Oct 09 2014

Sobre mi colaboración con la Universidad de Deusto y su postgrado en Seguridad Informática

DESI Seguridad DeustoPor poneros en antecedentes, comentaros que este pasado verano, he tenido el placer de impartir el módulo de “Seguridad en Servidores Web” del antiguo “MUSI” (Máster en Seguridad de la Información) que ahora pasa a denominarse “DESI” (Diploma de Especialización en Seguridad de la Información).

No puedo estar más agradecido con el trato, la flexibilidad y confianza depositada. Había una hoja de ruta que cumplir, e intenté en colaboración con Carlos Laorden, Borja Sánz y Patxi Galán, preparar un temario lo más actual, real o “aplicable” posible. Hace unos días me han confirmado que pronto lo impartiré de nuevo, y estoy encantado de volver a mi Bilbao natal a repetir la experiencia.

Otros profesores y colaboradores habituales, son gente que conocéis muy bien los seguidores del blog. Hablo de grandes profesionales y amigos como David Barroso, Josean Koret o “Txipi”, a quien tuve el placer de conocer personalmente en mi paso por s3lab de Deusto.

Un lugar el S3lab en el que cuando entras allí (teniendo en cuenta el panorama actual) y ves los proyectos que llevan adelante, percibes algo que te suena tan lejano como “eso del I+D“. Podéis ver su presentación.

Con la resaca y éxito de Navaja Negra (abrazos:) y a dos semanas para que viaje a Jaén y repita también en ConectaCON (muchas ganas, el lunes amplío info en otro post) esta vez impartiendo el tallerHackeando Servidores GLAMP“, me ha venido muy bien leer de nuevo a Patxi y sus dos entradas sobre mi colaboración con Deusto. Tanto para repasar algún tema que tocaré en Jaén, como para ver con los ojos de quien estaba al otro lado de la sala lo que mostré allí, por aquello tan sano de no perder la perspectiva.

Patxi asistió a mi módulo como alumno, y fue una suerte contar con él realizando ciertos ataques que requerían algo de colaboración, al llevar una propuesta formativa con un enfoque que los que me conocen saben que suelo poner en práctica.  “Demo” total y servidores en producción para ver datos reales.

Cierto es que en mi día a día dentro de APACHEctl, realizo ese tipo de tareas de auditoría cambiando el lado o el color según necesidades (ataque y defensa), pero no es lo mismo transmitirlo a otros y lógicamente, uno siempre quiere aprender y mejorar.

Es por ello que me quedo con estas palabras de Patxi:

Al final, a lo tonto, aprendí bastante sobre los servidores, el poco tiempo que se les dedica para ponerlos en condiciones, lo sencillo que es configurarlos, los diferentes tipos de ataques que se realizan contra ellos y los potentes y necesarios que son los sistemas de logs.

También aprendí bastante sobre las diferencias entre los tipos de servers, conceptos como escalabilidad o disponibilidad y la importancia tanto de elegir una buena base para el servidor en el proceso del desarrollo web, como la importancia de saber auditar no sólo de forma externa mediante herramientas Software, sino también configuraciones críticas del server.

No sabes Patxi lo importantes que son para mi, lejos de autobombos y miradas hacia el ombligo. Daremos el objetivo por cumplido, y ahora sólo pienso en mejorar de cara a la siguiente vez allí. Lo dicho, un placer y muchas gracias a los responsables y alumnos por ayudarme tanto impartiendo mi módulo -;).

Sin más, os dejo con sus posts: “Auditando un Servidor con Dabo” Parte IParte II.

(Actualización 12-10-2014) Muchas gracias a toda la gente del S3 por vuestras palabras !

Tags: , , , , , , , , , , ,


Nov 11 2013

Google Hacking o “la fuerza bruta de Google” (contra tu FTP)

Google Hacking ? WTFDentro de tu trabajo como administrador de sistemas, en ocasiones te toca despejar incógnitas que, aunque no sean «lo tuyo», afectan a terceros y se convierten en tu problema desde el momento en que un cliente ve perjudicado el posicionamiento de su negocio online. Por lo que hoy volvemos a hablar de Google y alguno de sus robots que por lo que se ve, tienen (molestos / insistentes) «errores de corrupción de memoria» (a los logs del final me remito).

