Safemode-cl -=- [DVD AR]

¿Computador o Computadora?

2008-06-09T19:23:00.001-04:00

Un maestro explicaba que los sustantivos tienen género y se designan como masculino o femenino:

- La casa es femenino.
- El lápiz es masculino.

Un estudiante preguntó:
- Cómo se debe decir, computadora o computador?

En lugar de dar una respuesta, el maestro dividió la clase en dos grupos:
Varones por un lado y mujeres por el otro, y les pidió que decidieran si la computadora o el computador debe ser masculino o un nombre femenino. Le pidió a cada grupo que fundamentaran su decisión en al menos 4 argumentos.

El grupo de los hombres decidió que la computadora debe ser definitivamente del género femenino (la computadora) porque:

1. Casi nadie entiende su lógica interna.
2. El idioma nativo en que ellas se comunican entre sí es incomprensible para todos los demás.
3. Incluso los errores más pequeños se guardan en memoria de largo plazo para su posible revisión mucho tiempo después.
4. En cuanto usted tenga una, se encontrará gastando al menos la mitad de su sueldo en accesorios para ella.

El grupo de las mujeres, sin embargo, concluyó que los computadores deben ser masculinos (el computador) porque:

1. Para hacer algo con ellos, usted tiene que encenderlos.
2. Ellos almacenan muchos datos pero todavía no pueden pensar por sí mismos.
3. Se supone que ayudan a resolver los problemas, pero la mayor parte del tiempo, ellos son el problema.
4. Cuando usted tenga uno, comprenderá enseguida que, si hubiera esperado un poco más, podría haber conseguido otro mejor.

Establece un récord mundial Guinness

2008-06-05T15:09:00.001-04:00

Parece un muy buen trato, ¿verdad?Todo lo que tienes que hacer es descargar Firefox 3 durante el dia designado como “Download Day” para ayudar a establecer el record del software mas descargado de la historia en un lapso de 24 Horas – es asi de facil. No se te pide que te tragues una espada o que mantengas en equilibrio 30 cucharas sobre tu cara, aunque tambien seria bastante impresionante. Lo que tienes que hacer, como lo dice el sitio es:

“Comprometerte a conseguir que Firefox 3 sea el software más descargado en 24 horas para conseguir un récord Guiness.”

Descarga Firefox durante el Download Day y disfruta de una seguridad mejorada, una velocidad deslumbrante y nuevas características interesantes que cambiarán la manera en que usas la web.

Nuevas características

Firefox 3 pone el listón muy alto con nuevas y excitantes características, con la inclusión de marcadores con un clic, la barra de direcciones inteligente y un rendimiento increíblemente rápido.
Seguridad

Mantenerte a ti y a tu información personal seguros es nuestra principal prioridad. Firefox 3 incluye protección antifraude (phishing) y software malicioso, además de nuestra nueva información instantánea sobre la identidad del sitio.
Productividad

Con características como el corrector ortográfico incluido, la restauración de sesión y el escalado completo de páginas, Firefox 3 hace posible trabajar más deprisa y eficientemente en la web.
Personalización

Tus gustos y necesidades te distinguen del resto. Con Firefox 3 puedes elegir entre más de 5.000 complementos que te ayudan a personalizar tu experiencia de navegación.

IPv4.5

2007-10-25T22:12:00.000-03:00

Sin comentarios (solo informáticos), si no lo eres pregunta que hay de raro en la imagen, de seguro que el guionista de la serie CSI no se asesoró lo suficiente, para inventar semejante barbaridad.

DVD AR.

2 puntos mas a favor de Google

2007-09-18T09:50:00.000-04:00

Un saludo desde Chile en este día tan especial para nosotros, les traigo recién salido del horno un par de noticias que, para los usuarios de los productos de esta gran empresa como yo, les alegrará, o mejor dicho les facilitará el diario interactuar con sus productos.

En primer lugar la noticia de que el editor en linea de presentaciones de la serie Google Apps o mas conocido como el módulo de apliciones Google Docs ha dado una serie de pasos en sus mejoras de interfaz de usuario el último tiempo, pero el día de hoy (18-09-2007) nos complace en anunciar que han agregado el modulo para crear presentaciones o como comunmente las conocemos Powerpoint (Grrrrr... esto gracias a nuestro querido Guillermo Puertas, que nos ha metido el producto suyo ese por las narices)... Ha probar esta maravilla y de paso figurence uqe ya no tendrán que portar las benditas presentaciones, solo invitar a las personas que participan en la presentación y ya está!!!

Bien, el otro producto que merece mis reconocimientos, es Google Reader que desde el día de ayer (17-09) al menos en nuestro pais (por eso el enlace con .cl) está en español, hace unos días igual se han realizado una serie de cambios en su interfaz e incluso se ha agregado un buscador dentro del lector. Personalmente recomiento este producto, ya que hoy en día el tiempo invertido en visitar una cantidad x de sitios web se ha convertido en demasiado, quitando o a veces desperdiciando este, por muchas razones, entre las que contamos por ejemplo que no existan actualizaciones. La recomendación a los desarrolladores habilitar el servicio rss. Lo que hace este producto es que yo como usuario me pueda inscribir a estas lecturas, entonces el lector me traerá las actualizaciones cuando las haya y asi si queiro leo la noticia limpia en mi lector o si me interesa realmente visito el sitio que recientemente se ha actualizado, ahorrando en tiempo y manteniendo un orden de acuerdo a mis necesidades, ya que puedo etiquetar a mi gusto los sitios a los cuales me he inscrito asignandole categorias o etiquetas de acuerdo al tipo y/o contenido de los sitios.

Gmail aumenta tamaño de adjuntos a 20 Mb

2007-05-23T02:35:00.000-04:00

Google nos sigue sorprendiendo con mejoras a sus servicios, hasta la fecha, el servicio de correo Gmail permitía adjuntar a cada mensaje ficheros que no sumasen en total más de 10 Mbytes. A partir de ahora, este límite es de 20 Mbytes, lo que facilitará el envío y recepción de documentación, y evitando tener que preparar más de un email.

Se profundiza y confirma de fuente Google en este enlace y recordando que, aunque Gmail permita enviar y recibir hasta 20 Mbytes por mensaje, hay que tener en cuenta la limitación impuesta por los servidores de correo de nuestros contactos.

DVD AR

Las 10 mejores distribuciones Linux Live-CD para seguridad y analisis forense

2007-03-13T01:07:00.000-04:00

    Las 10 mejores distribuciones Linux Live-CD para seguridad (test de penetración, recuperación de datos, análisis forense).

Un Live-CD es una distribución de Linux (Kernel + Herramientas) pensada para correr sin necesidad de instalarla.
La PC bootea desde la unidad de CD/DVD, el sistema se carga en RAM, dejando intacto al sistema instalado en la PC.

Éste es el ranking organizado por Darknet con las distribuciones mas usadas por los profesionales en seguridad.

1. BackTrack: Resultado de la unión entre Auditor y WHax (antes WHoppix) combina lo mejor de ambas prestando atención a todos los detalles. Está basada en SLAX (derivada de Slackware), es modular y muy fácil de personalizar, incluyendo scripts, kernels a medida y nuevas herramientas.
htt p://www.remote-exploit.org/index.php/BackTrack

2. Operator: Basada en Debian, incluye un completo set de herramientas para monitoreo y detección. Corre totalmente en memoria ram y convierte cualquier PC en un completo equipo para desarrollar tests de penetración sin necesidad de instalar nada. También posee aplicaciones para recuperación de datos y análisis forense.
http://www.ussysa dmin.com/operator/

3. PHLACK (Professional Hacker´s Linux Assault Kit): Es un derivado de Morphix. Trae abundante documentación y dos entornos gráficos muy livianos (Fluxbox y XFCE4). Su uso se enfoca hacia los test de penetración; apunta al usuario avanzado, no es apta para novatos.
http://www. phlak.org/modules/mydownloads/
http:/ /public.planetmirror.com/pub/phlak/?fl=p

4. Auditor: Si bien está en proceso de fusión con WHAx sigue siendo una muy buena opción. Basada en Knoppix incluye una gran colección de herramientas junto con un entorno de trabajo consistente, lo que facilita el aprendizaje.
http://www.remote-exploit.org/index.php/Auditor_mirrors

5. L.A.S Linux: Local Area Security Linux está apuntada a contener la mayor cantidad de herramientas útiles en el menor espacio posible. Si bien el desarrollo está algo lento últimamente, sigue siendo muy útil. Entra en un Mini-CD (180Mb) y viene en dos versiones, MAIN y SECSERV.
http://www. localareasecurity.com/download

6. Knoppix-STD:    Es una colección MUY grande de las herramientas opensources dsponibles combinadas con una interfaz muy elegante.
http://www.k noppix-std.org/download.html

7. Helix: Es una versión modificada de Knoppix, posee kernels a medida y una muy buena detección hardware. Se especializa en análisis forense y recuperaciones de emergencia.
http://www.e-fense.com/ helix/

8. F.I.R.E: Si bien algo desactualizada, sigue siendo considerada como la solución open-source mas robusta para análisis forense. Su principal objetivo es proveer un entorno rápido para análisis forense, recuperación de datos, búsqueda de virus y detección de vulnerabilidades. También incluye algunas herramientas para realizar testeos de penetración.
http://fire.dmzs.com/

9. nUbuntu (Network Ubuntu): Es una distribución muy nueva en este campo. Básicamente resulta de tomar un Ubuntu y remover paquetes innecesarios (Gnome, OpenOffice por ejemplo) para reemplazarlos con herramientas relacionadas con seguridad.
http://www.nubun tu.org/downloads.php

10. INSERT Rescue Security Toolkit: Basada en Knoppix 4.02, incluye un entorno gráfico basado en Fluxbox y kernel 2.6.12.5. No hace énfasis en ningún área particular, posee herramientas para análisis de redes, recuperación de datos, antivirus y análisis forense, entre otros. Destaca su pequeño tamaño, cabe en un Mini-CD.

Tips acerca del nuevo SO de Microsoft

2007-02-20T14:09:00.000-03:00

Como era de esperar, continúa a buen ritmo la ofensiva mediática y marquetinera de Microsoft para promocionar su presuntamente innovador sistema operativo.
Vista, en el mejor de los casos, es medianamente molesto, y en el peor te dan ganas de ir corriendo a Redmond y darle a alguien una patada en la cabeza.

Microsoft pregona nuevas características, muchas de ellas sisadas sin vergüenza alguna del Macintosh de Apple.

Vista es un parque temático decadente con unas pocas nuevas atracciones, montones de atracciones viejas reparcheadas y niños aburridos con una desesperada necesidad de adultos que supervisen el funcionamiento de los cachivaches. Si yo puedo encontrar montones de problemas en cuestión de horas, ¿por qué Microsoft no puede? Respuesta más probable: lo hizo, pero no le importa.

Y en el campo de la seguridad, algunas perlas destacadas:

Si el malware llega de algún modo a su máquina, el cortafuegos de Windows no le impedirá establecer conexiones salientes para ejecutar sus maldades. Si se apaga ese cortafuegos y se sustituye por otro mejor, el panel de control le advertirá: "Su ordenador no está protegido; active el cortafuegos de Windows." Pero el Centro de Seguridad de Windows le dirá correctamente que el cortafuegos está activo y que no debería ejecutar dos a la vez. Llámelo inconvistancia.

Cosas como ésta le llevan a uno a preguntarse si la seguridad habrá realmente mejorado tanto como Microsoft proclama. Todavía tendrá que añadir su propio antivirus, en una nueva versión preparada para Vista. Y los irritantes y repetidos avisos sobre posibles brechas de seguridad no siempre significan lo que dicen y son habitualmente irrelevantes. Se los tomará usted tan en serio como al chico que grita "¡el lobo!", resultando inútiles como herramienta defensiva.

Las conclusiones tampoco tienen desperdicio:

Mi recomendación: ni siquiera considere actualizar una antigua máquina a Vista. Punto. Y a menos que no le quede más remedio, no compre una nueva con Vista hasta que salga el inevitable Service Pack 1 (también conocido como Festival de Arreglos) para combatir los horrores que a día de hoy aún desconocemos.

