando un archivo (generalmente un archivo de log) se borra mientras se está escribiendo sobre él. Cuando borras un archivo abierto, el kernel quitá el link del archivo en el directorio, pero no puede borrar el inodo, ya que todavía está abierto.
Esto causa que el archivo siga creciendo, sin tener conocimiento de su existencia en algún lugar. Bien... al menos alguna parte.
Lsof proporciona el parámetro +L para listar el número de enlaces que tiene un archivo abierto. Cuando está seguido por un número, lsof sólo muestra archivos con un número de enlaces menores que el número especificado.
mohit@reddwarf ~ $ lsof +L3Un archivo borrado tiene cero enlaces. Por lo que el siguiente comando mostrará archivos abiertos-pero-borrados en el sistema.
COMMAND PID USER FD TYPE DEVICE SIZE NLINK NODE NAME
sshd 11540 mohit mem REG 3,69 303448 1 85869 /usr/sbin/sshd
sshd 11540 mohit mem REG 3,65 35404 1 94075 /lib/libnss_nis-2.3.5.so
sshd 11540 mohit mem REG 3,65 30928 1 94086 /lib/libnss_compat-2.3.5.so
sshd 11540 mohit mem REG 3,65 35236 1 93958 /lib/libnss_files-2.3.5.so
sshd 11540 mohit mem REG 3,65 28444 1 94094 /lib/libcrack.so.2.8.0
# lsof +L1
Muestra una lista de los archivos borrados-pero-abiertos de un sistema de ficheros específico.
# lsof +aL1 /tmp
Para terminar
Apenas hemos visto la superficie de lo que se puede hacer con lsof, pero con los anteriores consejos hemos podido comprobar que es una poderosa herramienta. Sería interesante conocer de que manera es utilizado por otros usuarios, si te ha sido útil de alguna manera o como lo sueles usar, dejame un comentario please. ;)
Gracias 0xfe
23 enero 2007
Un mini HOWTO de los permisos en samba
Pequeño tutorial de los permisos de un share de samba de una manera muy simplificada. En este artículo se verá la relación entre los permisos del sistema de ficheros y la configuración de samba.
Son muchas las ocasiones en las que he hablado de samba en este blog, de cualquier manera una pequeña explicación, nunca está de más.
El software de samba es una implementación libre y de fuente abierta de los protocolos de red para compartir ficheros entre UNIX/Linux y ordenadores Windows.
Samba proporciona:
Samba viene con diferentes tipos de permiso por share. Recordemos algo sobre los permisos Unix y los permisos samba.
(a) Los permisos del sistema linux toman prioridad sobre los permisos samba. Por ejemplo si un directorio no tiene permisos de escritura Linux, configurando la opción de samba "writeable = yes" (mirar más abajo) no permitirá escribir en ese directorio que este como share.
(b) Los permisos del filesystem no pueden ser prioritarios sobre los permisos en samba. Por ejemplo, si un filesystem montando como readonly y configuramos en samba "writeable = yes" no permitira escribir en ningún share de ese directorio.
¿Como configuro los permisos en los shares de samba?
Los permisos básicos en samba, son los siguientes (el archivo de configuración es smb.conf [/etc/samba/smb.conf]:
O puedes crear otro share llamado salesdoc con permisos de escritura
Tambien puedes crear una lista de usuarios para darles acceso de escritura a dicho share con la opción "write list", por ejemplo permite a carlos y dani escribir en el share llamado salesdoc.
Puedes usar las siguientes opciones:
Tambien es posible especificar permisos de samba por defecto cuando se crea un archivo, usando una máscara.
REFERENCIAS.
Son muchas las ocasiones en las que he hablado de samba en este blog, de cualquier manera una pequeña explicación, nunca está de más.
El software de samba es una implementación libre y de fuente abierta de los protocolos de red para compartir ficheros entre UNIX/Linux y ordenadores Windows.
Samba proporciona:
- Servicios de archivo y de impresión
- Integración con dominio de servidores windows / PDC
- Formar parte de un dominio de directorio activo., etc
Samba viene con diferentes tipos de permiso por share. Recordemos algo sobre los permisos Unix y los permisos samba.
(a) Los permisos del sistema linux toman prioridad sobre los permisos samba. Por ejemplo si un directorio no tiene permisos de escritura Linux, configurando la opción de samba "writeable = yes" (mirar más abajo) no permitirá escribir en ese directorio que este como share.
(b) Los permisos del filesystem no pueden ser prioritarios sobre los permisos en samba. Por ejemplo, si un filesystem montando como readonly y configuramos en samba "writeable = yes" no permitira escribir en ningún share de ese directorio.
¿Como configuro los permisos en los shares de samba?
Los permisos básicos en samba, son los siguientes (el archivo de configuración es smb.conf [/etc/samba/smb.conf]:
- read only: Este parámetro controla si un usuario tiene la habilidad para crear o modificar archivos de un share. Este es por defecto.
- guest ok: Si este parámetro se configura a "Yes" , los usuarios tendrán acceso a al share sin necesidad de introducir una contraseña. Esto puede plantear riesgos de seguridad.
- writeable: Especifica los usuarios que deberían tener acceso de escritura en el share.
[helpfiles]
path = /usr/share/docs
read only = Yes
O puedes crear otro share llamado salesdoc con permisos de escritura
[salesdoc]
path = /home/shared/sales
writeable = yes
Tambien puedes crear una lista de usuarios para darles acceso de escritura a dicho share con la opción "write list", por ejemplo permite a carlos y dani escribir en el share llamado salesdoc.
[salesdoc]
path = /home/shared/sales
write list = carlos dani
Puedes usar las siguientes opciones:
- read list: Esta opción acepta una lista de nombres de usuario o un grupo como su valor. A estos usuarios se les dará acceso de sólo lectura en el share.
- valid users: Se puede crear un share disponible sólo para unos usuarios especificados. Nombres de usuario o de grupo se pueden pasar como valor.
- invalid users: A los usuarios o grupos listados aquí, se les denegará el acceso en ese share.
Tambien es posible especificar permisos de samba por defecto cuando se crea un archivo, usando una máscara.
- create mask: Esta opción se configura usando un valor octal cuando se configuran los permisos para los archivos.
- directory mask: Los directorios deben tener el bit de ejecución para el acceso apropiado. El parámetro por defecto es 0755.
[salesdoc]
path = /home/shared/sales
write list = rocky sys
create mask = 0775
REFERENCIAS.
- Documentación de samba.
- Páginas del manual de samba - smb.conf
- Articulo original.
Aresanob
Hoy he visto CSI New York como casi todos los lunes. Si sueles ver la serie, sabrás quien es Bonasera. Hoy al final del capítulo realiza una búsqueda en Internet con la palabra "aresanob" la que he utilizado para el título de este post. La razón de porque realiza esta búsqueda es porque se trata del nombre que le han puesto a una escultura que le ha regalado un artista (Frankie, su novio actual) y le ha llamado aresanob. (Sí, es Bonasera al revés) , y le dice que quiere decir "El alma de una mujer".
Al realizar la búsqueda Bonasera, se queda impresionada con lo que ve, y se termina el capítulo. Y yo y mi curiosidad, nos quedamos con la duda al terminar la serie, por lo que realizo la búsqueda y me lleva a aresanob.com que es un sitio el cual la CBS está usando para anunciar nuevos episodios de CSI N.Y.
¿Nuevas formas de publicidad?
Al realizar la búsqueda Bonasera, se queda impresionada con lo que ve, y se termina el capítulo. Y yo y mi curiosidad, nos quedamos con la duda al terminar la serie, por lo que realizo la búsqueda y me lleva a aresanob.com que es un sitio el cual la CBS está usando para anunciar nuevos episodios de CSI N.Y.
¿Nuevas formas de publicidad?
21 enero 2007
Líderes tecnológicos que trabajan en Google
Estos dos últimos años, Google se ha hecho con los principales líderes de la comunidad Open Source, y todavía siguen hambrientos por contratar más.
Bram Moolenaar -responsable de vim-
Este holandés ha dedicado años de su vida en añadir funcionalidades y solucionar problemas de Vim, el editor de texto de uso general más popular en entornos Linux/Unix.
En su web, podemos encontrar útiles trucos para manejarnos con Vim y optimizar su uso.
Moolenaar trabaja en la oficina que Google tiene en Zurich.