Sobre este tema, algo he comentado sin profundizar vía Twitter y también en mi demo de ConectaCon o la de DragonJar. Tenía pendiente ampliarlo con el fin también de intentar ayudaros si vuestra web o la de algún cliente, pueda verse afectada por una cuestión de este tipo, que a priori no es tan fácil de detectar o relacionar y más con los mensajes tan poco claros que llegan del Centro de Webmasters de Google.. También la semana pasada vi en Menéame un post sobre Google y ataques SQLi, (recomiendo leer los comentarios, citan por cierto un caso similar a este).

No os quiero contar ya cómo puede afectarle a alguien que se dedica al SEO una cuestión como la que os comento. El ejemplo es uno de tantos que os podría mostrar y como podéis ver, el robot de Google insiste en conectarse con el usuario anonymous al FTP de un servidor y, a pesar de que se le bloquea el acceso, se puede ver bien en los logs como realiza dos intentos por IP con diferentes intervalos de tiempo de forma continuada.

El tema se complica cuando el «Googlebot» al comprobar que, o bien no es un FTP público, o que se le bloquea tras varios intentos de conexión siendo considerado como un ataque de fuerza bruta, no sólo deja de indexar el contenido de tu FTP si estuviese abierto al público (ojo al tema… similar al de listados de directorios por defecto), sino que también la indexación de la parte pública o visible de tu web se ve afectada porque simplemente «se va»

Google ya puede llamar a su algoritmo panda, pingüino o colibrí, también hacer creer al sufrido webmaster que «lo sabe todo de tu sitio» e incluso intentar regular e imponer su ley en los resultados de las búsquedas y el posicionamiento, pero más bien parece un pez por la poca memoria que demuestra tener, insistiendo en acceder a un contenido que, o bien no está creado para él, o simplemente no existe y mira que sería fácil a nivel de código en su «bot» solventarlo…

Está claro que se puede trabajar con listas blancas o de exclusión, bajar el número de intentos de conexión a tu FTP antes de bloquear un intento de conexión ilegítimo, etc. Pero que cada uno saque sus propias conclusiones con lo que os comento. Todos tenemos claro que a Google le interesa acceder e indexar todo lo posible y si, tu servidor o web no lo permite bien a nivel de robots.txt, un .htaccess / .htpassword, sistemas para bloquear ciertos ataques de fuerza bruta u otras medidas, te penaliza en los resultados de las búsquedas ¿si tu servidor no está por defecto te perjudica? parece que sí.

Sirva como una muestra más de los misterios de Google, otro ejemplo de hace un par de años que os conté aquí mucho antes de PRISM o el tema de la NSA que viví en primera persona con Google Apps  «casualidad, causalidad o inseguridad». Visto lo visto, o filtrado lo filtrado, quién sabe…

Mi compañero de DebianHackers Debish publicó hace unos días un post con el título «Google miente» refiriéndose a otra cuestión, ellos lo llamarán «features», pero más bien parecen cagadas ¿involuntarias? Vete tú a saber, la culpa / responsabilidad suele ser soltera o siempre puedes echársela al algoritmo (o al SysAdmin, todo un clásico). No es mi caso, pero si lo tuyo es el SEO, ya sabes, revisa logs sin dar nada por hecho, e incluye dentro de lo probable, algo así.

Una pequeña muestra de un caso reciente en un servidor bajo Debian:

Como podréis ver, repiten a gusto a pesar de los bloqueos.