Sugerí a un jefe de producto de Windows que si la empresa se tomara la seguridad realmente en serio, Vista ofrecería una forma sencilla de borrar ficheros con seguridad y eliminar todas las pistas de identidad y contraseñas, de modo que se pudiera dejar la máquina a otro o venderla. Su respuesta: "¿Algún sistema operativo hace eso?" Eso dice todo lo que se necesita saber sobre Microsoft. El auténtico lema: "Aquí no hay innovación".
Kriptópolis - El Pais

Como evitar la entrega automática de IE 7

2006-11-11T16:43:00.001-03:00

Entrega automática de Internet Explorer 7

Publicado: 17-08-2006 | Actualizado: 03-11-2006

Con la finalidad de ayudar a que los clientes estén más protegidos y se actualicen, Microsoft distribuirá Internet Explorer 7 como una actualización de alta prioridad a través de las Actualizaciones automáticas, así como de los sitios de Windows Update y Microsoft Update poco después de la liberación de la versión final de Internet Explorer 7. Internet Explorer 7 estará disponible para los usuarios de Windows XP SP2, Windows XP Edición de 64 bits y Windows Server 2003 SP1 originales.

Este anuncio ofrece una descripción general del proceso de entrega y las opciones disponibles para las organizaciones con el fin de evitar la entrega a sus usuarios. Microsoft revisará este anuncio una vez que establezca la fecha específica de inicio de la distribución automática.

Proceso de entrega de las Actualizaciones automáticas

El proceso de entrega automática notificará a los usuarios que hay disponible una actualización y permitirá que elijan si desean instalar Internet Explorer 7 o no. A continuación se describe el proceso y se incluyen instantáneas en la parte inferior de esta página.

Las Actualizaciones automáticas sólo ofrecerán Internet Explorer 7 los usuarios con cuentas de administrador local. Las Actualizaciones automáticas notificarán a todos estos usuarios (incluyendo aquellos con las Actualizaciones automáticas configuradas para descargar e instalar automáticamente las actualizaciones) cuando se haya descargado Internet Explorer 7 y esté listo para su instalación. El proceso de notificación e instalación no iniciará a menos y hasta que el usuario que sea un administrador local inicie sesión en la máquina. A los usuarios que no sean administradores locales no se le pedirá que instalen la actualización y por lo tanto seguirán utilizando Internet Explorer 6.

Después de hacer clic en el globo de notificación de las Actualizaciones automáticas, los usuarios verán una pantalla de bienvenida donde se resumen las funciones clave de Internet Explorer 7 y que presenta tres opciones: Instalar, No instalar y Preguntarme más tarde.

•	Si el usuario selecciona “Instalar”: El proceso de instalación comenzará y para que termine, requerirá la validación de Windows Genuine Advantage y que se reinicie el equipo. La instalación de Internet Explorer 7 no cancelará las opciones predeterminadas del explorador del usuario y transferirá la página principal, favoritos, configuraciones de búsqueda y barras de herramientas compatibles anteriores del usuario. Cuando el usuario laza Internet Explorer 7, se ofrecerá una experiencia de primera ejecución que destaca las nuevas funciones y los cambios.
•	Si el usuario selecciona “No instalar”: El proceso de notificación no volverá a solicitar al usuario que lo instale más tarde; sin embargo, cualquier usuario que sea un administrador local podrá instalar Internet Explorer 7 en cualquier momento como una actualización opcional desde los sitios de Windows Update y Microsoft Update o desde el Centro de descarga de Microsoft.
•	Si el usuario selecciona “Preguntarme más tarde”: El proceso de instalación no continuará y las Actualizaciones automáticas empezarán a notificar al usuario que hay disponible una actualización mediante el mismo proceso (globo de notificación y pantalla de bienvenida) dentro de aproximadamente 24 horas.

Internet Explorer 7 reemplazará a Internet Explorer 6 en la máquina del usuario. Sin embargo, los usuarios podrán regresar a Internet Explorer 6 al desinstalar Internet Explorer 7 a través de la utilidad Agregar o quitar programas del Panel de control de Windows.

Opciones para bloquear la entrega automática

Microsoft recomienda a las organizaciones que utilizan las Actualizaciones automáticas en sus entornos y que desean evitar que los usuarios reciban automáticamente Internet Explorer 7 realicen uno o más de los siguientes pasos:

1.	*Descargue e implemente el Kit de herramientas del bloqueador de Internet Explorer 7* Descargue e implemente el Kit de herramientas del bloqueador de Internet Explorer 7. El Kit de herramientas del bloqueador sin fecha de expiración (disponible aquí) (En inglés) del Centro de descarga de Microsoft) incluye tanto una plantilla de Políticas de grupo como una secuencia de comandos que establecen una clave de registro para impedir que las Actualizaciones automáticas y los sitios de Windows Update y Microsoft Update ofrezcan Internet Explorer 7 como una actualización de alta prioridad. (Nota: El Kit de herramientas del bloqueador no impedirá que los usuarios que son administradores locales instalen manualmente Internet Explorer 7 desde, por ejemplo, medios externos o el Centro de descarga de Microsoft.)
2.	*Implemente una solución de administración de actualizaciones* que proporciona control total sobre las actualizaciones que están implementadas en los PCs de su red. Microsoft ofrece los servicios Windows Server Update Services (En inglés) gratuitos y los productos de administración de actualizaciones más avanzados de Systems Management Server 2003 (En inglés). Los administradores de informática que utilizan una solución de administración de actualizaciones deben utilizar las funciones estándar de su producto, en lugar del Kit de herramientas del bloqueador para controlar la distribución de Internet Explorer 7.
3.	*Evite que los usuarios las ejecuten como administradores locales en sus PCs.* A los usuarios que no son administradores locales no se les ofrecerá la actualización y pueden estar restringidos para instalar manualmente Internet Explorer 7 (o cualquier otra aplicación). (Haga clic aquí (En inglés) para obtener más información sobre la administración de cuentas del usuario.)
4.	*Indique a los usuarios que rechacen Internet Explorer 7 cuando las Actualizaciones automáticas les notifiquen que la actualización está disponible para su instalación.* Si las opciones anteriores no son factibles para su organización, también puede indicar a sus usuarios que seleccionen “No instalar” cuando se les indique hacerlo en la pantalla de bienvenida de Internet Explorer 7. No será necesario que los usuarios realicen alguna acción especial para recibir la notificación, y todos los usuarios podrán rechazar la instalación.

Hay disponible información adicional sobre Internet Explorer 7, incluyendo un Kit de herramientas de preparación, una descripción general técnica, un resumen detallado de las funciones y la descarga de la versión en desarrollo de Internet Explorer 7 en el sitio del producto.

Instantáneas de la experiencia de entrega de las Actualizaciones automáticas

A continuación se muestran algunas instantáneas de ejemplo de la experiencia de notificación:

Nota: La pantalla final de Bienvenida es un borrador y aún está sujeta a cambios

Vínculos relacionados: Recursos de Internet Explorer 7

•	Descarga del Kit de herramientas del bloqueador de Internet Explorer 7 (En inglés)
•	Preguntas más frecuentes del Kit de herramientas del bloqueador de Internet Explorer 7 (En inglés)
•	Sitio del producto Internet Explorer
•	Centro del desarrollador de Internet Explorer (En inglés)
•	Kit de herramientas de preparación para desarrolladores, probadores y profesionales de informática (En inglés)

Mozilla Firefox en la puerta del horno...

2006-10-24T03:13:00.000-03:00

... y de seguro no se quemará ahí, se viene señores el gran lanzamiento, y está pactado para el 24 de Octubre en todo el mundo.

Solo elige tu sabor y tu color y dale a descargar:

De seguro que lo que se viene es una gran guerra, entre aplicaciones digo yo, Microsoft de seguro quiere tratar de impresionar a sus usuarios con cosas nuevas (visuales de seguro) porque por dentro todos sabemos lo que viene, aunque igual se merecen un premio al esfuerzo; en cambio Firefox, si trae bastantes cosas nuevas y se nota:

Tecnología antiphishing

Restablece las pestañas que tuviéramos abiertas

Recupera el texto que estuviéramos escribiendo en las páginas web si ocurriese un cuelgue del sistema

Corrector ortográfico

Nuevo theme (desde la RC2)

Versiones para Mac OS X, Linux y Windows

39 idiomas

... y algo más es gratis... no tengo que comprar un "SO" para tenerlo.

Internet Explorer 7.0 a un paso de ser una actualización más!!

2006-10-16T15:52:00.000-03:00

Tras los últimos indicios, Microsoft lanzará el Internet Explorer 7 el próximo miércoles 18 de octubre de 2006, justo tras la salida del Mozilla Firefox 2.0 RC3 (versión previa a la salida de la versión final).

El plan de migración se realizará el 1 de noviembre, cuando a todas las máquinas con Windows XP SP2 les llegará como actualización del sistema, realizando el paso al nuevo navegador web de Microsoft.
Entre los rumores más o menos confirmados, se dice que se lanzarán versiones periódicas (como actualizaciones o nuevas versiones) cada 6 meses, implementando un sistema de actualizaciones que se echaba en falta, mucho más visible en otras soluciones como pueden ser Mozilla Firefox u Opera.

Vea una lista de comprobaciones relativas al cambio en su nuevo navegador IE7, además de la info del lanzamiento en el blog de microsoft apuntando a IE7

COLGAR UN SISTEMA LINUX CON UN USUARIO SIN PRIVILEGIOS

2006-10-10T10:01:00.000-04:00

Vamos a hablar y ver algunos ejemplos de la seguridad en Linux mal aplicada… Cosa que encontraremos por ahí con los miles de administradores que no implementan medidas de seguridad en sus máquinas. Los ejercicios los dividiremos en 2 partes, usuarios con acceso a una cuenta shell y los usuarios que solo tengan acceso vía FTP y WEB.

Vamos a ver cómo cualquier usuario sin privilegios de nada puede reventar un sistema Linux, esperando su reinicio.

Usuarios con cuenta Shell

Tenemos una cuenta en la máquina y la posibilidad de movernos por nuestra home y tal… vamos a crear un script en bash muy simple a ver qué pasa… lo llamaremos hijo_mio.sh

$0 & $0 &
guardamos el fichero y le damos permiso de ejecucion chmod +x hijo_mio.sh y lo ejecutamos a ver qué pasa. Si no hay ninguna protección específica pasará que se cuelga todo.

Usuarios con acceso FTP/Web

Aquí tenemos otra opción… Si no tenemos una cuenta shell de usuario para ejecutar programas o scripts podemos hacer que un usuario existente lo haga por nosotros, por ejemplo www-data.

Cómo lo haremos esta vez… Vamos a crear un programa en C muy simple que contendrá lo siguiente:

main() {
for(;;) fork() ;
}

Lo guardamos como mola.c y lo compilamos en nuestra maquina claro… gcc mola.c -o mola.bin

Ahora ya tenemos un ejecutable para el sistema… Sólo tenemos que subirlo al servidor por FTP, y ahora viene lo bueno… como no tenemos cuenta no podremos ejecutarlo… pero eso lo hara el usuario www-data… ¿Cómo? Con PHP; ahí va el script.

< ?
echo "Estamos en la carpeta " . __FILE__;
exec ("DIRECCION_DE_DONDE_ESTAMOS/mola.bin");
?>

Si alguien sabe qué variable predefinida es la que PHP te dice la carpeta donde estás, excluyendo el nombre del archivo .PHP no estaría mal que contactara conmigo.

Y ahora… SERVER CRASH. Por cierto esto se llama Bomba fork, por si te preguntan.

Ahora vamos a proteger nuestras máquinas

El problema de estos ataques es que crean procesos hijos infinitamente hasta gastar el espacio del SO y éste se cuelga. Cómo podemos evitar éste y muchos otros ataques similares; ¿como por ejemplo llenar el disco duro de archivos vacíos para acabar con los inodos y cosas parecidas? Pues limitando a los usuarios y a los grupos… para ello podemos ir al archivo

/etc/security/limits.conf

Y ahí veremos una pequeña pero clara explicacion de qué se puede y cómo se puede limitar. Por ejemplo vamos a limitar el número de procesos del usuario www-data.

www-data hard nproc 7

Es muy facil… una matización… esto de hard y soft. Soft es un límite que se puede superar durante un período de tiempo. Mientras que el límite hard es el límite definitivo que se puede alcanzar. Podríamos poner el límite soft a 5 procesos y si se pasasen de esos 5 actuaría el límite hard a 7, capando definitivamente los procesos.