Guido van Rossum -autor de el lenguaje de programación phyton-
Otro holandés, entro a trabajar a las oficinas de Google en Mountain View en Diciembre del 2005. Tiene en común con Moolenaar, que puede dedicar gran parte de su tiempo de trabajo en Google en lo que más le apasiona, -Phyton-.
Podemos saber más acerca de su carrera en su web personal, aunque según el, no la mantiene muy actualizada.
Vinton Cerf -Uno de los padres de Internet-
Americano, nacido en Connecticut. Su trabajo se ha centrado principalmente en el protocolo TCP/IP, implementación y creación de Internet.
Actualmente es Evangelista Jefe de Internet para Google. Trabaja en las oficinas centrales de Mountain View desde Septiembre del 2005.
Más datos en su entrada de la wikipedia.
Sean Egan -Desarrollador lider de Gaim-
Actualmente vive en Seattle, Washinghton. Entro a trabajar en las oficinas de Google de Washinghton en Septiembre del 2005. Trabaja en el equipo de Google Talk. Una de sus responsabilidades es el desarrollo y la estandarización de el protocolo jingle. Miembro de la JSF (Jabber Software Foundation).
Más datos en su wiki personal.
Andrew Morton -Responsable junto a Linus Torvalds de la rama 2.6 del núcleo de Linux-
Ingles de nacimiento, reside en Australia, este hacker del kernel de Linux empezó a trabajar en Google en Agosto de 2006 en Mountain View. Trabaja en la variante del kernel que utiliza Google para su uso interno, mientras tambien dedica tiempo al mantenimiento de la rama 2.6.
Sus palabras al respecto de trabajar en Google fueron:
"Es beneficioso para mí (y para Linux) que esté en un contacto diario con gente que usa Linux para cosas reales".
Más en Wikipedia
Jeremy Allison -Desarrollador lider del proyecto Samba-
Cuando más se hablaba de el más que conflictivo pacto entre Microsoft y Novell, Jeremy ficha por Google, como forma de protesta por los acuerdos de Novell y Microsoft.
Parece que Google tiene un especial interes en Samba.
Ben Goodger -desarrollador lider de Firefox-
Este joven inglés ha trabajado en Netscape y en la Fundación Mozilla como desarrollador lider del navegador Firefox.
El 10 de Enero del 2005 entro a formar parte de Google en Mountain View pero su Rol dentro del desarrollo de Firefox no ha cambiado.
Aaron Boodman -Autor de GreaseMonkey-
En abril del 2005 entro a forma parte de Google. Trabaja en el grupo
de Firefox.
Dan Kegel -Responsable de Wine-
Este chico de Los angeles entro a formar parte de Google en 2005, concretamente en el desarrollo de Picasa y su integración en la plataforma Linux.
Muy recomendable es su página personal donde hay multitud de recursos útiles.
Greg Stein -Creador y administrador de Subversion-
Trabaja en Mountain View desde 2005, como la mayoría hasta ahora. Su página personal.
Chris DiBona - responsable de Proyectos 'Open Source' dentro de
Google, y creador de Slashdot -
Responsable de los proyectos Open Source de Google, su trabajo tambien incluye la organización del "Summer of Code" y la liberación del software Open Source en la web de código de Google.
Lleva en Google desde el 2004.
Más información.
Spencer Kimball y Peter Mattis -creadores de Gimp-
Ambos estudiantes de la Universidad Berkeley de California desarrollaron GIMP como un proyecto de clase.
Actualmente trabajan en Google Nueva York.
Zaheda Bhorat -dirigía el proyecto OpenOffice.org-
En 2005 ingresó en Google, en la oficina de Londres.
Actualmente trabaja dirigiendo proyectos Open Source internos.
¿Quién será el siguiente?
Personalmente no me soprendería que este año contrataran a el padre de Linux, Linus Torvalds, para algo que llaman GoogleOS.
Ahí está dicho.
¿Apuestas?
Update: Se ha realizado alguna actualización gracias a Dirson.
Bram Moolenaar -responsable de vim-
Este holandés ha dedicado años de su vida en añadir funcionalidades y solucionar problemas de Vim, el editor de texto de uso general más popular en entornos Linux/Unix.
En su web, podemos encontrar útiles trucos para manejarnos con Vim y optimizar su uso.
Moolenaar trabaja en la oficina que Google tiene en Zurich.
Guido van Rossum -autor de el lenguaje de programación phyton-
Otro holandés, entro a trabajar a las oficinas de Google en Mountain View en Diciembre del 2005. Tiene en común con Moolenaar, que puede dedicar gran parte de su tiempo de trabajo en Google en lo que más le apasiona, -Phyton-.
Podemos saber más acerca de su carrera en su web personal, aunque según el, no la mantiene muy actualizada.
Vinton Cerf -Uno de los padres de Internet-
Americano, nacido en Connecticut. Su trabajo se ha centrado principalmente en el protocolo TCP/IP, implementación y creación de Internet.
Actualmente es Evangelista Jefe de Internet para Google. Trabaja en las oficinas centrales de Mountain View desde Septiembre del 2005.
Más datos en su entrada de la wikipedia.
Sean Egan -Desarrollador lider de Gaim-
Actualmente vive en Seattle, Washinghton. Entro a trabajar en las oficinas de Google de Washinghton en Septiembre del 2005. Trabaja en el equipo de Google Talk. Una de sus responsabilidades es el desarrollo y la estandarización de el protocolo jingle. Miembro de la JSF (Jabber Software Foundation).
Más datos en su wiki personal.
Andrew Morton -Responsable junto a Linus Torvalds de la rama 2.6 del núcleo de Linux-
Ingles de nacimiento, reside en Australia, este hacker del kernel de Linux empezó a trabajar en Google en Agosto de 2006 en Mountain View. Trabaja en la variante del kernel que utiliza Google para su uso interno, mientras tambien dedica tiempo al mantenimiento de la rama 2.6.
Sus palabras al respecto de trabajar en Google fueron:
"Es beneficioso para mí (y para Linux) que esté en un contacto diario con gente que usa Linux para cosas reales".
Más en Wikipedia
Jeremy Allison -Desarrollador lider del proyecto Samba-
Cuando más se hablaba de el más que conflictivo pacto entre Microsoft y Novell, Jeremy ficha por Google, como forma de protesta por los acuerdos de Novell y Microsoft.
Parece que Google tiene un especial interes en Samba.
Ben Goodger -desarrollador lider de Firefox-
Este joven inglés ha trabajado en Netscape y en la Fundación Mozilla como desarrollador lider del navegador Firefox.
El 10 de Enero del 2005 entro a formar parte de Google en Mountain View pero su Rol dentro del desarrollo de Firefox no ha cambiado.
Aaron Boodman -Autor de GreaseMonkey-
En abril del 2005 entro a forma parte de Google. Trabaja en el grupo
de Firefox.
Dan Kegel -Responsable de Wine-
Este chico de Los angeles entro a formar parte de Google en 2005, concretamente en el desarrollo de Picasa y su integración en la plataforma Linux.
Muy recomendable es su página personal donde hay multitud de recursos útiles.
Greg Stein -Creador y administrador de Subversion-
Trabaja en Mountain View desde 2005, como la mayoría hasta ahora. Su página personal.
Chris DiBona - responsable de Proyectos 'Open Source' dentro de
Google, y creador de Slashdot -
Responsable de los proyectos Open Source de Google, su trabajo tambien incluye la organización del "Summer of Code" y la liberación del software Open Source en la web de código de Google.
Lleva en Google desde el 2004.
Más información.
Spencer Kimball y Peter Mattis -creadores de Gimp-
Ambos estudiantes de la Universidad Berkeley de California desarrollaron GIMP como un proyecto de clase.
Actualmente trabajan en Google Nueva York.
Zaheda Bhorat -dirigía el proyecto OpenOffice.org-
En 2005 ingresó en Google, en la oficina de Londres.
Actualmente trabaja dirigiendo proyectos Open Source internos.
¿Quién será el siguiente?
Personalmente no me soprendería que este año contrataran a el padre de Linux, Linus Torvalds, para algo que llaman GoogleOS.
Ahí está dicho.
¿Apuestas?
Update: Se ha realizado alguna actualización gracias a Dirson.