/var/log# cat auth.log | grep -i google

Nov 3 16:38:44 pam_unix(pure-ftpd:auth): authentication failure; logname= uid=0 euid=0 tty=pure-ftpd ruser=anonymous rhost=crawl-66-249-66-100.googlebot.com

Nov 3 16:41:00 pam_unix(pure-ftpd:auth): authentication failure; logname= uid=0 euid=0 tty=pure-ftpd ruser=anonymous rhost=crawl-66-249-66-100.googlebot.com

Nov 3 17:13:10 pam_unix(pure-ftpd:auth): authentication failure; logname= uid=0 euid=0 tty=pure-ftpd ruser=anonymous rhost=crawl-66-249-66-57.googlebot.com

Nov 3 17:15:11 pam_unix(pure-ftpd:auth): authentication failure; logname= uid=0 euid=0 tty=pure-ftpd ruser=anonymous rhost=crawl-66-249-66-57.googlebot.com

Leer el resto de;”Google Hacking o “la fuerza bruta de Google” (contra tu FTP)”

Tags: , , , , , , ,


Oct 09 2012

Desarrollo web, sistemas y “emprendedores low cost” ¿estás seguro?

En medio de un mundo de recortes o “precios ajustados a la situación actual” (que suena mejor), hay mucho “emprendedor” de tres al cuarto (al final puntualizo, no se puede generalizar) que pretende poner en marcha un proyecto web abocado desde el principio al fracaso, bien aprovechándose del esfuerzo ajeno, o sin querer pagar a gente preparada en cuestiones fundamentales para la buena marcha de su negocio.

Y así nos va, figuras como consultores (espirituales) que hacen de intermediarios sin la preparación deseada, le dicen al autónomo listillo de turno (perdón, emprendedor) lo que quieren oír. Quizás, ahí radique la primera diferencia, escuchar es un concepto más amplio y para eso tienes que estar preparado a que te digan lo que no te gusta “oír”…

Resulta inquietante ver como proyectos con grandes aspiraciones, toman forma en sobremesas plagadas de conceptos totalmente alejados de la realidad. Creo que la biografía de Steve Jobs (aún no la he leído) ha dejado un legado de visionarios, pero de los que ven visiones muy alejadas de la cruda realidad.

Yo soy de los de Stallman, me van las historias de perdedores y cuando subo a la montaña, no me mato por ser el primero en llegar a la cima. Y aunque no sea un ejemplo a seguir para mi, la mala noticia para esos “empresarios” es que Jobs, sólo ha habido uno.

– “Tengo una idea rompedora, estoy buscando la forma de monetizarla por Internet y se puede poner en marcha casi sin inversión” – (iluminado 1 / Emprendedor – Autónomo de los de toda la vida).

– “¿En serio? ¿de qué se trata? Tengo un contacto de los buenos, montamos la web cagando hostias, controla de todo y anda muy pillado, verás como le interesa – (iluminado 2 / Consultor – espiritual).

La historia continúa buscando un dominio (antes del postre), en el café ya han registrado el Twitter y empiezan a pensar en la cantidad de “amigos” que tienen en Facebook para apoyar su creación. Con la primera copa, uno coge una servilleta y en medio de un estado de clarividencia, empieza a dibujar (todos llevamos un diseñador dentro), mientras el otro no para de decir “lo veo tío, lo veo…”, en la última copa se vienen arriba y en sus tweets ya puedes leer el típico “iniciando nuevo proyecto”…

(Se conocen casos en los que junto al dominio, ya contratan un servidor, barato, eso sí, que estamos empezando y total, en el anuncio decía que por 1 €/mes, está todo incluido. Venga, hagamos un esfuerzo y pillamos el de 5).

Después de la “resaca 2.0” y montar un negocio en 3 horas, al día siguiente, uno de ellos (consultor, con mucho espíritu) coge el teléfono y hace la mítica llamada:

– Hola, tengo un proyecto entre manos, estamos empezando tío, pero si la cosa va bien hay pasta para todos. Tenemos todo hecho, el dominio, la web planteada, Twitter, etc, ya te contaré, pero te adelanto que no te llevará nada, meteremos un WordPress y he visto una plantilla que se sale –

El desarrollador que no es tonto, al otro lado de la línea pone cara de “esto me suena” y se toma otro café…

(Mientras tanto, el autónomo ha cambiado a toda hostia sus perfiles y tiene una sensación de angustia hasta que encuentra esa jodida foto de la boda del año pasado en la que aparece con corbata y por fin, consigue ponerla de avatar, hay que dar imagen).