Editor de texto, vía web - Made in Google

2006-10-07T08:09:00.000-04:00

La aplicación Writely se ha convertido (en menos de un año) en una de las herramientas más admiradas de la WWW. Permite a cualquier usuario editar y compartir sus documentos como si fuese un clásico editor de textos de cualquier paquete ofimático, pero accediendo a través de un navegador web, mediante unas excelentes interfaces WYSIWYG desarrolladas con la tecnología Ajax.

Esto permite gestionar y modificar de manera colaborativa toda nuestra documentación desde cualquier lugar con conexión a Internet (al estilo de los populares wikis), y almacenar la información en un servidor remoto en diferentes formatos. Además, también permite publicar esta información a través de páginas web. Más información en este enlace.

Hace un par de mese, se ha hecho público que Writely ha sido adquirido por Google, en una nueva apuesta por crear nuevos métodos de gestión y acceso a la información mundial y personal, y que puede ser un paso más para crear un hipotético servicio 'Google Office' basado en web, además de un entorno de almacenamiento de los datos personales. No está demás mencionar que el sistema de login multi-service tambien es una muy buena opción ya que para acceder a este servicio solo es necesaria una cuenta del grupo Google Acount y de paso te podrás crear una ya que el servicio de invitaciones ya ha sido desactivado y no necesitas una invitación para poder tener una cuenta.

Writely, que va a seguir estando en fase beta durante algunos meses más, permite exportar e importar nuestros documentos en varios formatos, como Microsoft Word, RTF u OpenOffice, la suite ofimática libre que Google pretende promover de la mano de Sun Microsystems.

Además de la tecnología que hay detrás de Writely, Google se ha hecho con un equipo de ingenieros que pueden ayudar a la compañía a desarrollar las herramientas necesarias para crear interfaces de edición de información y hacer frente a diversos productos de Microsoft.

La firma de Bill Gates lleva escasas semanas ofreciendo un producto ofimático basado en web ('Office Live') con el que pretende entrar de lleno en la batalla por los servicios web de gestión de información.

Fin del soporte técnico para Windows XP Service Pack 1 (SP1)

2006-09-25T13:19:00.000-04:00

Fin del soporte técnico para Windows XP Service Pack 1 (SP1)

El 10 de octubre de 2006, Microsoft finaliza con toda la asistencia técnica pública para Windows XP Service Pack 1 (SP1). Después de esta fecha, Microsoft no proporionará más opciones de soporte por incidente o actualizaciones de seguridad para este retirado Service Pack bajo las directivas definidas en el Ciclo de vida del soporte técnico de Microsoft.

Para aumentar la seguridad de su PC y para continuar con la recepción de las actualizaciones para Windows XP, le recomendamos que actualice su equipo, gratis, con Windows XP Service Pack 2 (SP2).

Troyanos que capturan video cuando detectan autentificación de Banca online.

2006-09-16T07:53:00.000-04:00

Se han detectado varios troyanos que realizan un vídeo de la pantalla del usuario mientras éste se autentica para entrar en su cuenta bancaria por Internet. Esta funcionalidad representa un salto cualitativo en la peligrosidad de los troyanos bancarios, y en especial contra los teclados virtuales implantados por muchas entidades.

Son varias las entidades que, como medida de protección adicional, han implantado los denominados "teclados virtuales". Básicamente consisten en representaciones gráficas de teclados en pantalla, donde el usuario puede pulsar con el ratón los diferentes números o letras para introducir sus contraseñas, sin necesidad de utilizar el teclado físico.

Esta solución está destinada específicamente a mitigar los troyanos tipo "keyloggers" o capturadores de teclado, que son programas que capturan las teclas que el usuario introduce por el teclado físico-tradicional y se las envía a un tercero. De esta forma el atacante obtiene los usuarios y contraseñas que puede utilizar posteriormente para suplantar al usuario afectado.

Cómo suele ocurrir cuando una medida de seguridad se generaliza, no tardaron en aparecer troyanos bancarios que burlaban este tipo de protección. Desde aquellos que directamente se inyectaban en el navegador y capturaban el usuario y contraseña antes de que fuera enviado por HTTPS al servidor de la entidad, de manera independiente a si había sido introducido con el teclado físico o virtual, hasta los que fueron programados específicamente contra los teclados virtuales y se activan al hacer click con el ratón, almacenando la posición del cursor o realizando pequeñas capturas de pantalla.

En esta ocasión se ha detectado un nuevo troyano bancario que viene a representar un salto cualitativo en la peligrosidad de este tipo de especímenes, y sin duda una vuelta de rosca más en las técnicas utilizadas contra los teclados virtuales. La novedad reside en que el troyano tiene la capacidad de generar un vídeo que recoge toda la actividad de la pantalla mientras que el usuario está autenticándose en la banca electrónica.

El vídeo contiene sólo una sección de la pantalla, usando como referencia el puntero del ratón, pero lo suficientemente amplia para que el atacante pueda observar perfectamente los movimientos y pulsaciones que el usuario legítimo realiza en el teclado virtual, lo que permite obtener sin ninguna dificultad el usuario y contraseña introducidos.

Windows Vista RC1... disponible para descarga

2006-09-07T03:47:00.000-04:00

Microsoft acaba de liberar la RC1 de Windows Vista y pone a disposición del agudo ojo de los internautas para descarga e inicio de pruebas.
Windows Vista RC1 está disponible para los participantes del Windows Vista Customer Preview Program.

Solo hay que dirigirse al sitio del Customer Preview Program, registrarse para así poder recibir una clave del producto, la cual, es requerida para la instalación y posterior activación del software (Este sitio ya no tiene disponible la solicitud de key, hasta nuevo aviso).

A continuación los sitios del Customer Preview Program y el enlace de descarga de la iso del RC1, recientemente liberada:

Customer Preview Program website:
http://go.microsoft.com/fwlink/?linkID=67708

Key

GKFV7-F2D9H-QKYXY-777P3-4M73W

PVYFQ-2JTBV-9KXQ2-FQHDY-MTBVH

Download here:

http://download.windowsvista.com/preview/rc1/en/download.htm

Suerte y no olviden de informar bugs.

PD: Y para los que le tienen ganas a la versión server, aquí les dejo el enlace para x86 (torrent):

MS Windows Longorn Server

MICROSFT INVITA A HACKEAR WINDOWS VISTA... Y LO INEVITABLE SUCEDIO !!!!

2006-08-16T02:39:00.000-04:00

Microsoft desafía a los participantes en el Congreso Black Hat a encontrar vulnerabilidades y agujeros de seguridad en Windows Vista. El nuevo sistema operativo de Microsoft, Windows Vista, que probablemente será lanzado a comienzos de 2007 para consumidores, está colmado de procedimientos y funciones de seguridad. Tantas son las funciones de seguridad y protección, que algunos usuarios de la versión beta 2 reportan en diversos blogs que "en momentos, incluso son una molestia", escribe BetaNews. Seguridad robustecida Uno de los elementos centrales del nuevo esquema de seguridad es la incorporación de distintos niveles de usuarios, con distintos niveles de permisos. De esa forma se evita que los usuarios inexperimentados sean engañados por intrusos e inducidos a ejecutar malware o a desactivar funciones de seguridad. Vista tendrá además un núcleo mucho más sólido que Windows XP, lo que dificultará la acción invasiva de los denominados rootkits, y su estrategia de ocultamiento. Windows Vista no solamente tendrá antivirus, sino también cortafuegos y anti-spyware como estándar. Por si lo anterior no fuera suficiente, todos los datos escritos en el disco duro serán cifrados por el sistema, de forma que si un PC es robado, sus contenidos no quedarán expuestos. El desafío Microsoft exhorta a los hackers participantes en la conferencia Black Hat que se realiza esta semana en Los Angeles, EEUU, a "hackear y exponer todas las vulnerabilidades de Vista". En la conferencia Black Hat se reunen los "hackers malignos", aunque también los "hackers bondadosos", calificados como "White Hat" estarán representados en el evento. Esta es la primera vez que Microsoft participa en la conferencia Black Hat, lo que puede ser interpretado como una señal de que Microsoft se siente confiada en la seguridad y alta protección de Windows Vista.

(Vía: DiarioTi)

... y adivinen que pasó??? Con la ayuda de un programa que denomina Blue Pill, la hacker polaca Joana Rutowska logró vulnerar los elementos de seguridad y protección de Windows Vista, solo un día después que Microsoft lanzara el desafío.

Rutowska concitó la atención general del público asistente a la gran sala de fiestas del Hotel Ceasars Palace en Las Vegas. La hacker demostró lo fácil que es eludir los sistemas de protección del próximo sistema operativo de Microsoft. La demostración fue realizada en el marco de la conferencia Black Hat, para hackers "malignos", que concluyó el fin de semana. Irónicamente, Microsoft disertaba en la sala contigua sobre la "óptima protección y seguridad de Windows Vista". El programa Blue Pill de Rutowska desactiva el mecanismo de seguridad que debería impedir la instalación y ejecución de conectores no autorizados en Windows Vista. Cabe destacar que el método sólo puede ser usado si el sistema está funcionando en modo de administrador. De igual modo, es necesario que esté funcionando con un procesador de AMD. Un representante de Microsoft comentó que las demás capas de seguridad de Vista, como el cortafuegos fuertemente mejorado, varios niveles de usuario y seguridad mejorada en el navegador Internet Explorer habrían evitado eventuales daños. "Microsoft está investigando soluciones que protejan a Windows Vista de ataques como el demostrado acá. Trabajamos además con nuestros partners del área del hardware para evitar ataques de virtualización como el que Blue Pill representa", comentó un portavoz de Microsoft, citado por San Jose Mercury News, después de la bochornosa situación.

Tono soberbio La demostración hecha por la hacker polaca podría ser un llamado de atención para Microsoft, que durante meses ha publicitado su sistema operativo recalcando el argumento de la seguridad mejorada. La propia Microsoft hizo un llamado a los participantes en la conferencia Black Hat, desafiándolos a hackear la última versión beta de Windows Vista. 

PRINCIPIOS BASICOS DE LAS SUBREDES

2006-08-15T00:05:00.000-04:00

He decidido escribir unas pocas líneas que ilustren el concepto de subredes y máscaras de red (más que nada porque me he encontrado muchísima gente que no conoce el principio de las notaciones de las máscaras de subred). Trataré de usar un lenguaje lo menos "técnico" posible

Estamos hablando de IPv4... que conste.

Todos sabemos, más o menos, que las redes sirven para que varios computadores puedan conectarse entre sí. En un mundo hipotético, todos los computadores podrían tener una IP distinta y pertenecer a la misma red.

Es decir, dos computadores, uno en Inglaterra y otro en Chile podrían tener dos IP (194.223.0.25) y (200.72.89.45).
Ambos computadores podrían verse en esa red sin ningún problema (de hecho en este caso, y sin firewalls por el medio, deberían poder verse).

Pero esto, aparte de no ser seguro, no tiene ningún sentido práctico. No me pondré a explicar el por qué las empresas necesitan rangos privados ni por qué se han definido unos estándares al respecto. En una subred, todos los equipos comparten tres características comunes:

La dirección de red.
La dirección de broadcast.
Parte de sus direcciones IP son idénticas.

Toda subred necesita una dirección de red (que ayude a definir dicha subred), una dirección de broadcast (para mensajes a toda la red) y un rango de direcciones IP que puedan asumir los equipos y dispositivos que pertenecen a dicha subred. Esos computadores y dispositivos podrán verse entre sí de forma directa (esto es, sin necesidad de gateways, ni routers ni proxies).

Las direcciones IP de red y broadcast NO SON direcciones válidas para asignar a compuadores ni dispositivos. Son necesarias para la existencia de la propia subred, por así decirlo.