20 enero 2007
Soluciona problemas de tu iPod shuffle
Ya tengo el iPod, es el primer aparatito que tengo de apple, y por mucho que había oido hablar de iTunes ventas y visitas, no había trasteado nunca con ese programa. Ayer fue la primera vez que lo instale y lo usé, aunque no tuve suerte con el iPod, ya que no me funciono al principio, pensé que igual se trataba de algún conjuro por parte de la mafia, o quizá es que no soy amiguito y el iPod era sólo una ilusión. En cualquier caso tenía remedio y fácil, pero no gracias a los manuales de apple. El sistema es windows. Que si tienes que actualizar el firmware, o instalar el service pack 2, cambiar de puerto usb, probar en un puerto USB 2.0, mira la garantía... nada de eso.
Concretamente los problemas eran al sincronizarlo con iTunes y decía algo así:
- no se pudo actualizar ipod no se pudo leer ni escribir error -50
- el ipod no se a podido actualizar porque no se puede leer ni grabar en disco
- Desconectar el iPod del ordenador (USB)
- Inicio -> Panel de Control -> Herramientas administrativas -> Servicios
- Buscamos "iPod service" y lo paramos.
- Volvemos a conectar el iPod (USB)
- Cuando detecte la unidad del iPod, la formateamos.
- Volvemos a arrancar el "iPod service"
- Arrancamos iTunes y en el tab de ajustes del iPod, marcamos la opción "activar el uso como disco". y aplica los cambios.
- Ya debería funcionar y sincronizarse correctamente.
Ahora ya funciona correctamente y ya no soy un desecho social. :)
19 enero 2007
Los hackers y el código penal
Estabamos sobre aviso, pero aún así, no lo puedo creer. El término hacker, que ya lo comenté en una entrada anterior, se criminaliza gracias al boletin de las Cortes Generales, con todo el apoyo que le han estado dando los medios de comunicación.
Según comentan en el Bufet Almeida, "es la primera vez se incorpora a un texto legislativo español, con carácter de ley orgánica, la palabra "hackers", que puede encontrarse en la exposición de motivos del proyecto."
"Es de prever que la reforma dará lugar a sesudos debates en Internet, y es de desear que dichos debates sean más jurídicos que lingüísticos: que sea la palabra "hacker" o "cracker" la que entre o no en nuestra legislación no es lo importante. Lo importante es el fondo: la conveniencia o no de la criminalización definitiva de todo tipo de acceso, con independencia de su objetivo."
Yo creo que SI es lo importante, hacker o cracker, son dos términos con significados completamente distintos. No hay que confundir los términos y menos cuando se trate de la reforma de una ley. Si no que le pregunten a un famoso escritor miembro de la RAE conocido por sus defensas de la lengua española contra injerencias, despropósitos, mal uso… O uso político de la lengua.
Según comentan en el Bufet Almeida, "es la primera vez se incorpora a un texto legislativo español, con carácter de ley orgánica, la palabra "hackers", que puede encontrarse en la exposición de motivos del proyecto."
"Es de prever que la reforma dará lugar a sesudos debates en Internet, y es de desear que dichos debates sean más jurídicos que lingüísticos: que sea la palabra "hacker" o "cracker" la que entre o no en nuestra legislación no es lo importante. Lo importante es el fondo: la conveniencia o no de la criminalización definitiva de todo tipo de acceso, con independencia de su objetivo."
Yo creo que SI es lo importante, hacker o cracker, son dos términos con significados completamente distintos. No hay que confundir los términos y menos cuando se trate de la reforma de una ley. Si no que le pregunten a un famoso escritor miembro de la RAE conocido por sus defensas de la lengua española contra injerencias, despropósitos, mal uso… O uso político de la lengua.
15 enero 2007
Lucha contra el phising: 44 maneras de protegerte
Es una estafa que genera billones de dolares en pérdidas, incluso aún cuando sólo el 5% de los usuarios caen en la trampa. Amenaza la integridad de las transacciones online entre clientes y banca electrónica principalmente. Es un juego constante del perro y el gato entre los estafadores y los especialistas en seguridad quienes les siguen los talones. Phising, carding, brand spoofing, web spoofing (falseo de web), llámalo como quieras, pero no escapamos al hecho de que este timo se esta volviendo cada vez más peligroso.
España es el tercer país del mundo que más estafas bancarias sufre, y el más afectado de toda Europa. .
Los estafadores tienen a su disposición un gran arsenal de armas, aparentemente enlaces incrustados en emails que redirigen a sitios falsos, ventanas pop-up que animan a introducir información sensible, direcciones URL que enmascaran su verdadero destino, y capturadores de pulsaciones de teclado que estan al acecho esperando capturar tu usuario y contraseña cuando las escribes en el teclado. No tienes porque ser un técnico experto para protegerte de estos ataques phising, basta con que tengas buen juicio, y ser consciente de que no todos los sitios en Internet son los originales, o los que dicen ser, y seguir una o varias combinaciones de los siguientes 44 consejos:
Simples pero efectivos....
1. Nunca confies en desconocidos: La misma regla que aplicabamos de pequeños entra en juego aquí: No abras correos provenientes de gente que no conoces. Configura tu filtro de basura y spam para entregar únicamente contenido de tu lista de contactos.
2. Esquiva aquellos links: ¿Qué ocurre si tu filtro de spam falla y empieza a entregar el contenido de esas carpetas en tu inbox?. Simple, NUNCA, hagas click en los links incrustados en tu correo.
3. Manten tu intimidad: Sin querer has hecho click sobre un link que te lleva a un sitio web donde te preguntan para que introduzcas información sensible como nombres de usuario, números de cuenta, contraseñas, números de tarjetas de crédito o de la seguridad social. Sólo tres palabras - NO LO HAGAS.
4. No temas: Muy a menudo, estos sitios web falsos te avisan de que tu cuenta está en riesgo de ser desactivada si no confirmas tu información de usuario, si recibes algún mail de estas características, simplemente, IGNORALOS.
5. Coge el teléfono y llama: Si dudas en que puede tratarse de una petición legitima, y tu banco te está preguntando para que les confirmes información sensible online. LLAMA al servicio de atención al cliente antes de hacer algo temerario.
6. Usa el teclado, no el raton: Escribe las URLs en vez de hacer click en los enlaces mientras realizas compras online o visitas tu banco y en aquellos sitios donde tengas que introducir números de tarjetas de crédito.
7. Busca el candado: Los sitios válidos que usan encriptación para transferir de una manera segura la información sensible se caracterizan por tener un candado en la parte inferior derecha de tu navegador, NO de la página web. Tambien, las direcciones web empiezn con https:// en vez de el normal http://
8. Nota la diferencia: A veces, simplemente la presencia de el candado es una prueba de que el sitio es auténtico, para verificar su autenticidad, haz doble click en el candado para mostrar el certificado de seguridad del sitio, y CHEQUEA que el nombre del certificado y el de la barra de direcciones coinciden. Si no coinciden, estas en un sitio problemático, por lo que sal de ese sitio.
9. Un razonable segundo intento: Si estas preocupado en que has alcanzado un sitio que se esta enmascarando como tu página del banco, algunas veces la manera fácil de comprobarlo, es introducir una password ERRONEA. El sitio falso la aceptará y normalmente te redirigirá a una página donde te dice que estan teniendo dificultades técnicas, e intentes el chequeo más tarde.
Tu sitio de banco original simplemente no te permitirá la entrada.
10. La clave aquí es la diferencia: Usa contraseñas DIFERENTES para sitios diferentes; lo se, es una tarea dificil en estos días, cuando la mayoría de las funciones de el cerebro se pasan a la tecnología, pero esta es una buena costumbre para prevenir a los phisers de recoger toda tu información de tranacciones sensibles, incluso si han llegado a comprometerte una cuenta. Además tambien ejercitarás el cerebro, es un ejercicio muy útil.
11. Manten tus ojos abiertos: Un email de spam está construido con errores gramaticales, generalmente no va personalizado y puede tener un enlace o un adjunto sospechoso. RECONOCELOS y denuncialos como spam.
12: La familiaridad produce desprecio: No estás seguro de que puedas distinguir un email con phising cuando lo recibes?, bien, echa un vistazo a este sitio, y conoceras como están generalmente construidos. Poco a poco aprenderas a diferenciarlos.