No está de más apuntar que en estos casos, hay un tanto por ciento elevado en los que uno de los iluminados, además es experto en SEO, SEM y administrador de sistemas Cpanel, Plesk y phpMyAdmin…

El desarrollador no lo ve claro y prefiere pasar del tema elegantemente. En otro momento de clarividencia, el consultor (espiritual) le dice al pupilo de Jobs:

– “Da lo mismo, lo monto yo y eso que nos ahorramos” – , el otro dice – “cojonudo, yo voy a ir a un evento de emprendedores a hacer networking”, pero primero pasaré por Zara a coger algo de ropa “casual pero formal”, eso sí -.

El consultor “consulta” a su cuñado que estudió derecho, sobre el tema legal de la web y controla un huevo, empieza a crear cuentas de correo en el Plesk y como se viene arriba, compra un theme para el WordPress “de los caros” y después de horas de esfuerzo, pone en marcha el plugin del carrito de la compra y consigue entender eso de los menús personalizados… (el emprendedor está negociando duramente con su operadora para conseguir un S3 y un iPhone 5 “por empresa” de forma urgente, después irá al banco para lo de la pasarela de pago y la VISA…).

En una semana ya está todo montado y la “empresa” es una realidad. – “Ha sido duro, pero lo hemos conseguido” – se dicen mientras toman un café (leyendo el Diario Expansión).

En menos de seis meses el sueño finalizó… ¿Cómo acabó? Dejo los 5 presuntos finales a vuestra elección:

1 – Entre tanto networking, salieron dos actualizaciones de seguridad para WordPress, tenían la versión visible y no querían actualizar “por si petaba el diseño”. Explotaron un bug y les dejaron K.O. Llamaron al desarrollador y cuando les abrió los ojos, se dieron cuenta que no era algo viable a medio plazo si lo querían hacer bien…

2 – Al consultor “SysAdmin” se le pasó darle al botón de “actualizar” en el Plesk de turno, pero previamente, también se comieron un “micro-update”, de esos sobre los que Parallels ni siquiera informa y “los del hosting”, les dijeron “algo de unos ficheros .js” que les colaron y un phising de un banco de Brasil, no tenían un backup.

3 – Cuando contrataron el dominio, no se fijaron en que era una marca registrada para Europa y España “había otra web con el “.es”, pero joder, era de maquinaria industrial”, se lamentó el “emprendedor” que no tenía ni dinero ni ganas para la batalla legal…

4 – Seis meses después, no se pasaban por la web ni los de la familia, gastaban más en enlaces patrocinados por Google “hay que estar arriba” que lo que percibían en concepto de ventas realizadas. Cuando se acabó el dinero, se acabaron las visitas.

5 – Uno de ellos se bajó del carro, (el “consultor”) le llamaron de una entrevista para trabajar a media jornada por 400 € al mes y con la intención de ir dándole duro a la web por las tardes, pero entre tanto lío técnico y las facturas, al final consiguió una jornada completa y dejó sólo a su amigo el visionario. No lo encajó mal, le miró a los ojos y le dijo -“bueno, también Jobs lo perdió todo y pasado un tiempo volvió para triunfar ¿no? –

# Disclaimer. Que no se puede generalizar es tan obvio como real es esta historia. Conozco a grandes trabajadores que acabaron siendo destacados emprendedores, algunos “low cost” en cuanto a la inversión en lo económico, pero no en conocimientos y horas computadas. En otro post, os contaré otra historia, la de personas que lo quieren hacer bien desde un primer momento y no dan con la gente adecuada. ¿Sobre el final? irrelevante, lástima de principio…

Tags: , , , , , , , ,


Jul 27 2012

Hey SysAdmins ! hoy es nuestro día. Larga vida a vuestros servers -;)

sysadmindayHoy es una de esas fechas señaladas en el calendario, 27 de Julio o el “SysAdminDay, un día para destacar la labor de todos los que lleváis a cabo esa tarea tan importante y oscura a veces como el fondo de vuestro terminal, en las máquinas que administráis, para ayudar a que todo esto de Internet funcione un poco mejor por la parte que nos toca.