La dirección de red es la primera del rango. La de broadcast la última. Todas las que quedan entre ambas son las que pueden asignarse a los equipos que formen parte de esa subred.

De acuerdo, tenemos un principio y un final, pero...

¿qué nos marca ese principio y ese final?

¡La máscara!

Uniendo la máscara a la dirección de red obtenemos el rango de IP que conforma esa subred.

Por la forma en que se forman las máscaras, las subredes sólo pueden estar formadas por rangos que sean potencia (positiva) de 2.

Sabiendo esto, y conociendo lo que hemos dicho anteriormente, sabemos que la subred viable más pequeña será de rango 4.

¿Por qué?

Porque una de rango 2 tendrá sus IP ocupadas por la dirección de red y la de broadcast (no quedaría ninguna IP válida para asignar a ningún equipo).

Por supuesto nos queda la subred de rango 1 (2 elevado a 0)... Eso NO es una subred, obviamente. Pero nos sirve para indicar que hablamos de UN ÚNICO equipo (tema importante en tablas de enrutado).

Dicho esto, veamos las notaciones de las subredes. Vamos a poner los ejemplos para redes de clase C y menores. Luego se podrán extrapolar a redes de cualquier tamaño.

Comencemos con las notaciones.

Primero veamos el estilo XXX.XXX.XXX.XXX para la máscara (el más conocido, ¿les suena 255.255.255.0? Una máscara que define una subred de clase C).

La máscara se debe ver en binario, para entenderla bien, teniendo en cuenta que los 1 son los bits que deben coincidir y los 0 son las posibles variaciones. Cada subred tiene una IP (la más alta) como direccion de broadcast y otra (la mas baja) como dirección de red.

Recordemos que un byte son 8 bits y que una dirección IP (en IPv4) está formada por 4 bytes.

En los siguientes ejemplos omitiré los primeros 3 bytes en binario. Puesto que vamos a practicar con ejemplos para clases C los primeros 3 bytes serán 11111111.11111111.11111111. (= 255.255.255)

Ejemplos:

- 255.255.255.240 = 16 posibilidades (14 IPs válidas) => 240 = 128+64+32+16 => 11110000 => 4 ceros => 2^4 posibilidades (=16)

Aqui vemos que, si disponemos de una clase C para repartir en subredes, con una máscara como la expuesta podemos construir 16 subredes de 16 IP cada una.

.Por ejemplo:

192.168.0.0 - 192.168.0.15 (Dir. Red = 192.168.0.0; Dir. Broadcast = 192.168.0.15; Rango válido: 192.168.0.1 - 192.168.0.14).

La siguiente empezaría donde acabó la primera.

192.168.0.16 - 192.168.0.31 (Dir. Red = 192.168.0.16; Dir. Broadcast = 192.168.0.31; Rango válido: 192.168.0.17 - 192.168.0.30).

Y así continuaríamos hasta completar las 16 subredes independientes que podemos hacer con nuestra clase C (que en este caso es 192.168.0.0/255.255.255.0).

Otro ejemplo:
- 255.255.255.192 = 64 posibilidades (62 IPs válidas) => 192 = 128+64 => 11000000 => 2^6 Esto nos permitiría, siempre con nuestra clase C, construir 4 subredes con 64 IP cada una.

Probamos a definirlas.
Y así seguiríamos...

Veámoslo:
0 = 256 posibilidades (254 IP) -> Clase C
128 = 128 posibilidades (126 IP)
192 = 64 posibilidades (62 IP)
224 = 32 posibilidades (30 IP)
240 = 16 posibilidades (14 IP)
248 = 8 posibilidades (6 IP)
252 = 4 posibilidades (2 IP)
254 = 2 posibilidades (ninguna IP ) <- Obviamente NO es válida... 255 = 1 Computador (no hay subred posible) Por otro lado, tenemos la otra notación /xx (CIDR) Esta se traduce como que usamos el número de bits detras de la / para indicar el número de bits a "1" de la máscara... Es decir: /24 = 24 bits a 1 => 3 bytes a 1 (255.255.255) => un byte a 0 => => 256 direcciones (254 IP válidas) -> Clase C

Obviamente si aumentamos un número a /24 (o sea, /25) significará que tenemos 25 bits a 1... sólo nos quedan 7 bits a 0...

o sea, es lo mismo que

255.255.255.128 (o 128 posibilidades, justo la mitad => 126 IP válidas)

Nuestra correlación sería:
/24 = 0 = 256 posibilidades (254 IP) -> Clase C
/25 = 128 = 128 posibilidades (126 IP)
/26 = 192 = 64 posibilidades (62 IP)
/27 = 224 = 32 posibilidades (30 IP)
/28 = 240 = 16 posibilidades (14 IP)
/29 = 248 = 8 posibilidades (6 IP)
/30 = 252 = 4 posibilidades (2 IP)
/31 = 254 = 2 posibilidades (ninguna IP ) <- Obviamente NO es válida... /32 = 255 (un host o computador y ninguna subred posible). Lo mismo es válido si tenemos en cuenta una subred de más de 256 equipos. Simplemente iremos construyendo la máscara en función del número de bits (y siempre como potencia de 2). /23 = 254.0 = 2^9 = 512 posibilidades (510 IP válidas) /22 = 252.0 = 1024 posibilidades /21 = 248.0 = 2048 posibilidades /20 = 240.0 = 4096 posibilidades ... ... /16 = 255.255.0.0 = 2^16 = 65.536 -> Clase B
...
...
/8 = 255.0.0.0 = 2^24 = 16.777.216 -> Clase A

Como ven, resulta ser de lo más simple.
Por cierto, un último apunte:

/0 = 0.0.0.0 = ¡Toda Internet!

Controversia acerca del fichero INDEX.DAT de Windows

2006-08-04T20:29:00.000-04:00

Recientemente se ha desatado una controversia acerca del fichero INDEX.DAT que utiliza Microsoft Internet Explorer. Este fichero ejerce funciones de base de datos, con información redundante sobre URL, búsquedas y ficheros abiertos recientemenete. Su función podría asemejarse al índice de una tabla. Otra función es la de almacenar información sobre cada página web visitada y los campos rellenados en caso de que la función "Autocompletar" esté activada. Existen distintos ficheros INDEX.DAT para el historial de Internet Explorer, la cache de ficheros y las cookies.

La controversia ha surgido al denunciarse, en varios foros sobre intimidad en Internet, que este fichero puede suponer una invasión en el usuario. Su principal queja es la imposibilidad de borrarlo, al estar bloqueado mientras Windows está funcionando. Además, aunque se borren los historiales de sitios visitados, los ficheros temporales y las cookies, el fichero INDEX.DAT retiene la información.

Este fichero, sin embargo, puede ser eliminado, simplemente arrancando Windows en modo seguro. En la versión 7 de Internet Explorer, el problema ya ha sido resuelto.

Continuaremos usando NTFS, (WINFS fallece antes de nacer)

2006-08-03T19:45:00.000-04:00

Una entrada en el weblog del director del programa para la creación del WinFS, el próximo sistema de ficheros para Windows que debería substituir al NTFS, anuncia que este no será proporcionado como producto separado, y que los resultados de su desarrollo se incorporarán en el SQL Server y ADO.NET.

WinFS (acrónimo de Windows Future Storage) es un sistema de ficheros basado en bases de datos relacionales y metadatos que Microsoft ha ido desarrollando desde 2003 hasta este año. Se basaba en la idea que el sistema operativo debe "conocer" más información sobre el contenido de los ficheros y su formato de manera que, por ejemplo, a la hora de realizar una búsqueda en nuestra computadora, esta pudiera ser mucho más concreta y con más opciones. El trabajo con diferentes aplicaciones se simplificaría, pues el entender los distintos formatos de otros programas se trabajaría más a nivel de sistema operativo, y por lo tanto con unos "drivers universales" para cada formato de archivo determinado, pudiendo ser dicho driver universal utilizado por cualquiera de las aplicaciones instaladas para entender el contenido de un archivo.

La historia de WinFS es tortuosa y, curiosamente, evoluciona de otros proyectos que también fueron siendo cancelados, y que arrancaron a principios de los 90 con el objetivo de crear un sistema de ficheros para substituir al NTFS.

WinFS debía ser parte del futuro Windows Vista, pero finalmente se decidió no incluirlo junto a otros recortes de funcionalidades para tener el producto acabado a tiempo, originando con ello una fuerte polémica sobre si Windows Vista llegaría a salir al mercado en las fechas previstas o incluso si saldría alguna vez.

El pasado día 23, Quentin Clark -director del programa WinFS- anunció en su weblog que el futuro sistema de ficheros no aparecería como producto separado, y que las tecnologías desarrolladas hasta el momento se incorporarían en otros productos como el gestor de bases de datos SQL Server o la arquitectura de acceso a datos ADO.NET.

No obstante, es posible que Microsoft mantenga un equipo de trabajo en el proyecto WinFS, al menos por el momento, para evolucionarlo y continuar sacando soluciones para otros productos, e incluso en el futuro reactivar a través de este algún otro programa para la creación de un nuevo sistema de ficheros.

¿PARA QUE SIRVE EL PROTOCOLO SNMP?

2006-07-30T09:30:00.000-04:00

Vamos a darle un vistazo al protocolo SNMP. Y para eso deberíamos irnos hasta allá por los 80. Por aquel entonces Internet era todavía joven y todavía sin tanto comercio. La seguridad era algo de lo que se preocupaban otros, ya que para la mayor parte de la gente el problema era mantener el asunto "up and running" y a todas esas cajas conectadas contentas. Por lo general, para cada administrador de sistemas esto significaba manejar docenas de "routers", "switches" y ordenadores, muchos de los cuales estaban demasiado lejos como para llegar al teclado, o ni siquiera tenían teclado. Hacer un Telnet era una buena solución, pero no todas esas cajas tenían la bastante inteligencia como para proporcionar una "shell".

Y sin embargo era importante gestionar esas redes, es decir, ocuparse de temas como:

La monitorización de las alarmas de los equipos y sus averías.

La configuración y cambios en los equipos.

La utilización de la red por parte de los equipos (usuarios), así como obtener estadísticas.

El rendimiento de la red

Y por supuesto algo de seguridad. Al menos, proteger la red, los elementos y la gestión de los equipos de accesos no deseados, y la obtención de datos privados.

¿Y todo esto para qué?. Pues entre otras cosas para reducir la indisponibilidad de la red , reducir los costes de operación, obtener un rendimiento óptimo de la red y aprovechar los recursos al máximo; basado en una cuestión económica.

La arquitectura de gestión de una red se compone (en general) de al menos una estación gestora o NMS (Network Management System), los nodos gestionados (cómo no) o equipos de la red, donde existe un proceso, programa o agente que se encarga de comunicar el equipo con la estación gestora. Y de un protocolo de gestión, encargado de transportar la información del equipo a través del agente hasta la estación gestora. Por ejemplo SNMP, CMIP o TL1, por citar tres protocolos distintos; el primero de ellos basado en TCP/IP, el segundo en el modelo OSI y el tercero en un lenguaje propietario basado en ASCII.

Es decir, el Simple Network Management Protocol (frente a lo que opina mucha gente, ese "Simple" de su nombre no se refiere al protocolo, sino a la gestión de redes, es decir que SNMP intenta hacer sencilla la gestión de redes) es un protocolo estándar de administración de redes utilizado sobre todo en TCP/IP (aunque no únicamente)

SNMP fue desarrollado por el IETF (Internet Engineering Task Force). El protocolo SNMP está cubierto por un gran número de RFCs (Request For Comments); entre ellos el RFC 1157, 1215 (versión 1), del 1441 al 1452 (versión 2), del 2271 al 2275 y del 2570 al 2575 (para SNMP v3). El listado completo está disponible en http://wwwsnmp.cs.utwente.nl/General/mngt-rfc.html.

En Agosto de 1988, la especificación de SNMP aparece y rápidamente es adoptada por el creciente mundo de las redes. SNMP tenía que ser lo bastante simple para que lo pudiera implementar hasta la caja más estúpida (sí, hasta una tostadora), y lo bastante potente como para permitir la gestión remota de los equipos. Los complejos sistemas de gestión (como HP Openview) se podían desarrollar utilizando sólo SNMP como sistema de comunicación. El propósito inicial del SNMP era integrar la gestión de diferentes tipos de redes en un diseño simple que sobrecargara poco la gestión de red.