13: La codicia no paga: NUNCA participes en encuestas que te dan dinero por participar y a cambio te preguntan por información sensible. Estas son siempre intentos fraudulentos para conseguir tus datos personales. Puedes recibir los 20$ que te prometen, pero tambien hay una gran probabilidad de encontrar tu cuenta limpia.
14. No salgas: Nunca dejes tu ordenador DESATENDIDO cuando estes logeado con tu cuenta del banco o cuando has dado información de la tarjeta de crédito en un sitio de compras online.
15. El salir apropiadamente cuenta: Una vez que has terminado tus transacciones online, DESCONECTATE apropiadamente en vez de simplemente cerrar el navegador, especialmente si estas usando un terminal público.
16. Nunca puedes ser demasiado cuidadoso: Haz login en tu cuenta del banco regularmente y lleva cuenta de tu dinero. No querrás levantarte un día y encontrar que un phisher ha estado desviando unos pocos de cientos de dolares cada vez.
17. Un poco de conocimiento no es peligroso: Mantente al día con las últimas noticias e INFORMACIÓN sobre el pishing.
18. Pruebas difíciles: Se muy cuidadoso cuando te deshagas de tu viejo ordenador o disco duro. En ordenadores reciclados se ha encontrado información confidencial perteneciente a bancos de Internet. Utiliza software para BORRAR y sobre-escribir los datos de tu disco duro para asegurar que no se pueden recuperar los datos borrados.
19. ¿Lo conozco, o debería conocerlo?: Ten cuidado con el arpón del pishing, cuando tu cuenta corporativa se ha comprometido y los correos solicitando información privada parece que vienen de tus compañeros de trabajo o amigos, es mejor llamar a la persona en cuestión y verificar la autenticidad del correo.
20. Examina concienzudamente esos documentos: Como parte del trabajo en tu empresa, hay mucho que puedes hacer para prevenir que los pishers comprometan la seguridad de tu empresa. Configura Firewalls y manten tus sistemas de Antivirus actualizados. MONITORIZA los logs de tus equipos proxy ,DNS, firewalls y otros equipos de detección de intrusos de una manera regular para chequear si has sido infectado.
21. La política es la mejor política: Crea un conjunto de POLÍTICAS estrictas para la creación de contraseñas de tus usuarios, servidores y routers y asegurate de que tu personal sigue estas políticas.
22. Sin intromisiones: Establece sistemas de detección de intrusos que protejan el contenido de tu red y la prevenga de enviar y recibir emails con phising. Protege tu GATEWAY con herramientas antipishing, antivirus y firewalls.
23. Vigila lo que mantienes en tu compañía: Crea y manten una lista de los DISPOSITIVOS aprobados que tienen permiso para conectar en la red de tu empresa.
Tomando la tecnología de nuestro lado...
24. Es cuestión de confianza: Una questión importante es, ¿Puedes confiar en que el certificado del sitio sea auténtico?. Verisign fue culpable de emitir certificados de seguridad a sitios que reclamaban ser parte de Microsoft no hace mucho. La última versión de los navegadores IE 7, y Opera, en breve serán capaces de proveer a los usuarios con certificados EV SSL (Validación Extendida de SSL) que asegurarán que un sitio es el auténtico. La barra de direcciones muestra verde para los sitios buenos y rojo para los dudosos.
25. Pishers con codicia: Los emails tambien pueden ser spoofeados. La única manera de asegurarte de que no lo sean, es usar clientes que soporten firmas digitales S/MIME. Primero chequea si la dirección del remitente es correcta, y busca la firma digital. Esta es una táctica anti-phising muy efectiva ya que la firma es generada por el cliente despues de que el mail ha sido abierto y autenticado, y está basada en robustas técncias de criptografía.
26. Mantente actualizado: Asegurate de que tu sistema operativo y navegador estan regularmente ACTUALIZADOS. Chequea por los últimos parches y aplicalos inmediatamente.
27. Create un muro: PROTEGE tu ordenador con software anti-spam y antivirus que sean efectivos, y configura firewalls para mantener esos peligrosos caballos de troya alejados. Estos son capaces del peor tipo de phising instalando por ejemplo software de keylogging en tu sistema para capturar todas las pulsaciones realizadas en tu teclado y enviarlas a un sitio desconocido donde el atacante las pueda recoger. Lo que es peor, es que este ataque se puede expandir desde tu PC a demás ordenadores conectados al tuyo, comprometiendo así todos los equipos de la red.
28. Dos son mejor que uno: Usa autenficación de dos factores para hacer login en sitios sensibles. La combinación de un token vía software como una contraseña y un dispositivo hardware como una tarjeta ATM doblan la dificultad de conseguir abrir una cuenta que con sólo uno o ningún factor de verificación.
29. Paso a paso: Es muy dificil para los pishers tener acceso a tu password si DIVIDES el proceso de login en dos fases - introduciendo el ID de usuario en el primero y otras credenciales en el segundo. El proceso es incluso más seguro cuando introduces tus detalles de identificación en la segunda fase sólo si la ventana de entrada se ha personalizado de alguna manera, por ejemplo, si se muestra una imagen explicitamente seleccionada por tí.
30. No solo con un token: Considera usar un dispositivo "ID vault USB token" que encripte todos tus ids y contraseñas y los almacene en una unidad flash, la cual se puede utilizar para hacer login de una manera segura en los sitios web. El dispositivo por si mismo está protegido por contraseña para que los ladrones tengan una capa más de encriptación que afrontar.
31. Hashing para confundir: Plugins de software están entrando en la lucha contra el phising, un ejemplo es el PwdHash, o la herramienta hash de contraseña desarrollada por dos profesores de Stanford que codifica cualquier password que introduces, y crea un único sign-on por cada sitio que visitas. Incluso si los phisers consiguen tu contraseña, no podrán hacer nada.
32. Espío que no me espíen: Otra aplicación desarrollada en la línea de PwdHash, y tambien creada por los mismos profesores de Stanford que la anterior, es SPYBLOCK, una herramienta que previene a los programas caballos de troya de capturar pulsaciones de teclado y robar tus contraseñas.
33. Extendiendo la protección: Las extensiones de navegador como antipish usadas como plugin en el navegador Firefox de mozilla, ofrecen protección contra ataques de phishing manteniendo LISTAS de contraseñas y demás información sensible, y mostrando advertencias cuando el usuario escribe esta información en sitios falsos.
34. Marcando políticas: Los Bancos y casas de negocios online harían bien en usar el marco de políticas de remitente Open Source, un standard que previene el falsear las direcciones de email listando a los servidores que están permitidos enviar mail.
35. Tomando confianza: Como alternativa, podría usar un SERVICIO DE CONFIANZA como Geotrust's True Site que permite a los clientes verificar la autenticidad del sitio web.
Protección eventual contra el phising...
36. Enviando señales positivas: Nuevas tecnologías como el Marco del ID de remitente están entrando en la lucha contra los sitios web suplantados verificando el origen de cada email. Distribuidas por Microsoft y CipherTrust.
37. Salvo que no haya confianza: Trustbars, que son componentes seguros y a prueba de trampas de navegadores, permiten la VISUALIZACIÓN de la información de sitios. Los usuarios son alertados con avisos cuando existe una discrepancia en la visualización de la barra del navegador.
38. Disminuye estos ataques: Otra técnica, revelación de contraseña retardada (DPD), protege contra las ventanas emergentes que solicitan información sensible, (acertadamente calificados como ataques de ventana) trabaja contra los ataques phising cuando los usuarios introducen su contraseña letra a letra, una siguiendo la otra sólo despues de que la correspondiente imagen sea reconocida.
39. Prueba positiva: Los sitios web que deseen demostrar que son auténticos, pueden utilizar extensiones HTML llamadas PROOFLETS para aumentar un contenido del servidor. Estos son verificados por los navegadores a través del uso de servicios web especiales.
Enfoques alternativos...
40. Timos en los móviles: A medida que los consumidores van comprendiendo estos timos, los phisers se mueven a nuevos medios para seguir con sus estafas. Los teléfonos móviles, una necesidad en el mundo de hoy, son las últimas víctimas. Mensajes de texto aparentando ser un aviso de tu banco indicando que a menos que confirmes tu información de cuenta, será desactivada. IGNORA estos mensajes, siempre son spam.