El día de los del discreto segundo plano, como esos procesos que ejecutáis en vuestros sistemas, otro 27 de Julio para celebrar los malos y buenos momentos, la puesta en marcha de ese nuevo servidor, la preparación, mantenimiento, migraciones que más bien parecen migrañas y la monitorización constante de todo el tráfico que llega a nuestras máquinas.

En mi caso, además de a todos los amigos y SysAdmins que tenéis a bien compartir vuestro día a día conmigo aquí o en Twitter, tengo que felicitar especialmente a AJ y Oreixa, compañeros de batallas en APACHEctl, por estar siempre ahí dando la talla. También agradecer a todos los clientes que han depositado su confianza en nosotros para administrar sus servers, por hacernos la vida más fácil, colaborando a tope y siendo tan enrollados -;).

El 27 de Julio se escribe con letras blancas y fondo negro, mucha suerte con vuestros servers y “tengan cuidado ahí fuera” ;D. Tambien dar las  gracias por supuesto a toda la comunidad que gira en torno a GNU/Linux, por ayudarme a hacer de una pasión, mi forma de vida.

feliz@SysAdminDay:~$

Tags: , , , , ,


Jul 27 2012

[Vídeo] Hablando sobre GNU/Linux y seguridad en el #LinuxIO de Desarrollo Web

LinuxIOEl pasado Martes, tuve la oportunidad de compartir espacio en el “LinuxIO” de un portal de referencia como es el caso de Desarrollo Web. Estuve muy cómodo junto a su responsable y buen amigo, Miguel A. Alvarez y Pablo Bernardo, quien lleva adelante con ganas y buen hacer junto a Miguel, el espacio dedicado al mundo de GNU/Linux y el Software Libre en formato “Hangout“.

En el caso de Miguel, llevo con orgullo esa “responsabilidad” de ser quien le ha iniciado en el apasionante mundo de GNU/Linux, también y por la parte que me toca en APACHEctl (administramos sus servidores), decir también que como responsable de Desarrollo Web, es todo un ejemplo de una relación de colaboración constante entre desarrollo y sistemas, pero sobre todo, una gran persona que en su día conocí gracias a otra gran amiga, como es el caso de Eugenia Bahit.

Sobre Pablo, una de esas agradables sorpresas que llega a través de Twitter. El día anterior a la grabación ahí estuvimos haciendo pruebas con el “Hangout” (como no podía ser de otro modo en mi caso, Google decidió que “había un problema en sus sistemas con la compartición de pantallas y al final hicimos un apaño vía TeamViewer;) y sólo puedo agradecerle lo pendiente que estuvo en todo momento, sus ganas de ayudar y el buen hacer. Sé bien por nuestro podcast el esfuerzo que implica.

Y de la gran cantidad de amigos y gente que seguía el LinuxIO por Twitter, lo puedo resumir en “impresionante”. Mucho feedback, preguntas que intenté contestar bien en la grabación o después y ese aliento en la nuca de una comunidad amiga. Vaya desde aquí todo mi agradecimiento tanto a el equipazo de Desarrollo Web (Ana incluida) por darme la oportunidad de participar y aportar en la medida de lo que pude, dentro de mis posibilidades mi granito de arena (repetiré encantado), como a toda la gente que estuvo ahí siguiendo el directo o la grabación posterior.

Los de casa ya sabréis sobre lo que hablé, una mezcla entre GNU/Linux, seguridad, CMS y servers con grandes dosis de Debian como no podía ser de otro modo-;). Para acabar y sobre LinuxIO, es una iniciativa que sigo con interés, totalmente recomendable y para eternos aprendices como es mi caso, una cita obligada. Por lo que ¡ mucho ánimo y a seguir con ello !

Acceso a: “Seguridad en GNU/Linux en el #LinuxIO” | El vídeo.

Tags: , , , , ,


Feb 10 2012

De Servidores Web comprometidos y personas o empresas que no se comprometen.