Soportar SNMP era una necesidad para cualquier cajita que se pudiera conectarse Internet (y por supuesto Microsoft, siempre atento a las demandas del mercado, hizo que desde Windows 95, sus productos fueran capaces de "hablar" el protocolo SNMP).

Entonces, ¿qué se puede hacer con SNMP? Con SNMP se puede monitorizar el estado de un enlace punto a punto para detectar cuándo está congestionado y tomar así las medidas oportunas; se puede hacer que una impresora alerte al administrador cuando se ha quedado sin papel, o que un servidor envíe una alerta cuando la carga de su sistema se incrementa significativamente. SNMP también permite la modificación remota de la configuración de dispositivos, de forma que se podría modificar las direcciones IP de un ordenador a través de su agente SNMP, u obligar a la ejecución de comandos (si el agente ofrece las funcionalidades necesarias). Se puede gestionar ORACLE, o dar de alta un abonado en una central telefónica.

Es decir, y en general, SNMP sirve para:

Configurar dispositivos remotos. La información de configuración puede enviarse a cada host conectado a la red desde el sistema de administración.

Supervisar el rendimiento de la red. Puede hacer un seguimiento de la velocidad de procesamiento y el rendimiento de la red, y recopilar información acerca de las transmisiones de datos.

Detectar errores en la red o accesos inadecuados. Puede configurar las alarmas que se desencadenarán en los dispositivos de red cuando se produzcan ciertos sucesos. Cuando se dispara una alarma, el dispositivo envía un mensaje de suceso al sistema de administración.

Auditar el uso de la red. Puede supervisar el uso general de la red para identificar el acceso de un grupo o usuario (por ejemplo cuando entra "root"), y los tipos de uso de servicios y dispositivos de la red. Puede utilizar esta información para generar una facturación directa de las cuentas o para justificar los costes actuales de la red y los gastos planeados.

Herramienta Windows de gestión de redes con SNMP:
http://www.ipswitch.com/Products/WhatsUp/

Herramienta Linux de gestión de redes con SNMP:
http://www.opennms.org/index.php/Main_Page

GLOSARIO DE TERMINOS DE SEGURIDAD INFORMATICA

2006-07-30T09:05:00.000-04:00

Para quienes no estén familiarizados con la jerga utilizada en la seguridad informática, puede resultar frustrante leer determinados documentos. La complejidad en los términos puede acabar con la paciencia de cualquiera, y más si el que analiza el texto es un principiante o está comenzando con esto de la seguridad informática.

De ahí que cualquier pequeño diccionario o glosario de términos relacionados con la seguridad informática se ha de agradecer. Es por eso que, rebuscando por la Red, he encontrado un interesante glosario que sacará de más de un apuro o que servirá como guía a aquellos que se están acercando a esta rama de la informática.