41. Dudas de la voz: Otro campo caliente de actividad, es la tecnología VoIP, está siendo aprovechada como una herramienta de phising con una regularidad alarmante. Los criminales la encuentran EFECTIVA EN EL COSTE para hacer numerosas llamadas y ganar una buena suma con los gastos incurridos. Esto es doblemente peligroso porque la gente, que generalmente piensan en el correo para sospechar, generalmente tienden a confiar en las llamadas telefónicas.
Haz la diferencia....
42. Entra en la lucha: Si te encuentras con un timo de phising REPORTALO al grupo de trabajo anti-phising, o en España a la Asociación de Usuarios de Internet, ambos sitios trabajan para acabar con el phishing y capturar a los responsables.
43. Di adios: Si alguna de tus cuentas han sido comprometidas, CIERRALAS en seguida.
44. El cambio es bueno: Si sospechas que alguna de tus contraseñas ha caido en malas manos, CAMBIA todas tus contraseñas y números de pin en tus cuentas online inmediatamente..
El phishing es un campo de actividad donde la ignorancia nunca es feliz. En tanto exista gente crédula, habra timadores para aprovecharse de las vulnerabilidades humanas como el descuido, pereza, avaricia, e ignorancia. Ayudados y apoyados en la tecnología, estos ataques están incrementando día a día. Un largo camino nos queda en la lucha contra estos cibercriminales, mientras tanto, permanezcamos alerta.
Este post es mi granito de arena para contribuir en esta lucha.
Este artículo ha sido traducido de su original y adaptado en algunos puntos para la versión española.
Etiquetas:
ataques,
banco,
combatiendo,
phising,
tecnicas
Grep utility question
Tenemos un archivo llamado nombres.txt con las siguientes entradas:
aperez.2
aperez_
apepito
Queremos realizar una búsqueda exacta de aperez, que no tendrá que aparecer en este archivo.
Pero voilá;
[root@server tmp]# grep -w aperez nombres.txt
aperez.2
¿Porqué aparece?
El man del grep dice:
-w, --word-regexp
Select only those lines containing matches that form whole words. The test is that the matching substring must either be at the beginning of the line, or preceded by a non-word constituent character. Similarly, it must be either at the end of the line or followed by a non-word constituent character. Word-constituent characters are letters, digits, and the underscore.
¿Cómo evitar que aparezca?
aperez.2
aperez_
apepito
Queremos realizar una búsqueda exacta de aperez, que no tendrá que aparecer en este archivo.
Pero voilá;
[root@server tmp]# grep -w aperez nombres.txt
aperez.2
¿Porqué aparece?
El man del grep dice:
-w, --word-regexp
Select only those lines containing matches that form whole words. The test is that the matching substring must either be at the beginning of the line, or preceded by a non-word constituent character. Similarly, it must be either at the end of the line or followed by a non-word constituent character. Word-constituent characters are letters, digits, and the underscore.
¿Cómo evitar que aparezca?
Un impacto positivo en la seguridad de las aplicaciones web (sobre WASC)
SAP ha entrevistado a Jeremiah Grossman, uno de los fundadores de la WASC, en esta entrevista habla sobre esta organización, comenta algunas luces sobre lo que hacen, y a donde van. Esta organización, referente en cuanto a seguridad web, tiene proyectos donde han colaborado españoles, y donde cualquiera puede colaborar.
Las vulnerabilidades en la seguridad web impactan continuamente en el riesgo de realizar negocios sobre la web.
Jeremiah es uno de los fundadores de la WASC.
El Consorcio de Seguridad de Aplicaciones Web (WASC) intenta juntar a los expertos y líderes para desarrollar una clasificación común de los problemas de la seguridad web
12 enero 2007
Corrige permisos de propietario en cualquier ruta
Situación:
[root@server utilidades]# ls -la /usr/local/etc4/
total 584
drwxr-xr-x 95 root root 4096 Jan 10 15:32 .
drwxr-xr-x 19 root root 4096 Jan 10 16:00 ..
drwxr-xr-x 11 servera bkp 4096 Jan 9 17:17 SERVERA
drwxr-xr-x 7 serverb bkp 4096 Jan 9 17:17 SERVERB
drwxr-xr-x 10 serverc bkp 4096 Jan 9 17:17 SERVERC
drwx--xr-x 12 error err 4096 Jan 9 17:17 SERVERD
...
Los directorios tienen el mismo nombre que su propietario, pero el último tiene los permisos erroneos tanto de usuario como de grupo. En una situación donde nos encontremos con multitud de directorios así, podemos corregirlo con el siguiente script en bash.
Antes que nada, podemos tener en un fichero los que queremos corregir para sólo tocar los que hayamos indicado previamente en este fichero, y no todos los que forman parte del directorio.
[root@server utilidades]# cat corrige-permisos.sh
#!/bin/bash
RUTA="/usr/local/etc4/
for i in `find $RUTA -type d -maxdepth 1`
do
MUID=`echo $i |tr 'A-Z' 'a-z' | cut -d '/' -f 5`
for j in `cat servers.txt`
do
if [ "$j" = "$MUID" ]
then
chown -R $MUID.bkp $i
fi
done
done
1. Con el primer for mostramos la ruta que nos interesa, en este caso
/usr/local/etc4/SERVERA
....
2. En la variable MUID dejamos sólo la parte que nos interesa en minuscula
servera
3. Miramos el fichero donde tenemos los directorios a modificar, si coincide con el nuestro lo modificamos.
servera = servera
4. Si coincide ejecutara
chown -R servera.bkp /usr/local/etc4/SERVERA
Y corregiremos todos los permisos erroneos de dicho directorio.
Muy rápido y simple, pero me sirve para tener algunas notas de bash.
[root@server utilidades]# ls -la /usr/local/etc4/
total 584
drwxr-xr-x 95 root root 4096 Jan 10 15:32 .
drwxr-xr-x 19 root root 4096 Jan 10 16:00 ..
drwxr-xr-x 11 servera bkp 4096 Jan 9 17:17 SERVERA
drwxr-xr-x 7 serverb bkp 4096 Jan 9 17:17 SERVERB
drwxr-xr-x 10 serverc bkp 4096 Jan 9 17:17 SERVERC
drwx--xr-x 12 error err 4096 Jan 9 17:17 SERVERD
...
Los directorios tienen el mismo nombre que su propietario, pero el último tiene los permisos erroneos tanto de usuario como de grupo. En una situación donde nos encontremos con multitud de directorios así, podemos corregirlo con el siguiente script en bash.
Antes que nada, podemos tener en un fichero los que queremos corregir para sólo tocar los que hayamos indicado previamente en este fichero, y no todos los que forman parte del directorio.
[root@server utilidades]# cat corrige-permisos.sh
#!/bin/bash
RUTA="/usr/local/etc4/
for i in `find $RUTA -type d -maxdepth 1`
do
MUID=`echo $i |tr 'A-Z' 'a-z' | cut -d '/' -f 5`
for j in `cat servers.txt`
do
if [ "$j" = "$MUID" ]
then
chown -R $MUID.bkp $i
fi
done
done
1. Con el primer for mostramos la ruta que nos interesa, en este caso
/usr/local/etc4/SERVERA
....
2. En la variable MUID dejamos sólo la parte que nos interesa en minuscula
servera
3. Miramos el fichero donde tenemos los directorios a modificar, si coincide con el nuestro lo modificamos.
servera = servera
4. Si coincide ejecutara
chown -R servera.bkp /usr/local/etc4/SERVERA
Y corregiremos todos los permisos erroneos de dicho directorio.
Muy rápido y simple, pero me sirve para tener algunas notas de bash.
11 enero 2007
Expresiones regulares
Las expresiones regulares en la administracion de sistemas te salvan de muchas tareas pesadas.
Ahora me encuentro con una pequeña tarea a realizar;
Se tiene un fichero /etc/passwd
-------------------------------------------------------
servera:x:588:501::/usr/local/etc4/servera:/bin/bash
serverb:x:589:501::/usr/local/etc4/serverb:/bin/bash
-------------------------------------------------------
Por requerimientos de estructura, necesito que este fichero con cientos de registros como estos, tenga este nuevo formato
-------------------------------------------------------
servera:x:588:501::/usr/local/etc4/SERVERA:/bin/bash
serverb:x:589:501::/usr/local/etc4/SERVERB:/bin/bash
-------------------------------------------------------
Pasar a mayúsculas el campo en negrita, pero tener en cuenta que esa cadena está repetida dos veces por línea, con lo que no vale un simple tr/a-z/A-Z, hay que hacer algo más. ¿Cómo?