Disclaimer:

Este post puede considerarse como un acto de promoción dado que soy parte “interesada” o directamente implicada por mi participación en los casos que comento. Ante las (lógicas) posibles dudas, vamos a apelar a aquello de “pásate por ejemplo” por daboweb.com que en breve cumple 10 años y sólo verás un lugar más de ayuda informática, totalmente desinteresado, sin publicidad y hecho por amigos, no colaboradores, amigos, reitero, por y para la comunidad, aprovecho la ocasión para mandar un saludo a mis compañeros de Caborian.

Además, son más cinco años junto a vosotros por aquí en DaboBlog como para que os venga a contar películas en formato TS Screener (recuerda, descarga, pero con calidad).

¿Por qué esta entrada? Y tan tarde…

Bueno, era algo que tenía pendiente, a pesar de que intento conservar cierta actividad en las webs que promuevo o participo, colaborar con el podcast de mi amigo Dani, con el que he grabado unos audios sobre seguridad Wifi y seguridad en dispositivos móviles “para todos los públicos” (por cierto, sobre DaboBlog Podcast, pronto sacaremos un nuevo episodio, o eso espero;), Iniciación a la seguridad informática y “Crackers, Hackers & Hacktivismo“.

Como os decía, es frustrante por ejemplo, abrir Twitter y no poder leeros como me gustaría, no devolver todo el feedback que llega, dejar de publicar aquí con mayor regularidad o en Daboweb, DebianHackers, etc, pero uno da hasta donde da y tiene sus limitaciones. Acabo de ver que mi último post es del día 18 de Enero, día del famoso “Blockout“.

Situación actual.

Actualmente me encuentro inmerso entre una marea de cursos que estoy impartiendo (dentro de las actividades que llevo a cabo desde davidhernandez.es) y otra marea, pero en este caso, con APACHEctl.com junto a mis compañeros. Hablo de mareas de bytes, servidores web, auditorías de seguridad, terminales, intervenciones de urgencia, etc y todos los problemas a los que se puede enfrentar un autónomo en una época como esta, además de un proyecto en común que va gestándose con paso firme y a ritmo suave con Emma Fernández, buscando una diversificación en base a ciertos servicios que demandan algunos clientes.

Servidores y aplicaciones web, usuarios, condicionantes…

Y de mi actividad principal quería hablaros, servidores, seguridad, clientes, SysAdmins y algún ISP que en lugar de “Internet Service Provider“, bien podría ser un acrónimo de “Internet Sopla Pollas“. Sí, de varios hechos que he podido comprobar con mis propios ojos, algunos adelantados en medio de sensaciones entre el cabreo o la falta de comprensión por mi parte y…ciertamente hacen falta más de 140 caracteres para expresarlo. Eso sí, 140 caracteres son pocos, pero aunque tampoco quiero abusar de vuestro limitado tiempo en medio de una multitarea cada vez más acuciante, reconoceréis que a casi un post por mes, tengo que exprimir un poco el teclado ;)

Partamos de la base de que no siempre se puede actualizar como te gustaría o querría el cliente, existen ciertas dependencias entre algunas aplicaciones web, versiones del S.O, entornos de producción que no se pueden parar (de todo esto hablamos Sergio Hernando y yo en el “Especial Seguridad“) y situaciones en las que hay limitaciones tanto técnicas, comerciales o administrativas que impiden un estado ideal de algunos sistemas web en producción. Me tranquiliza en lo personal, saber que en ninguno de estos casos se den esas circunstancias.

Por otro lado, si alguien que trabaje en seguridad o sistemas no entiende que bajo ciertas condiciones, su infraestructura puede ser comprometida, debería pensar en cambiar de trabajo porque cuando viene un cliente buscando que le vendas una utopía, o veo en algún sitio web eso de “garantizamos al 100 % tu seguridad” me quedo alucinado o pienso ¡Qué envidia, si yo pudiera…!