Agente: En detección de intrusiones, una entidad independiente que realiza labores de monitorización y análisis de bajo nivel y envía sus resultados a un coordinador o un transmisor-receptor. También conocido como sensor. Véase también ("sensor").
Almacén, ante-memoria, depósito: Mecanismo especial de almacenamiento de alta velocidad. Puede ser una zona reservada de la memoria principal, o un dispositivo independiente de almacenamiento de alta velocidad.
Amenaza: Situación o evento con que puede provocar daños en un sistema.
Amplitud de banda, ancho de banda: 1. Diferencia en hertzios (Hz) entre la frecuencia más alta y la más baja de un canal de transmisión. 2. Datos que puede ser enviados en un periodo de tiempo determinado a través de un circuito de comunicación. Se mide en bits por segundo (bps).
Análisis basado en intervalo: Análisis desarrollado de forma discontinua. Se aplica en casos de recopilación no continua de datos, y en casos de recopilación continua pero análisis discontinuo. También se denomina análisis en modo por lotes, o estático.
Análisis con acreditaciones: En análisis de vulnerabilidades, enfoque de monitorización pasiva en los que son necesarias contraseñas u otro tipo de credenciales. Normalmente implica el acceso a los datos de un objeto de sistema.
Análisis de vulnerabilidades: Análisis del estado de la seguridad de un sistema o sus componentes mediante el envío de pruebas y recogida de resultados en intervalos.
Análisis dinámico, o en tiempo real: Análisis desarrollado en tiempo real, o de forma continua.
Análisis en modo por lotes: Véase "análisis basado en intervalo".
Análisis en tiempo real: Análisis realizado de forma continua, con resultados obtenidos en un tiempo en que permita alterar el estado actual sistema.
Análisis estático: Análisis de información desarrollado de forma discontinua. También conocido como análisis basado en intervalo o en modo por lotes.
Análisis sin acreditaciones: En análisis de vulnerabilidades, enfoque de monitorización pasiva en los que las contraseñas u otro tipo de credenciales no son necesarias. Normalmente implica el lanzamiento de ataques contra el sistema, provocando algún tipo de reacción.
Anomalía: No usual o estadísticamente raro.
Anonimato, anonimia: Carácter o condición de anónimo (desconocimiento del nombre o identidad).
Aplicación engañosa: Aplicación cuya apariencia y comportamiento emulan a una aplicación real. Normalmente se utiliza para monitorizar acciones realizadas por atacantes o intrusos.
Ardid, artificio: Implementación de un fallo de seguridad, utilizado bien para comprobar y demostrar la existencia del fallo, o bien para comprometer el sistema de forma ilícita.
Ataque por interceptación: Estrategia de ataque en la que el atacante intercepta una comunicación entre dos partes, substituyendo el tráfico entre ambas a voluntad y controlando la comunicación.
Auditoría: Proceso de examinar y revisar un informe cronológico de los eventos de sistema para determinar su significado y valor.
Auditoría mediante proceso electrónico de datos: Evolución de los tradicionales procesos y prácticas de auditoría, utilizando sistemas de proceso de datos.
Autenticación, autentificación: Proceso de confirmar la identidad de una entidad de sistema (un usuario, un proceso, etc.).
Auto contenido: Historiales de eventos de sistema que no necesitan de otros historiales para su interpretación.
Autorización: Acción de otorgar el acceso a usuarios, objetos o procesos.
Basado en aplicación: Se utiliza para describir monitores que recogen datos a partir de aplicaciones. Las fuentes de datos pueden ser registros de eventos u otro tipo de información perteneciente a aplicaciones.
Basado en máquina: Que monitoriza información de fuentes internas a una máquina.
Basado en multi-máquina: Que monitoriza información de fuentes internas a múltiples máquinas. Véase también ("basado en máquina").
Basado en objetivo: Que monitoriza información de determinados objetos, generalmente utilizando métodos de cifrado como funciones resumen para permitir la detección de cambios.
Basado en red: Que monitoriza información de fuentes de red, generalmente captura de paquetes.
Basado en reglas: En detección de intrusiones, que utiliza patrones de actividad (generalmente ataques conocidos) para reconocer una intrusión.
Basado en testigo: Sistemas que emplean elementos especiales como tarjetas inteligentes, llaves, o discos para la autenticación de usuario.
Base de reglas: Conjunto de reglas utilizadas para analizar los registros de datos.
Bit: Abreviación de "binary digit". Unidad elemental de información en un sistema informático. Tiene un único valor en formato binario: "0" ó "1". Véase también "byte".
Bloque de mensajes de servidor (SMB): También conocido como "Session Message Block", NetBIOS y LanManager. Es un protocolo utilizado por sistemas Windows para compartir ficheros, impresoras, puertos serie y otras entidades de comunicación entre ordenadores.
Búfer, memoria tampón, memoria intermedia: Área de memoria de un sistema reservada para almacenar información de forma temporal. Generalmente se utiliza para compensar las diferencias de velocidad surgidas entre varias señales o procesos.
Byte, octeto: Unidad de información compuesta por ocho bits. Modificando los diferentes bits de un byte se pueden obtener hasta 256 combinaciones diferentes.
Caballo de Troya, troyano: Programa informático de aspecto inofensivo que oculta en su interior un código que permite abrir una "puerta trasera" en el sistema en que se ejecuta. Véase también ("puerta trasera").
Cable de rastreo, cable de sólo recepción: Cable de red modificado para imposibilitar el envío de datos, permitiendo exclusivamente su recepción.
Capa de Conexión Segura (SSL): Protocolo creado por Netscape para permitir la transmisión cifrada y segura de información a través de la red.
Capacidad de ser registrado: Habilidad de relacionar una determinada actividad o evento con la parte responsable.
Célula de aislamiento, célula acolchada: Sistema o red consistente en una copia parcial de un sistema real, al que un dispositivo con capacidades de enrutamiento y detección de intrusiones redirige el tráfico hostil.
Cifrado: Proceso mediante el cual se toma un mensaje en claro, se le aplica una función matemática, y se obtiene un mensaje codificado.
Cobertura, alcance: Proporción de ataques conocidos que un detector de intrusiones es capaz de detectar.
Código abierto: Software que cumple los criterios descritos por la iniciativa "Open Source". Este término no implica el acceso al código fuente. Véase también ("software libre").
Composición: 1. En detección de intrusiones, proceso de combinar información procedente de distintas fuentes en un flujo de datos coherente. 2. En seguridad informática, combinar un conjunto de componentes en un sistema para obtener los atributos de seguridad del sistema, según las propiedades de los componentes.
Comprobador de integridad: Herramienta de seguridad que utiliza funciones resumen basadas en algoritmos de cifrado para detectar alteraciones en objetos de sistema.
Comprometido, violentado: Estado de un equipo/sistema cuando un intruso ha entrado.
Concentrador: Dispositivo que permite la interconexión de las estaciones de trabajo entre sí. No realiza funciones de encaminamiento; lo que recibe por un puerto lo reenvía a través del resto. Véase también ("repetidor").
Condición de carrera: Comportamiento anómalo provocado por una dependencia excesiva del tiempo relativo transcurrido entre diferentes eventos.
Confianza: Esperanza firme de que un sistema se comporte como corresponde.
Confidencialidad: Requisito de seguridad que indica que el acceso a los recursos de sistema debe estar limitado exclusivamente a los usuarios con acceso autorizado.
Conmutador: Elemento utilizado para interconectar máquinas a una red. Tiene funciones de encaminamiento básico de tráfico de red, y permite subdividir las redes en segmentos, de forma similar a un puente. Véase también ("puente").
Control de acceso: Limitar el acceso a objetos de acuerdo a los permisos de acceso del sujeto. El control de acceso puede ser definido por el sistema (Control de accesos obligatorio, MAC) o por el propietario del objeto (Control de accesos discrecional, DAC).
Control de acceso discrecional (DAC): Política de acceso a los datos en la que el propietario del objeto, de forma voluntaria (discrecional), concede o deniega el acceso a éste a otros sujetos. Véase también ("Control de accesos obligatorio").
Control de accesos obligatorio (MAC): Política de acceso a los datos en la que el sistema comparte de forma obligatoria tanto los objetos como los sujetos. A partir de dicha forma de compartir los elementos, se establecen unas reglas de acceso. Véase también ("Control de acceso discrecional").
Correlación: En detección de intrusiones, relación que se establece entre diferentes fuentes de información.
Cortafuegos: Herramienta de seguridad que proporciona un límite entre redes de distinta confianza o nivel de seguridad mediante el uso de políticas de control de acceso de nivel de red.
Criterio de Evaluación de Sistemas Informáticos Fiables (TCSEC): Conocido comúnmente como Libro Naranja, describe las propiedades que deben cumplir los sistemas para contener información sensible o clasificada. Este criterio fue desarrollado por el Centro de Seguridad Informática Nacional (NCSC).
Datagrama: Mensaje que se envía en una red de comunicaciones de ordenadores por intercambio de paquetes.
Denegación de servicio (DoS): Estrategia de ataque que consiste en saturar de información a la víctima con información inútil para detener los servicios que ofrece. Véase también ("Denegación de servicio distribuida").
Denegación de servicio distribuida (DDoS): Estrategia de ataque que coordina la acción de múltiples sistemas para saturar a la víctima con información inútil para detener los servicios que ofrece. Los sistemas utilizados para el ataque suelen haber sido previamente comprometidos, pasando a ser controlados por el atacante mediante un cliente DDoS. Véase también ("Denegación de servicio").
Desbordamiento de búfer, desbordamiento de la pila: Técnica que consiste en almacenar más datos en un búfer de los que puede contener. Los datos que no caben pueden invadir zonas adyacentes a la del búfer, corrompiéndolas o sobrescribiéndolas. Este método es ampliamente utilizado para realizar ataques que abren interfaces de comando remotas.
Desbordamiento de la pila: Caso especial del desbordamiento de búfer, en el que el objetivo es la pila del sistema. Véase también ("pila", "desbordamiento de búfer").
Deslizamiento sigiloso de sesión: Técnica utilizada por un usuario que consiste en modificar gradualmente su comportamiento para entrenar al detector de anomalías. De esta forma, se consigue que el detector diagnostique como actividad normal un posible ataque.
Detección de anomalías: Detección basada en la actividad de sistema que coincide con la definida como anormal.
Detección de intrusiones: Proceso de monitorizar los eventos de un sistema o red en busca de signos que indiquen problemas de seguridad.
Detección de usos indebidos: Detección basada en la actividad de sistema que coincide con la definida como mala.
Detector de Intrusiones de Nodo de Red: Detector de intrusiones basado en red que se instala en una máquina. Esta medida ayuda a solventar problemas como los asociados a entornos conmutados, o cifrado en las comunicaciones.
Determinista: Propiedad de los procesos que permite recorrer un proceso hacia delante o hacia atrás, desde cualquier punto del proceso.
Disponibilidad: Requisito de seguridad que implica que la información y los servicios del sistema continúen en funcionamiento y que los usuarios autorizados puedan acceder a los recursos cuando lo necesiten, dónde lo necesiten, y en la forma en que lo necesiten.
Dispositivo de escucha de red: Dispositivo, de aspecto externo similar a un concentrador o un conmutador, que permite a un rastreador interceptar el tráfico de red entre dos segmentos sin ser detectado. Además, apenas afecta al rendimiento de la red.
Encaminador, enrutador: Dispositivo que reenvía paquetes de datos entre redes. Permite conectar al menos dos redes. Los puntos de conexión con el "encaminador" son las puertas de enlace de cada red.
Enmascarado: Atacante que accede a un sistema utilizando identificadores de usuario y contraseñas de usuarios legítimos.
Entorno conmutado: Entorno de red en el que predomina el uso de conmutadores.
Envoltura, forro, empacador: Software que complementa las características de otro software para mejorar determinados aspectos como compatibilidad, o seguridad.
Error de Tipo I: En detección de intrusiones, error producido cuando el sistema diagnostica como ataque una actividad normal. También conocido como falso positivo. Véase también ("falso positivo").
Error de Tipo II: En detección de intrusiones, error producido cuando el sistema diagnostica como actividad normal un ataque. También conocido como falso negativo. Véase también ("falso negativo").
Escalabilidad: Forma en que la solución a un determinado problema se comporta cuando el tamaño del problema crece.
Escaneo sigiloso de puertos: Barrido de puertos mediante diversas técnicas con el fin de evadir los métodos de detección comunes. Algunas de estas técnicas implican un escaneo intencionadamente lento, o el envío de paquetes especiales aprovechando particularidades del protocolo. Véase también ("escaneo de puertos").
Escáner o analizador de vulnerabilidades: Herramienta diseñada para llevar a cabo análisis de vulnerabilidades.
Esteganografía: Arte de transmitir información de modo que la presencia de la misma pase inadvertida. Se suele hacer camuflando los datos en el interior un texto, imagen, o fichero multimedia. Proviene de las palabras griegas steganós (cubierto) y graptos (escrito).
Ethernet: Sistema de red de área local de alta velocidad.
Falseamiento, enmascaramiento: Modificación de la identidad de origen real durante una comunicación. El método más común consiste en alterar directamente la dirección origen de cada paquete de la comunicación.
Falso negativo: En detección de intrusiones, error producido cuando el sistema diagnostica como ataque una actividad normal. También conocido como error de tipo I.
Falso positivo: En detección de intrusiones, error producido cuando el sistema diagnostica como actividad normal un ataque. También conocido como error de tipo II.
Filtro de anomalías de protocolo: Tipo de filtro de anomalías estadísticas al que se le han añadido conocimientos sobre un protocolo determinado, para poder detectar usos poco comunes del mismo. Véase también ("filtro de anomalías estadísticas").
Filtro de anomalías estadísticas: Filtro que permite la detección de actividades y comportamientos poco usuales o comunes.
Filtro de paquetes Berkeley (BPF): Una arquitectura diseñada para la captura de paquetes, desarrollada en el "Lawrence Berkeley National Laboratory".
Firma, patrón: En detección de intrusiones, patrones que indican los usos indebidos de un sistema.
Formato de registro binario: Formato de registro utilizado por herramientas basadas en las librerías "libpcap", como por ejemplo "tcpdump". Se aplica para registrar el tráfico de red. Algunas de las ventajas del formato binario sobre el formato ASCII son que ocupa menos, y la información que contiene puede ser accedida en menor tiempo.
Función resumen: Función de cifrado que permite detectar cambios en objetos.
Generación de Patrones Probables: Técnica que permite, mediante métodos estadísticos, predecir eventos futuros basándose en los que ha ya han tenido lugar. En determinadas circunstancias, si no se cumplen los eventos esperados, hay posibilidades de que se trate de un ataque.
Gestión de redes: Controlar diversos aspectos de una red para optimizar su eficiencia. Las cinco categorías de gestión de red son: seguridad, fallo, auditoría, configuración y gestión de rendimiento.
Gestión de rendimiento: En gestión de redes, medición de los diferentes elementos de la red. Los resultados de estas mediciones se utilizan para optimizar su funcionamiento.
Gestión de seguridad: 1. Proceso de establecer y mantener la seguridad en un sistema o red de sistemas informáticos. Las etapas de este proceso incluyen la prevención de problemas de seguridad, detección de intrusiones, investigación de intrusiones, y resolución. 2. En gestión de redes, controlar (permitir, limitar, restringir, o denegar) acceso a la red y recursos, buscar intrusiones, identificar puntos de entrada de intrusiones, y reparar o cerrar estas posibles vías de acceso.
Gestor de registro de actividades: Componente de sistema encargado de las labores de registro de actividad.
Grupo de Trabajo de Ingeniería de Internet (IETF): Una de las principales organizaciones encargadas de la formulación de estándares en Internet.
Gusano: Programa informático que se auto-duplica y auto-propaga. A diferencia que los virus, suelen estar diseñados para redes.
Horizonte de evento: Límite de tiempo aplicable a una característica de sistema determinada, como por ejemplo la diferencia de tiempo entre dos entradas a un sistema.
Identificación de Sistema Operativo: Conjunto de técnicas utilizadas para determinar la identidad del sistema operativo de un sistema remoto. Generalmente se logra mediante el envío de determinados datos de red y el posterior análisis de las respuestas recibidas.
Identificación y autenticación (I&A): Mecanismo de seguridad que asigna una identidad única a cada usuario (identificación) y la comprueba (autenticación).
Inodo, nodo i: Estructura de datos que contiene información sobre cada archivo en sistemas UNIX. Cada archivo tiene un nodo-i asociado.
Integración: En ingeniería de sistemas, combinación de componentes en una entidad coherente.
Integridad: Requisito de seguridad que indica que la información deberá ser protegida ante alteraciones no autorizadas.
Inteligencia artificial (AI): Ciencia que busca la comprensión de entidades inteligentes.
Interconexión de Sistemas Abiertos (OSI): Estructura de protocolos en siete niveles propuesta por ISO (International Standardisation Organisation) e ITU-T (International Telecommunication Union Telecommunication Standardization Sector).
Interfaz Común de Acceso (CGI): Especificación para la transmisión datos entre programas residentes en servidores Web y navegadores.
Interfaz de comandos polimórfica: Interfaz de comandos cuyo código cambia con cada ejecución. Esto se hace para evadir los detectores de intrusión basados en reglas. En la mayoría de los casos se utilizan durante ataques de desbordamiento de búfer.
Interfaz de comandos segura (SSH): También conocida como "Secure Socket Shell", es una interfaz de comandos basada en UNIX y un protocolo para acceder de forma segura a una máquina remota. Es ampliamente utilizada por administradores de red para realizar tareas de gestión y control. SSH es un conjunto de tres utilidades: slogin, ssh y scp; versiones seguras de las anteriores utilidades de UNIX: rlogin, rsh y rcp.
Interfaz de programación de aplicaciones (API): Conjunto de rutinas, protocolos, y herramientas para la construcción de aplicaciones software.
Interoperabilidad: Capacidad de un sistema para trabajar con otros sin que sean necesarios grandes esfuerzos por parte del usuario.
Intrusión: Violación intencionada de las políticas de seguridad de un sistema.
Intrusos desde el exterior: Usuarios no autorizados de un sistema.
Libpcap: Interfaz independiente del sistema, para la captura de paquetes de nivel de usuario, escrito en el "Lawrence Berkeley National Laboratory".
Libro Marrón ("Guía para la Comprensión de la Auditoría en Sistemas de Confianza"): Uno de los volúmenes de la Serie Arco Iris que explica los criterios del sistema de auditoría de Sistemas de Confianza, mencionando aspectos relevantes para los sistemas de detección de intrusiones.
Lista de Control de Acceso (ACL): Conjunto de datos que indican al sistema operativo qué permisos tiene un usuario o grupo sobre un determinado objeto de sistema. Cada objeto tiene atributos de seguridad únicos que indican qué usuarios pueden accederlo, y la Lista de Control de Acceso contiene una descripción de los privilegios de acceso de cada objeto y usuario.
Lógica difusa: Forma de razonamiento que incorpora criterios múltiples para tomar decisiones y valores múltiples para evaluar posibilidades. Permite formalizar operaciones del razonamiento impreciso sobre conceptos imprecisos, comunes en el razonamiento humano.
Lote: En informática, programa asignado a un sistema para ser ejecutado de forma desatendida. Los trabajos por lotes suelen ejecutarse en un plano secundario, mientras que los interactivos se ejecutan en primer plano.
Malla mundial, telaraña mundial: Sistema de información distribuido, basado en hipertexto. La información puede ser de diferente naturaleza, como por ejemplo texto, gráfico, audio, o vídeo. Véase también ("web").
Malla, telaraña: Servidor de información WWW. Se utiliza también para definir el universo WWW en su totalidad. Véase también ("WWW").
Marco de Detección de Intrusiones Común (CIDF): Grupo de trabajo encargado de crear interfaces que permitan a los desarrolladores de detección de intrusiones compartir sus conocimientos y poder reutilizar los resultados en otros sistemas. Fue fundado por Teresa Lunt.
Minería de datos: Arte y ciencia de descubrir y explotar relaciones nuevas, útiles, y provechosas en grandes cantidades de información.
Modo en línea: Método de interceptación del tráfico de red que consiste en hacer pasar todo el tráfico a través de un monitor o rastreador, generalmente configurado como puente para minimizar el impacto sobre el rendimiento de la red y dificultar su detección.
Modo promiscuo: Respecto a una interfaz de red, el modo de operación que genera una interrupción por cada actividad de red detectada. Esto permite a la interfaz recoger todo el tráfico de red de su segmento y entregárselo al detector de intrusiones.
Módulo de Seguridad Básico (BSM): Paquete de seguridad de Sun Microsystem proporcionado por los sistemas operativos de Sun para cumplir con los requisitos del documento TCSEC (la clase C2).
Monitor, monitorizar: Cualquier mecanismo o método utilizado por un sistema de detección de intrusiones para obtener información.
Monitorización intrusa: En análisis de vulnerabilidades, obtener información mediante la realización de comprobaciones que afectan al estado del sistema, llegando en algunos casos a provocar su caída.
Monitorización no intrusa: En análisis de vulnerabilidades, obtener información mediante la ejecución de una lista de comprobaciones de los atributos del sistema.
No paramétrico: Técnicas estadísticas que no hacen suposiciones sobre la distribución subyacente de los datos.
Paquete: Estructura de datos con una cabecera que puede estar o no lógicamente completa. Más a menudo, se refiere a un empaquetamiento físico de datos que lógico. Se utiliza para enviar datos a través de una red conmutada de paquetes.
Parche: En seguridad informática, código que corrige un fallo (agujero) de seguridad.
Petri Net Coloreada (CP-net): Lenguaje orientado a objetos para el diseño, especificación y verificación de sistemas. Está especialmente indicado en sistemas compuestos por gran variedad de procesos que necesitan estar comunicados y sincronizados.
Pila: Área de datos o búfer utilizada para almacenar peticiones que deben ser atendidas. Tiene una estructura FILO (primero en entrar, último en salir) o LIFO (último en entrar, primero en salir).
Pila de protocolos: Conjunto de protocolos que se implementan en un determinado sistema.
Política de monitorización: Conjunto de reglas que definen la forma en que se debe capturar e interpretar la información.
Política de seguridad: 1. Conjunto de estatutos que describen la filosofía de una organización respecto a la protección de su información y sistemas informáticos. 2. Conjunto de reglas que ponen en práctica los requisitos de seguridad del sistema.
Privacidad: Estar libre de accesos no autorizados.
Privilegio: Nivel de confianza perteneciente a un objeto de sistema.
Probar mediante explotación: Método de comprobación de seguridad que consiste en lanzar ataques conocidos contra el objetivo y estudiar los resultados. Véase también ("análisis de vulnerabilidades").
Procesamiento por lotes, procesamiento en lotes: Procesamiento realizado en intervalos de tiempo, de forma discontinua.
Procesos de confianza: Procesos que sirven para cumplir un objetivo de seguridad.
Protocolo de Control de Transmisión / Protocolo Internet (TCP/IP): Conjunto de protocolos básico sobre los que se fundamenta Internet. Se sitúan en torno al nivel tres y cuatro del modelo OSI.
Protocolo de Tiempo de Red (NTP): Protocolo situado sobre TCP/IP diseñado para permitir la sincronización de los relojes de las máquinas conectadas a través de una red.
Protocolo de Transferencia de Ficheros (FTP): Protocolo que permite a un usuario de un sistema acceder a otro sistema de una red, e intercambiar información con el mismo.
Protocolo de Transferencia de Hipertexto (HTTP): Protocolo usado para la transferencia de documentos WWW. Véase también ("WWW").
Protocolo Internet versión 6: Revisión del Protocolo Internet que viene a sustituir a la tradicional versión 4. Cuenta con nuevas características, como mejoras en las direcciones, simplificación de la cabecera, nuevo soporte de extensiones y opciones, etiquetado de tráfico, y capacidades de autenticación y privacidad.
Protocolo Simple de Transferencia de Correo: Protocolo de comunicaciones para la transmisión de correo electrónico entre ordenadores.
Puente: Dispositivo que permite la interconexión de dos redes con igual o distintos interfaces o pila de protocolos. Realiza funciones de encaminamiento de paquetes a nivel de enlace. Un puente multi-puerto es prácticamente un conmutador. Véase también ("conmutador")
Puerta trasera: Mecanismo que permite a un atacante entrar y controlar un sistema de forma oculta. Suelen instalarse justo después de comprometer un sistema. Véase también ("vulnerabilidad").
Puerto de extensión, puerto abarcador: Puerto especial con el que cuentan algunos conmutadores avanzados. Está programado para poder recibir una copia del tráfico destinado a uno o varios puertos del conmutador.
Rastreador: Dispositivo capaz de capturar todos los paquetes de datos que viajan por el segmento de red al que está conectado. Cuenta con una interfaz de red en modo promiscuo.
Rechazo, esquivamiento: Respuesta ante un ataque en la que el sistema termina y rechaza las subsiguientes conexiones con dirección del atacante. Véase también ("respuesta activa").
Red Privada Virtual (VPN): Red generalmente construida sobre infraestructura pública, que utiliza métodos de cifrado y otros mecanismos de seguridad para proteger el acceso y la privacidad de sus comunicaciones.
Red trampa, red de miel: Es un tipo de sistema trampa. Es una red de sistemas reales diseñada para ser comprometida.
Reducción de auditoría: Método utilizado para eliminar información redundante o no necesaria de los registros de auditoría.
Registro de aplicación: En sistemas Windows, es uno de los tres tipos de registros de eventos. Este registro contiene los eventos generados por las aplicaciones.
Registro de eventos: Mecanismo de auditoría utilizado por sistemas Windows.
Registro de seguridad: En sistemas Windows, es uno de los tres tipos de registros de eventos. Este registro contiene los eventos considerados como relevantes en materia de seguridad.
Registro de sistema: 1. En sistemas Windows, es uno de los tres tipos de registros de eventos. Este registro contiene los eventos generados por los componentes de sistema. 2. en sistemas UNIX, ficheros de eventos de sistema y aplicaciones, que suelen consistir en ficheros de texto consistentes en una línea por cada evento.
Registros de auditoría de sistema operativo: Historiales de eventos de sistema generados por el mecanismo especializado de un sistema operativo.
Repetidor: Dispositivo que regenera la señal que pasa a través de la red, permitiendo extender la distancia de transmisión de dicha señal. Un repetidor multi-puerto se conoce como un concentrador. Véase también ("concentrador").
Respuesta activa: Respuesta en la que el sistema (automáticamente, o junto con el usuario) modifica el curso del ataque. Hay tres formas básicas de respuestas activas: ejecutar acciones contra el intruso, corregir el entorno, y recopilar más información.
Respuesta pasiva: Respuesta en la que el sistema simplemente registra e informa de la intrusión o ataque, delegando en el usuario las acciones subsecuentes.
Rompedor de contraseñas: Herramienta de seguridad diseñada para descubrir las contraseñas de los usuarios. En la mayoría de los casos se utilizan diferentes aproximaciones para obtenerlas.
Salto de red: Estrategia de ataque en la que el atacante intenta ocultar su identidad realizando sus actividades desde otros sistemas comprometidos.
Segmento: Unidad lógica de datos, en particular un segmento de TCP es la unidad de datos transferida entre dos módulos de TCP.
Seguridad: 1. Según un enfoque práctico, la seguridad implica que un sistema se comporte de la manera esperada. Esta definición depende de los niveles de confianza 2. Según un enfoque formal, consiste en el cumplimiento de la "tríada de conceptos": confidencialidad, integridad y disponibilidad.
Seguridad de Protocolo Internet (IPSec): Conjunto de protocolos desarrollados por IETF para soportar el intercambio seguro de paquetes en el nivel IP. IPsec se utiliza ampliamente para implementar Redes Virtuales Privadas (VPNs).
Sensor: En detección de intrusiones, una entidad que realiza labores de monitorización y obtención de datos de las fuentes de información. También conocido como agente. En muchos IDS, el sensor y el analizador forman parte del mismo componente. Véase también ("agente").
Serie Arco Iris: Conjunto de documento que definen la Iniciativa de Sistemas Confiables, un programa del gobierno de EE.UU. para resolver problemas relacionados con la seguridad informática. Los nombres de los documentos se corresponden con los colores de sus cubiertas. Véase también ("Libro Naranja" y "Libro Marrón").
Servidor de Gestión de Sistemas (SMS): Sistema desarrollado por Microsoft que permite gestionar la configuración de estaciones y servidores Windows.
Sistema de detección de intrusiones (IDS): Sistema que monitoriza redes de ordenadores y sistemas en busca de violaciones de políticas de seguridad. Está compuesto por tres elementos fundamentales: fuentes de información, motor de análisis y mecanismos de respuesta.
Sistema de Nombres de Dominio (DNS): Servicio distribuido de búsqueda de datos que realiza traducciones entre direcciones IP y nombres de máquinas. La estructura de los nombres de máquina (nombres de dominio), que son más fáciles de recordar que las direcciones IP, sigue una estructura jerárquica.
Sistema de prevención de intrusiones (IPS): Sistema que combina las capacidades de bloqueo de un cortafuegos y las de análisis de un IDS. Está diseñado para detener ataques antes de que tengan éxito.
Sistema experto: Aplicación informática que realiza una tarea que podría realizar un humano experto, como por ejemplo, diagnóstico de enfermedades, ataques, o búsqueda de rutas de encaminamiento óptimas. Los sistemas expertos pertenecen a una categoría general de aplicaciones que utilizan técnicas de inteligencia artificial.
Sistema Experto de Detección de Intrusiones (IDES): Sistema de Detección de Intrusiones basado en reglas diseñado para detectar ataques conocidos. Fue el precursor de NIDES. Véase también "Sistema Experto de detección de intrusiones de siguiente generación (NIDES)".
Sistema Experto de detección de intrusiones de siguiente generación (NIDES): Detector de intrusiones que realiza funciones de monitorización en tiempo real de actividades de usuario a través de múltiples sistemas conectados vía Ethernet. Véase también "Sistema Experto de Detección de Intrusiones (IDES)".
Sistema trampa, tarro de miel: Recurso de sistema de información cuyo valor reside en el uso no autorizado o ilícito de dicho recurso.
Sistemas de confianza: Sistemas que emplean las suficientes medidas para cumplir los requisitos necesarios para su uso en el proceso de información sensible o clasificada.
Software libre: Código que otorga libertad a los usuarios para ejecutar, copiar, distribuir, estudiar, cambiar y mejorar el mismo. Véase también ("código abierto").
Sondeo de puertos, escaneo de puertos: Barrido de puertos generalmente para determinar qué servicios ofrece un sistema. Es uno de los métodos más comunes entre los atacantes para obtener información de sus objetivos. Véase también ("escaneo sigiloso de puertos").
STREAMs: Modelo de programación de sistema para el desarrollo de controladores de dispositivos.
Suma de control, suma de verificación, suma de comprobación: Algoritmo matemático que genera un número único a partir de un conjunto de datos, utilizada para comprobar la integridad de los mismos.
SVR4++: Una propuesta de estándar para el formato de los registros de auditoría de los sistemas operativos. Fue publicada por Stephen Smaha.
Tcpdump: Herramienta de monitorización y adquisición de datos que realiza labores de filtrado, recopilación, y visualización de paquetes.
Uso indebido: Actividad o comportamiento conocida como mala o inapropiada.
Virus polimórfico: Virus informático que cambia de aspecto con cada ejecución. Esta característica tiene el objeto de evitar los detectores de virus.
Vulnerabilidades: Debilidades en un sistema que pueden ser utilizadas para violar las políticas de seguridad.
Zona desmilitarizada, red perimétrica (DMZ): Máquina o pequeña subred situada entre una red interna de confianza (como una red local privada) y una red externa no confiable (como Internet). Normalmente en esta zona se sitúan los dispositivos accesibles desde Internet, como servidores Web, FTP, SMTP o DNS, evitando la necesidad de acceso desde el exterior a la red privada. Este término es de origen militar, y se utiliza para definir un área situada entre dos enemigos.