Nota: No es necesario modificar todas las entradas del fichero passwd, sólo unas especificadas a través de otro fichero externo.
El fichero externo tendrá:
-------
servera
serverb
serverc
...
-------
¿Cómo solucionarlo?
Solución 1.
--------------------------------
#!/usr/bin/perl
open (PASSWD, "passwd");
while (){
$str = $_;
chomp($line);
$str =~ s#(.*:.*/)(.*):(.*)$#$1\U$2\E:$3#;
print "$str";
}
close(PASSWD) || die "No se cerro SERVERS";
---------------------------------
Ahora me encuentro con una pequeña tarea a realizar;
Se tiene un fichero /etc/passwd
-------------------------------------------------------
servera:x:588:501::/usr/local/etc4/servera:/bin/bash
serverb:x:589:501::/usr/local/etc4/serverb:/bin/bash
-------------------------------------------------------
Por requerimientos de estructura, necesito que este fichero con cientos de registros como estos, tenga este nuevo formato
-------------------------------------------------------
servera:x:588:501::/usr/local/etc4/SERVERA:/bin/bash
serverb:x:589:501::/usr/local/etc4/SERVERB:/bin/bash
-------------------------------------------------------
Pasar a mayúsculas el campo en negrita, pero tener en cuenta que esa cadena está repetida dos veces por línea, con lo que no vale un simple tr/a-z/A-Z, hay que hacer algo más. ¿Cómo?
Nota: No es necesario modificar todas las entradas del fichero passwd, sólo unas especificadas a través de otro fichero externo.
El fichero externo tendrá:
-------
servera
serverb
serverc
...
-------
¿Cómo solucionarlo?
Solución 1.
--------------------------------
#!/usr/bin/perl
open (PASSWD, "passwd");
while (
$str = $_;
chomp($line);
$str =~ s#(.*:.*/)(.*):(.*)$#$1\U$2\E:$3#;
print "$str";
}
close(PASSWD) || die "No se cerro SERVERS";
Etiquetas:
expresiones regulares,
fichero,
passwd
10 enero 2007
El kernel de linux resumido
Greg Kroah-Hartman uno de los hacker del kernel linux. -Este es uno de los usos correctos de el término hacker.- ;)
Presenta esta gran obra. Una comprensiva guía de la configuración del kernel y diversos aspectos, sin necesidad de saber programación, muy útil para usuarios de Linux y Administradores.
Palabras del autor: "Si quieres conocer como construir, configurar e instalar un kernel de linux customizado en tu máquina, compra este libro."
El libro esta disponible integramente para descargárselo en varios formatos.
Presenta esta gran obra. Una comprensiva guía de la configuración del kernel y diversos aspectos, sin necesidad de saber programación, muy útil para usuarios de Linux y Administradores.
Palabras del autor: "Si quieres conocer como construir, configurar e instalar un kernel de linux customizado en tu máquina, compra este libro."
El libro esta disponible integramente para descargárselo en varios formatos.
09 enero 2007
Eliminar contenido de la cache de Google
Hace días recibí una petición de un dpto para borrar una página de la cache de Google, ya que la habían modificado y google estaba mostrando la versión antigua en sus búsquedas.
Esto es algo normal, ya que existe un lapso de tiempo hasta que google indexa toda la web de nuevo, durante este tiempo que dura generalmente de 6 a 8 semanas, se mostrará la versión antigua del documento, la versión cacheada.
Si esto es algo que nos preocupa, podemos pedir a google que nos elimine esa página o que no muestre la versión cacheada.
Si no podemos esperar a que Google indexe de nuevo nuestra web, y queremos borrarla ya de su cache, tal y como vemos en la segunda Nota de el link anterior, la podemos borrar directamente pero este proceso durará unos 5 días aproximadamente.
Una vez que has realizado la petición de borrar un documento de la cache o cualquier otra, podemos consultar el estado de la solicitud.
Información sobre como eliminar contenido de Google.
Esto es algo normal, ya que existe un lapso de tiempo hasta que google indexa toda la web de nuevo, durante este tiempo que dura generalmente de 6 a 8 semanas, se mostrará la versión antigua del documento, la versión cacheada.
Si esto es algo que nos preocupa, podemos pedir a google que nos elimine esa página o que no muestre la versión cacheada.
Si no podemos esperar a que Google indexe de nuevo nuestra web, y queremos borrarla ya de su cache, tal y como vemos en la segunda Nota de el link anterior, la podemos borrar directamente pero este proceso durará unos 5 días aproximadamente.
Una vez que has realizado la petición de borrar un documento de la cache o cualquier otra, podemos consultar el estado de la solicitud.
Información sobre como eliminar contenido de Google.
08 enero 2007
¿Por qué la publicidad no funcionará en un sitio sobre tecnología?
La gente que conecta con los sitios como digg, slashdot, o techmeme, no son el mejor público de tu sitio web en términos de clicks en publicidad. Si no todos, la gran parte de ellos tendrán instalado software de bloqueo de banners. Y estos usuarios tampoco harán click en tus adsense porque sí, son un público muy especializado. Tambien es cierto que puede haber anuncios adsense del tipo "Aprende .NET en 24 horas online", y demás cursos de lenguajes de programación de los cuales este público aborrece y odia, aunque se ganen la vida con ellos.
Otro hecho, es que el público que lee digg/del.icio.us/slashdot/etc es probablemente el 1-5% de Internet. Conozco un blog de jardinería que generá 1000 euros al mes con adsense. Y otro sitio de diseño de cocinas que he visto que gana algo parecido. Ambos sitios ganan esto con unas 4000-5000 páginas vistas diariamente, ¿cómo? Normal, los usuarios no técnicos harán click en publicidad porque:
Si llevas un sitio web tecnológico medianamente popular, entonces adsense no será para tí (véase Microsiervos). No puedo recomendar ningún otro producto porque no es fácil experimentar con ellos. Los sitios de pago por click como adsense o adbrite o cuaquiera de este tipo, tienen todos un pago mínimo, lo que significa que parte de tu "etapa de experimentación" estarás estancado con ellos hasta que ganes una cierta cantidad de dinero (generalmente entre 30$ o 100$) antes de que puedas recoger tu dinero y experimentar con otro software de este tipo. Para la mayoría de sitios esto es una gran temporada, por lo que tu "etapa de experimentación" es algo más parecido a un compromiso que a una prueba.
El otro estilo de publicidad en Internet, es alquilar un espacio en tu sitio (por ejemplo un banner de 728x90) por una cierta cantidad al mes. Pero esto tampoco es una opción a menos que tengas un cierto ranking en Alexa, un cierto número de links apúntandote, un cierto número de hits al día, etc por lo que esta tampoco es una opción para la mayoría de la gente.
Para sitios tecnológicos, adsense no es ideal, pero no puedo encontrar un proveedor mejor en este momento. Si tienes una aplicación web popular, no uses anuncios como tu fuente de ingresos principal, a menos que tus usuarios vengan del otro 95% (la gente que no refresca DIGG cada 3 minutos), en cuyo caso funcionará OK. No hay más que ver plentyoffish. Este sitio está el primero en la lista de los que más ganan con adsense.
Extraído y adaptado de el artículo original de Des Traynor.
Otro hecho, es que el público que lee digg/del.icio.us/slashdot/etc es probablemente el 1-5% de Internet. Conozco un blog de jardinería que generá 1000 euros al mes con adsense. Y otro sitio de diseño de cocinas que he visto que gana algo parecido. Ambos sitios ganan esto con unas 4000-5000 páginas vistas diariamente, ¿cómo? Normal, los usuarios no técnicos harán click en publicidad porque:
- Ellos no la bloquean
- Los anuncios son buenos.
Si llevas un sitio web tecnológico medianamente popular, entonces adsense no será para tí (véase Microsiervos). No puedo recomendar ningún otro producto porque no es fácil experimentar con ellos. Los sitios de pago por click como adsense o adbrite o cuaquiera de este tipo, tienen todos un pago mínimo, lo que significa que parte de tu "etapa de experimentación" estarás estancado con ellos hasta que ganes una cierta cantidad de dinero (generalmente entre 30$ o 100$) antes de que puedas recoger tu dinero y experimentar con otro software de este tipo. Para la mayoría de sitios esto es una gran temporada, por lo que tu "etapa de experimentación" es algo más parecido a un compromiso que a una prueba.