A dos días de terminar de impartir un curso sobre SGSI, LOPD, LSSICE y todas las implicaciones y embrollos legales que se pueden dar cuando manejas datos de terceros, (aprovecho para saludar a esos 14 alumnos con los que tanto aprendo;), cada vez me doy cuenta de que en la solidez de la gestión de la seguridad entran en escena tantos protagonistas (ISP, Webmaster, sofware instalado, usuarios, SysAdmin, etc) que controlar todas esas variables al 100 % es prácticamente imposible, os recomiendo (sobre el factor humano) esta entradaPor qué falla la seguridad” de los colegas de Security By Default.

Leer el resto de;”De Servidores Web comprometidos y personas o empresas que no se comprometen.”

Tags: , , , , , , , , , , , , , , ,


Sep 21 2011

El “misterioso” caso de Gmail, Google Apps y Twitter. ¿Casualidad, causalidad o inseguridad?

#Disclaimer; Esta entrada debe ser considerada como un post o reflexión seguramente paranoide y bajo ese aviso (cuidando la salud mental de quienes tenéis a bien seguirme;) debe ser leída.

#Actualización, me han llamado hoy 27 de Septiembre desde Google (Irlanda) para aclararme el caso, concretamente la persona que añadió nuestras cuentas (Cristian) dándome una explicación. Lo pongo en los comentarios del post.

El título quizás es algo “novelesco”, también buscando quitarle trascendencia a algo que puede ser (como seguramente es) fruto de la casualidad, o para dejar la pregunta final a vuestro criterio. Para responder a esa pregunta; ¿Casualidad, causalidad o inseguridad? os pondré en antecedentes.

Mi colega Salva, mejor “Xsas” para los habituales del blog, y yo (a quien le comenté que quizás escribiría algo sobre el tema entre risas y sensación de “uhmm” -;), nos cruzamos un par de correos hablando de cómo hacer un backup de la cuenta de un cliente con su correo y otros datos funcionando bajo Google Apps (servicio proporcionado por Google).

Aclaro que no hubo conversación previa vía Twitter del tema, sólo por correos electrónicos, en ambos casos cuentas de Gmail / Google Apps lo que viene a ser lo mismo. El detalle de que ni en público ni en privado, comentamos nada en Twitter, tiene su peso para la sensación de “conspi-paranoia” que sufrimos en ese momento ;D.

Bien, hasta ahí todo normal, nuestra “extrañeza” llego cuando pasada más o menos una hora del último envío de correo, nos llegó un aviso casi a la vez, de que la cuenta oficial de Google Apps España nos estaba siguiendo en Twitter…Si os fijáis en la lista de a quien siguen, tal y como se ve en la captura de pantalla, efectivamente están las dos seguidas, primero la mía y luego, la cuenta de Quadux que es de Salva.

Cuando recibimos el aviso de Twitter, casi a la vez, vía mail nos cruzamos un “hostia” ¡Qué casualidad ! y ciertamente aquí puede haber opiniones para todos los gustos, ahí quedan 3 de las muchas opciones posibles.

Como dato adicional, he de decir que hace cerca de un mes escribí en Twitter algo así como “no uses como cuenta de admin tu cuenta personal en Google Apps” (para que, en el caso de un acceso no autorizado, puedas recuperar tu cuenta “normal”, aconsejaba hacer otra con un nombre “enrevesado” y administrar Google Apps desde esa). Puse como “hashtag (#) GoogleApps.

¿Casualidad?

Una mera casualidad, el súper algoritmo “Panda” de Google o los responsables de la cuenta de Google Apps España van buscando temas sobre administración de sistemas, la gestión de cuentas de Google, “hastags” o menciones que contengan “GoogleApps”, etc y encuentran lo que escribí en Twitter sobre Google Apps, “ven” la relación entre la cuenta de Salva y la mía y nos siguen a ambos. Sería lo normal pero ¡ qué casualidad ! que sea después de los mails. Aunque de eso van las casualidades ¿no?

¿Causalidad?