Contenidos bajo Licencia Creative Commons, excepto donde se indique lo contrario.

EJECUCION DE APLICACIONES RESTRINGIDAS WINDOWS CON PRIVILEGIOS DE ADMINISTRADOR

2006-07-30T03:56:00.000-04:00

Los administradores de Windows deben estar enterados que si un usuario, incluso en funcionamiento con una cuenta limitada, puede ejecutar un programa de su eleccion, que también pueden evitar muchas de las restriciiones del sistema, incluyendo aquellas dirigidas específicamente a establecer la seguridad de por ejemplo: políticas de restricción del software y del Internet Explorer.

Eso significa que esos usuarios pueden alterar el código o los datos de sus propios procesos, incluyendo explorador e Internet Explorer, y manipulando el código o los datos relacionados con la aplicación de la política de restrincion del sistema, pueden puentear esas limitaciones.

Las políticas de la restricción del software o Software Restriction Policies (SRP) son otro ejemplo de las limitaciones que se pueden derribar por los usuarios limitados si usted permite que utilicen un ejecutable de su eleccion- es decir si usted no aplica la SRP correctamente usándolo para definir a los usuarios sobre los ejecutables que pueden usar (whitelisting), en vez de simplemente seleccionar ejecutables que usted no quisiera que se utilizasen en general (blacklisting), y que es lo común. Cuando un usuario lanza un proceso, la SRP comprueba la lista predifinida, para establecer si la ejecución se permite o se bloquea.