El otro estilo de publicidad en Internet, es alquilar un espacio en tu sitio (por ejemplo un banner de 728x90) por una cierta cantidad al mes. Pero esto tampoco es una opción a menos que tengas un cierto ranking en Alexa, un cierto número de links apúntandote, un cierto número de hits al día, etc por lo que esta tampoco es una opción para la mayoría de la gente.
Para sitios tecnológicos, adsense no es ideal, pero no puedo encontrar un proveedor mejor en este momento. Si tienes una aplicación web popular, no uses anuncios como tu fuente de ingresos principal, a menos que tus usuarios vengan del otro 95% (la gente que no refresca DIGG cada 3 minutos), en cuyo caso funcionará OK. No hay más que ver plentyoffish. Este sitio está el primero en la lista de los que más ganan con adsense.
Extraído y adaptado de el artículo original de Des Traynor.
05 enero 2007
Desmitificando mitos de como acceder a páginas bloqueadas.
Parte de mi trabajo, consiste en gestionar y administrar filtros de contenidos.
Este post no está relacionado con los bloqueos de páginas de Internet en países de dudosa reputación democrática, sino de las restricciones que existen en los lugares de trabajo para acceder a Internet.
Son muchos los posts que veo sobre como saltarse este tipo de restricciones. Pero como este tema casi me afecta directamente rebatire algunos puntos de por ejemplo este post.
Dejaría mi opinión personal al respecto, pero entonces este post sería off-toppic, vayamos pues al grano. :)
Antes de empezar, pongamonos en situación. Lo normal en una empresa que tiene restringido el acceso a Internet para sus empleados, es que la conexión sea a través de proxy. De esta manera se controlan todas las conexiones desde los equipos de los usuarios, luego implementar las políticas adecuadas ya es tarea de los administradores del sistema, aquí es donde entro y donde nos situamos, en el lado del servidor donde llegan todas las conexiones. Veamos que pasa con los trucos que se comentan:
Resumiendo, hoy en día, si las empresas tienen montado un buen sistema de filtrado, será inmune a este tipo de trucos.
Existen multitud de sistemas de filtrado tanto gratuitos como de pago, en mi caso tenemos una mezcla de ambos. Gratuitos en cuanto al proxy y de pago el sistema de filtrado que está encadenado al proxy, se actualiza diariamente y tiene soporte 24 horas de atención para desbloquear sitios bloqueados por error o viceversa. En general, la calidad de servicio es muy aceptable.
Para los que esteis interesados en más información aquí van algunos links:
Las anteriores son algunas de las mejores soluciones libres para el filtrado de contenidos, existen multitud de soluciones comerciales pero por motivos obvios no las mostraré. Si alguien estuviera interesado se lo indicaría personalmente sin hacer publicidad. ;)
Este post no está relacionado con los bloqueos de páginas de Internet en países de dudosa reputación democrática, sino de las restricciones que existen en los lugares de trabajo para acceder a Internet.
Son muchos los posts que veo sobre como saltarse este tipo de restricciones. Pero como este tema casi me afecta directamente rebatire algunos puntos de por ejemplo este post.
Dejaría mi opinión personal al respecto, pero entonces este post sería off-toppic, vayamos pues al grano. :)
Antes de empezar, pongamonos en situación. Lo normal en una empresa que tiene restringido el acceso a Internet para sus empleados, es que la conexión sea a través de proxy. De esta manera se controlan todas las conexiones desde los equipos de los usuarios, luego implementar las políticas adecuadas ya es tarea de los administradores del sistema, aquí es donde entro y donde nos situamos, en el lado del servidor donde llegan todas las conexiones. Veamos que pasa con los trucos que se comentan:
- La mayoría de filtros de contenido que se precien, antes de entregar una página realizan una resolución inversa si lo que se solicita es la direccion IP, si lo devuelto por la resolución inversa está en su lista de bloqueo, el filtro actuará.
- Cuando utilizamos la cache de google para intentar ver una página que esta filtrada, la petición HTTP que envía Google cuando solicita la versión en cache es algo como: http://216.239.59.104/search?q=cache:4p8WEdw0oU0J:www.playboy.com/ +playboy&hl=en&ct=clnk&cd=1. La cadena de la página que queremos ver en negrita, es la que se envía para consultar, el filtro actuará de igual manera inspeccionando esta cadena y viendo que coincide con sus listas de bloqueo. Lo mismo se aplica con los servicios de traducción.
- Utilizando un anonimizador, podría funcionarnos si es que encontramos uno que no lo tengamos bloqueado por defecto. Los filtros de hoy en día, vienen predefinidos con varias listas de bloqueo como pueden ser: pornografía, violencia, spyware, anonimizadores.., y generalmente estas listas se actualizan diariamente o conforme van viendo el tráfico que circula por ellos, tambien existen los mal "llamados inteligentes", esto quiere decir que un día podrás acceder al contenido pero no al día siguiente. Lo de mal llamado inteligentes es por alguna experiencia que he tenido con ellos, pero esta fuera de lugar explicarla ahora.
Resumiendo, hoy en día, si las empresas tienen montado un buen sistema de filtrado, será inmune a este tipo de trucos.
Existen multitud de sistemas de filtrado tanto gratuitos como de pago, en mi caso tenemos una mezcla de ambos. Gratuitos en cuanto al proxy y de pago el sistema de filtrado que está encadenado al proxy, se actualiza diariamente y tiene soporte 24 horas de atención para desbloquear sitios bloqueados por error o viceversa. En general, la calidad de servicio es muy aceptable.
Para los que esteis interesados en más información aquí van algunos links:
Las anteriores son algunas de las mejores soluciones libres para el filtrado de contenidos, existen multitud de soluciones comerciales pero por motivos obvios no las mostraré. Si alguien estuviera interesado se lo indicaría personalmente sin hacer publicidad. ;)
Etiquetas:
contenidos,
desmitificando,
filtro,
mitos
04 enero 2007
Ataque Universal XSS en PDFs
Vaya como hemos empezado el año en cuanto a seguridad web se refiere.
PDF es vulnerable a inyección XSS sin importar si tienes control sobre el archivo. Esto es, cualquier sitio con archivos PDF disponibles, es vulnerable a inyección XSS.
Podemos buscar pdfs en internet y realizar
La prueba: http://path/to/pdf/file.pdf#blah=javascript:alert(”XSS”);
Mi consejo es que sólo hagamos esto si tenemos algún sitio de nuestra propiedad donde poder testearlo más a fondo.
Simple, es realmente un tema muy delicado, cualquier redirección automática o consiguiendo que alguien haga click en un enlace, puede comprometer el sitio web si tienen el lector de Adobe PDF installado (practicamente todo el mundo lo tiene). Esta es una de las peores amenazas que he visto, ya que cualquier sitio web tiene PDFs, (documentación, ventas, formularios, cursos..).
Por ahora es vulnerable en:
Hasta ahora han dado varias soluciones,
1. Solución en el servidor. Que el servidor web trate los archivos .pdf como de tipo mime "application/octet", de esta forma los archivos serán salvados en disco en vez de abrirse con el plug in del navegador". Esto es:
SetEnvIf Request_URI ".pdf$" requested_pdf=pdf
Header add Content-Disposition "Attachment" env=requested_pdf
Se puede seguir el hilo de la lista de webappsec.
O en los comentarios de slashdot.
Y en castellano kriptópolis
Vía: ha.ckers
UPDATE: Leonard Rosenthol de Adobe Systems dice:
PDF es vulnerable a inyección XSS sin importar si tienes control sobre el archivo. Esto es, cualquier sitio con archivos PDF disponibles, es vulnerable a inyección XSS.
Podemos buscar pdfs en internet y realizar
La prueba: http://path/to/pdf/file.pdf#blah=javascript:alert(”XSS”);
Mi consejo es que sólo hagamos esto si tenemos algún sitio de nuestra propiedad donde poder testearlo más a fondo.
Simple, es realmente un tema muy delicado, cualquier redirección automática o consiguiendo que alguien haga click en un enlace, puede comprometer el sitio web si tienen el lector de Adobe PDF installado (practicamente todo el mundo lo tiene). Esta es una de las peores amenazas que he visto, ya que cualquier sitio web tiene PDFs, (documentación, ventas, formularios, cursos..).