Causa-efecto. En los dos mails que nos enviamos, Salva y yo estábamos usando cuentas de Gmail / Google Apps, como dentro de los mensajes se hacía mención a Google Apps, su súper algoritmo (modo <conspi-paranoide> ON ;) rastrea las palabras, el mensaje viaja por Matrix y llega a “su sitio” en Google, acto seguido, (en una hora) nos sigue su cuenta de Google Apps España en Twitter. Sería algo muy factible en lo técnico a la par que más que censurable en cuanto a la privacidad.

¿Inseguridad?

 Este último punto vendría a colación si la respuesta fuese “causalidad“. Muchas veces, comentamos la gran cantidad de datos que maneja Google sobre todos nosotros (y muchas otras empresas) así como de los usos que hacen de datos “cruzados” las compañías. Bien para ofrecernos algún servicio determinado, saber nuestras preferencias de navegación, lugares visitados, etc (aquí se podría hablar de las cookies). Aunque no es menos cierto, que el administrador de tu correo, también puede leerlo sin llamarse Google…

Os comento que esta entrada ha estado como “borrador” durante unos días, esperando a que pasase un poco el tiempo para intentar quitarle trascendencia, sólo con el título escrito y con todos los papeles de no pasar de “borrador”. Pero también que, aún con las risas que nos echamos Salva y yo respecto a lo sucedido, uno se queda con “la mosca detrás de la oreja” como se suele decir. Si me preguntáis sobre mi respuesta, diría que claramente se trata de una casualidad, pero en este negocio de “los unos y ceros“, hay artistas (del código-;) que pueden convertir las “casualidades” en inquietantes “realidades” (y viceversa).

 

Tags: , , , , , , ,


Sep 13 2011

Con seguridad (informática), si estás cansado, no lo hagas. Y si lo haces…

Que nuestro mayor enemigo somos a veces nosotros mismos no es nada nuevo, aquí en DaboBlog no es la primera vez que hablo de ello. Que hay veces en las que las cosas no salen como queremos y pasado un tiempo acaban saliendo, también es algo de todos conocido. Murphy y su Ley están ahí, esperando el momento justo para “justamente” mandar al carajo ese trabajo que tanto te importa. Es por ello el; “si estás cansado, no lo hagas. Y si lo haces…” con precaución.

A lo largo de estos años, he podido comprobar que el cansancio, las preocupaciones externas y esa mitificada (pero ciertamente real) falta de sueño que suele acompañar a desarrolladores, administradores de sistemas o alguien que lleva adelante un proyecto web, son factores que afectan a nuestro rendimiento y se multiplican exponencialmente en situaciones “críticas”. No digamos si a eso le sumas que puedas estar enfermo o tomando alguna medicación que merme tus facultades.

No voy a hacer un pseudo estudio barato de psicología, pero la experiencia me dice que hay veces en las que por mucho que queramos avanzar, nuestra mente está perezosa y por mucha cafeína que te metas en vena, salvo algún “pico” de lucidez, es mejor hacer un “suspend to RAM al equipo y a tu cabeza, para pasado un tiempo, volver a ello con más fuerza y seguridad.

En mi caso, dentro los trabajos que realizo administrando servidores web, bien sea en tareas de mantenimiento o actualizaciones del sistema, como en cuestiones de seguridad que a diario debo afrontar dentro de APACHEctl (Implementación de un IDS, Firewall, auditorías, tests de intrusión, análisis de logs, etc) me encuentro a veces con esas situaciones un tanto “críticas” que comentaba en las que hay terceros que pueden verse afectados por un fallo y nadie está libre de ello. Lo importante es intentar evitarlo a toda costa y si nos sobreviene, tener un buen “plan B” para aplicarlo con rapidez.

Hay algo muy bueno cuando estás trabajando con una línea de comandos, la falta de una capa gráfica que puede abstraerte de tu verdadero fin ayuda a concentrarse, también que si fallas, lo puedes ver al momento. No he visto a muchos terminales equivocándose. Tampoco soy la persona más indicada para dar consejos a nadie, pero quizás encuentras algo aplicable a tu forma de trabajar en estas líneas.

# Algún consejo…
Leer el resto de;”Con seguridad (informática), si estás cansado, no lo hagas. Y si lo haces…”

Tags: , , , ,


Página siguiente »