Por ahora es vulnerable en:
- IE 6 SP 1 with version of Acro Reader older than 8.0
- Firefox 2.0.0.1 win32
- Firefox 1.5.0.8 win32
- Opera 8.5.4 build 770 win32
- Opera 9.10.8679 win32
Ataque vulnerable sólo en sistemas Windows.
Hasta ahora han dado varias soluciones,
1. Solución en el servidor. Que el servidor web trate los archivos .pdf como de tipo mime "application/octet", de esta forma los archivos serán salvados en disco en vez de abrirse con el plug in del navegador". Esto es:
SetEnvIf Request_URI ".pdf$" requested_pdf=pdf
Header add Content-Disposition "Attachment" env=requested_pdf
Se puede seguir el hilo de la lista de webappsec.
O en los comentarios de slashdot.
Y en castellano kriptópolis
Vía: ha.ckers
UPDATE: Leonard Rosenthol de Adobe Systems dice:
- Esta vulnerabilidad sólo afecta a la plataforma Windows. Los usuarios de Mac, Linux, etc. no están afectados.
- Encontramos esta vulnerabilidad nosotros mismos durante unas pruebas internas de seguridad testeando Acrobat, y hemos arreglado la vulnerabilidad en Acrobat / Reader 8 para Windows. Por ello los usuarios de Acrobat / Reader 8 (independientemente del navegador), NO ESTAN AFECTADOS.
- Tenemos ya parches preparados para las versiones anteriores de Acrobat y las liberaremos tan pronto como esten listas para aplicarse. Esto será una solución para aquellos usuarios que por la causa que sea, no puedan actualizarse a Acrobat / Reader 8.
03 enero 2007
¿Google y peticiones Spam?
Hoy era el primer día de trabajo despues de unos días de vacaciones. Empezamos a revisar que tal va nuestra red. Y al realizar una búsqueda en Google, esto es lo que nos encontramos:
En inglés
y castellano
Decir que estamos en una red con más de 4000 equipos que utilizan nuestros servicios, y todos ellos al realizar una búsqueda en Internet veían este mensaje.
¿Qué es esto?
Lo primero que hicimos, fue mandar un mail a Google indicándoles lo que nos estaba ocurriendo.
En paralelo, buscamos en nuestros equipos estadísticas de tráfico generado. Para ello la herramienta calamaris hizo el trabajo.
Esto es el dato que nos llamó la atención:
-------------------------------------------------------------------------------
# Incoming TCP-requests by host
host request hit-% sec/req Byte hit-% kB/sec
------------------------------ --------- ------ ------- -------- ------ -------
X.X.X.X 15776 0.00 0.66 279081K 0.00 26.78
C.C.C.C 9885 46.80 0.10 71578829 29.55 71.74
A.A.A.A 9865 23.13 1.30 119149K 9.58 9.29
B.B.B.B 8610 7.14 0.37 38128322 3.67 11.67
....
-------------------------------------------------------------------------------
Esos datos se contrastaron con otras estadísticas de días anteriores, y se pudo ver
que el tráfico generado era inusual.
La persona que estaba detrás de esa IP tenía un programa que realizaba búsquedas automáticas en Google a partir de ciertos términos específicados. Con los datos obtenidos generaban estadísticas para investigaciones.
Mientras tanto, en menos de 12 horas, Google respondio a nuestro correo con lo siguiente:
----------------------
Thank you for your note. The captcha page you're referring to is served by
Google when we experience a quick spike in traffic on Google.com. In order
to continue using Google, simply type the squiggly word into the box on
the captcha page. A captcha image helps us determine whether traffic is
coming from automated robot software or individual users, since most
robots aren't smart enough to read the squiggly text. We apologize for any
inconvenience this page may have caused.
-----------------------
Cuando Google capta más de 1000 peticiones GET en un corto periodo de tiempo desde la misma IP hace este tipo de restricción, ya que este tipo de patrones se corresponde con tareas automatizadas para recopilar mails, o realizar spam indiscriminado.
Google permite abrir una cuenta especial para estos casos especiales.
Dos conclusiones:
En inglés
y castellano
Decir que estamos en una red con más de 4000 equipos que utilizan nuestros servicios, y todos ellos al realizar una búsqueda en Internet veían este mensaje.
¿Qué es esto?
Lo primero que hicimos, fue mandar un mail a Google indicándoles lo que nos estaba ocurriendo.
En paralelo, buscamos en nuestros equipos estadísticas de tráfico generado. Para ello la herramienta calamaris hizo el trabajo.
Esto es el dato que nos llamó la atención:
-------------------------------------------------------------------------------
# Incoming TCP-requests by host
host request hit-% sec/req Byte hit-% kB/sec
------------------------------ --------- ------ ------- -------- ------ -------
X.X.X.X 15776 0.00 0.66 279081K 0.00 26.78
C.C.C.C 9885 46.80 0.10 71578829 29.55 71.74
A.A.A.A 9865 23.13 1.30 119149K 9.58 9.29
B.B.B.B 8610 7.14 0.37 38128322 3.67 11.67
....
-------------------------------------------------------------------------------
Esos datos se contrastaron con otras estadísticas de días anteriores, y se pudo ver
que el tráfico generado era inusual.
La persona que estaba detrás de esa IP tenía un programa que realizaba búsquedas automáticas en Google a partir de ciertos términos específicados. Con los datos obtenidos generaban estadísticas para investigaciones.
Mientras tanto, en menos de 12 horas, Google respondio a nuestro correo con lo siguiente:
----------------------
Thank you for your note. The captcha page you're referring to is served by
Google when we experience a quick spike in traffic on Google.com. In order
to continue using Google, simply type the squiggly word into the box on
the captcha page. A captcha image helps us determine whether traffic is
coming from automated robot software or individual users, since most
robots aren't smart enough to read the squiggly text. We apologize for any
inconvenience this page may have caused.
-----------------------
Google respondió nuestro mail en menos de 12 horas.
En los términos de servicio de Google, el tercer punto, dice que no permiten las búsquedas automáticas. Esto es lo que nos hizo encontrarnos con las restricicones anteriores.Cuando Google capta más de 1000 peticiones GET en un corto periodo de tiempo desde la misma IP hace este tipo de restricción, ya que este tipo de patrones se corresponde con tareas automatizadas para recopilar mails, o realizar spam indiscriminado.
Google permite abrir una cuenta especial para estos casos especiales.
Dos conclusiones:
- Leer las políticas de uso de los servicios que se utilizan, y respetarlas.
- Google tiene un buen soporte a cuestiones de usuarios.
Etiquetas:
google,
peticiones,
spam,
términos de servicio
Primer consejo del año: Crea pequeños archivos HowTo
Hace tiempo que llevo guardando todo tipo de comandos y chuletas varias sobre linux, vi, ldap, squid, apache, perl y mucho más. Son pequeños comandos o instrucciones que realizan una tarea muy específica, y que puedo recurrir a ellos cuando los necesite y de una manera ágil. Actualmente tengo un archivo de texto con más de 2000 lineas donde guardo todo eso. Pero despues de leer un post de Matt Cutts, donde hablaba de algo relacionado, voy a probar esta nueva técnica, creo que es más efectiva y útil para poder compartirla.
Se trata de tener pequeños howtos con instrucciones de cualquier cosa, puede ser lo que quieras, como obtener el proceso que más memoria consume, reiniciar un servicio, ejecutar alguna instruccion de algun servicio para comprobación de errores, cualquier tarea que se te ocurra, que sepas que la puedes volver a necesitar en un futuro. Todo documentado como pequeños howtos.
Por ejemplo.
Como tracear con tcpdump.
Se trata de tener pequeños howtos con instrucciones de cualquier cosa, puede ser lo que quieras, como obtener el proceso que más memoria consume, reiniciar un servicio, ejecutar alguna instruccion de algun servicio para comprobación de errores, cualquier tarea que se te ocurra, que sepas que la puedes volver a necesitar en un futuro. Todo documentado como pequeños howtos.
Por ejemplo.
Como tracear con tcpdump.
tcpdump -nXvSs 0 ip and host x.x.x.x -w milog.txt
tcpdump -r milog.txt -nXvSs 0|more
Suscribirse a:
Entradas (Atom)