Gpdisable es un programa que demuestra la facilidad con la cual SRP se puede inhabilitar por accion un usuario limitado. El programa utiliza las técnicas de la inyección del DLL descritas por Jeff Richter en Programming Applications for Microsoft Windows para cargar un DLL en todos los procesos en el sistema al cual el usuario que lo utiliza tiene acceso. El DLL coloca un gancho en el NtQueryValueKey API de modo que intercepte cualquier llamada del API hecho por esos procesos o DLLs que ha cargado. El código de Windows SRP utiliza NtQueryValueKey para preguntar el valor

HKLM\

Software\

Policies\

Microsoft\

Windows\

SaferCodeIdentifiers\

TransparentEnabled\

del registro, que si está presente y diferente a cero indica qué SRP está activado. Aquí está una pista de Cmd.exe, utilizando Regmon, leyendo el valor en respuesta a un intento de ejecución de Notepad.exe, que fue rechazado usando SRP:

Los usuarios no tienen el permiso de modificar claves del registro HKLM, incluyendo los ajustes de SRP, pero Gpdisable engaña el código de SRP volviendo un valor del error, STATUS_OBJECT_NAME_NOT_FOUND, siempre que ve un valor denominado “TransparentEnabled” pasó a NtQueryValueKey:

Esta pantalla demuestra que "el sistema no puede ejecutar el programa especificado."segun el alert de SPR. En el intento fallido de querer ejecutar Notepad.exe en una cuenta limitada del usuario, seguido por la ejecución de Gpdisable y una ejecución posible subsecuente de Notepad.exe (la razón que lanzo otro aviso de alerta para la segunda ejecución es que SRP deposita el valor de TransparentEnabled cuando lanza el primer proceso):

La imagen de Regmon de la segunda ejecución de notepad.exe, parece similar a la primera con la excepción principal que la pregunta de TransparentEnabled falta: Gpdisable lo interceptó en usuario-modo y así que la llamada nunca progresó en el kernel.

¿Qué otros escenarios del sistema de restricciones son susceptibles a este tipo del ataque? Los escenarios de la seguridad son impuestos por componentes de sistema operativo no accesible a usuarios limitados, pero a la mayor parte de los escenarios en el área de Componentes de Windows, del administrador de la Política de restrincciones del sistema, es ineficaz en los ambientes donde usuarios finales pueden correr las aplicaciones de su elección tales como Gpdisable.

Es también importante notar que la habilidad de usuarios limitados a hacer caso omiso a estas restricciones no es debido a un bug en Windows, sino simplemente permitido por decisiones de diseño hechas por el equipo de Microsoft.

VEINTE MANERAS DE ASEGURAR APACHE

2006-07-30T03:30:00.000-04:00

1.- Instalar los ultimos parches de seguridad: No hay sentido en poner cerraduras en las ventanas, si tu puerta está abierta de par en par.

2.- Ocultar el número de versión de Apache, y otra información sensible: Por defecto muchas instalaciones de Apache dicen qué versión de Apache está funcionando, qué sistema operativo, y los módulos de Apache que están instalados en el servidor. Los atacantes pueden utilizar esta información a su ventaja al realizar un ataque. Hay dos directorios que necesitas agregar, o corregir en tu archivo de ¨httpd.conf¨:

ServerSignature Off
ServerTokens Prod

El ServerSignature aparece en las páginas generadas por Apache, tal como ¨error 404¨, ¨listados del directorio¨, etc.

El directorio de ServerTokens se utiliza para determinar lo que pondrá Apache en el servidor en respuesta del HTTP header.

3.-Cerciorarse de que Apache esté funcionando bajo tu cuenta y grupo de usuario: Varias instalaciones de Apache hacen que funcione como usuario a ¨Nobody¨. Suponer un Apache, y con el servidor de correo funcionando como nobody puede permitir un ataque, a través de Apache, comprometiendo tu servidor de correo también:

User apache
Group apache

4.- Asegurarse de que los archivos fuera de web root no estén servidos: No quisiéramos que Apache pudiera tener acceso a ningún de los archivos fuera de la raíz. Si se asume que tu sitio web se coloca bajo un directorio (llamaremos a este /web), se debe instalar como sigue:

Observamos que fijamos Options None y AllowOverride None. Esto pondra off a todas las opciones y se eliminan para el servidor. Ahora tienes que agregarlas explícitamente para cada directorio que requiera una opción o una invalidación.

5.- Poner Off a la navegación de directorios: Puedes hacer esto con las opcionesde directivas dentro de una etiqueta del directorio.Fijar las ¨Options¨ a ¨None¨ o -¨Indexes¨.

Options -Indexes

6.- Poner a Off Server Side Includes: Tambien puedes hacer esto con las opciones de directivas dentro de una etiqueta del directorio. Fijar las ¨Options¨ a ¨None¨ o ¨-Includes¨.

Options -Includes

7.- Poner a Off la ejecucion de CGI: Fijar las ¨Options¨ a ¨None¨ o ¨-ExecCGI¨

Options -ExecCGI

8.- No permitir que Apache siga enlaces simbólicos: Fijar las ¨Options¨ a ¨None¨ o ¨-FollowSymLinks¨

Opciones - FollowSymLinks

9.- Poner a Off multiples opciones: Si deseas apagar a todas las opciones simplemente usa:

Options None

Si solo deseas poner a Off algunas opciones, solo pon un espacio en el directorio:

Options -ExecCGI -FollowSymLinks -Indexes

10.- Poner a Off la ayuda para los archivos de .htaccess: Esto se hace en una etiqueta del directorio, pero con el directorio de ¨AllowOverride¨. Fijarlo a ¨None¨.

AllowOverride None

Si deseas asegurarte de que no pueden ser descargados, y/o eliminados cambias el nombre por algo con excepción de .htaccess. Por ejemplo podríamos cambiarlo a .httpdoverride, y bloqueamos todos los archivos que comienzan con .ht de ser descargados, de la siguiente forma:

11.- Ejecutar mod_security: mod_security es un módulo práctico y estupendo de Apache escrito por Ivan Ristic, el autor de Apache Security desde O'Reilly press.

Puedes hacer lo siguiente con mod_security:

* Filtración simple
* Filtración basada expresión regular
* Validación de codificación del URL
* Validación de Unicode Encoding
* Auditoria
* Prevención del ataque de Null byte
* Upload memory limits
* Enmascarar la identidad del servidor
* Built in Chroot support
* Y más

12.- Inhabilitar cualquier módulo innecesario: Apache viene típicamente con varios módulos instalados. Estudia la documentación de los módulos de Apache y aprenderas lo que hace cada módulo. Muchas veces encontrarás que no necesitas tener activados algunos modulos.

Buscar las líneas en tus ¨httpd.conf¨ que contengan ¨LoadModule¨. Para inhabilitar el módulo solo debes agregar un # al principio de la línea. Para buscar los módulos que estan funcionando:

grep LoadModule httpd.conf

Aquí están algunos módulos que se instalan típicamente pero a menudo no son necesarios: mod_imap, mod_include, mod_info, mod_userdir, mod_status, mod_cgi, mod_autoindex.

13.- Cerciorarte de que solamente Root tenga acceso a los config y a los binarios de Apache: Esto se puede hacer si asumimos que la instalación de tu Apache está situada en ¨/usr/local/apache¨ como sigue:

chown -R root:root /usr/local/apache
chmod -R o-rwx /usr/local/apache

14.- Bajar el valor del time out: Por defecto el directorio del ¨Timeout¨ es fijado a 300 segundos. Puedes disminuirlo ayudando a atenúar los efectos potenciales de un ataque Denial of Service.

Timeout 45

15.- Limitación de peticiones grandes: Apache tiene varios directorios que permiten que limites el tamaño de una petición. Esto puede también ser útil para atenuar los efectos de un ataque Denial of Service.

Un buen lugar a comenzar es el directorio de ¨LimitRequestBody¨. Este directorio está fijado a ilimitado por defecto. Si estás permitiendo subidas de archivos de no más de 1MB, podrías fijar este ajuste en algo como:

LimitRequestBody 1048576

Algunos otros directorios a mirar son ¨LimitRequestFields¨, ¨LimitRequestFieldSize¨ y ¨LimitRequestLine¨. Estos directorios se fijan a algo razonable para la mayoría de los servidores, pero puedes desear limitarlos para adaptarlos lo mejor posible a tus necesidades.

16.- Limitación del tamaño de XML Body: Si estás ejecutando el ¨mod_dav¨, entonces puedes desear limitar el tamaño máximo de un cuerpo de la petición de XML. El directorio de ¨LimitXMLRequestBody¨ está solamente disponible en Apache 2, y su valor prefijado es 1 millón de octetos (aproximadamente 1 Mb). Muchos tutoriales tendrán fijado este valor a 0, lo que significa que los archivos de cualquier tamaño pueden ser subidos; lo que puede ser necesario si estás utilizando WebDAV para subir archivos grandes, pero si lo estás utilizando simplemente para el control del source, puedes fijar un límite superior, tal como 10 Mb:

LimitXMLRequestBody 10485760

17.- Limitación de concurrencia: Apache tiene varios ajustes de la configuración que se pueden utilizar para ajustar la dirección de peticiones concurrentes. El ¨MaxClients¨ es el número máximo de los pequeños procesos que serán creados para servir peticiones. Esto se puede fijar demasiado alto si tu servidor no tiene bastante memoria para manejar una gran cantidad de peticiones de concurrentes.

Otros directorios tales como ¨MaxSpareServers¨, ¨MaxRequestsPerChild¨, y sobre Apache2 ¨ThreadsPerChild¨, ¨ServerLimit¨, y ¨MaxSpareThreads¨ son importantes de ajustar para emparejar tu sistema operativo, y el hardware.

18.- Acceso de restricción por el IP: Si tienes un recurso que deba ser accesado por cierta red, o dirección IP puedes hacer cumplir esto en tu configuración de Apache. Por ejemplo si deseas restringir el acceso a tu Intranet para permitir solamente la red 176.16.x.x:

Order Deny,Allow
Deny from all
Allow from 176.16.0.0/16

O por IP:

Order Deny,Allow
Deny from all
Allow from 127.0.0.1

19.- Ajustando la configuracion de KeepAlive: KeepAlive es activado por defecto y debes dejarlo encendido, pero puedes considerar el cambiar¨MaxKeepAliveRequests¨ que por defecto está fijado en 100, y ¨KeepAliveTimeout¨ que por defecto está en 15. Analizando tus ficheros a diario podrás determinar los valores apropiados.

20.- Hacer Funcionar Apache en un ambiente de Chroot:¨el chroot¨ permite que ejecutes un programa en su propio ambiente aislado. Esto evita que un defecto dentro en un servicio pueda afectar todo lo demás en el servidor.

mod_security se ha construido en ayuda del chroot. Hace el proceso tan simple como agregar un directorio del mod_security a tu configuración:

SecChrootDir /chroot/apache

Más información: http://www.dealazon.com/product/0596007248

EL MISTERIOSO ARCHIVO SVCHOST.EXE

2006-07-30T02:00:00.000-04:00

El archivo Svchost.exe se encuentra en la carpeta C:\WINDOWS\system32\svchost.exe en Windows XP y C:\WINNT\system32\svchost.exe en Windows 2000.

Al iniciarse, Svchost.exe comprueba la parte de servicios del Registro para elaborar la lista de servicios que necesita cargar. Se pueden ejecutar múltiples instancias de Svchost.exe al mismo tiempo. Cada sesión de Svchost.exe puede contener un conjunto de servicios, para que se puedan ejecutar servicios autónomos, en función de cómo y cuándo se inició Svchost.exe. Esto permite un control mejor y una depuración más sencilla.

Los grupos Svchost.exe están identificados en la siguiente clave del Registro:

HKEY_LOCAL_MACHINE\Software\Microsoft\ WindowsNT\CurrentVersion\Svchost

Cada valor contenido en esta clave representa un grupo Svchost distinto y se muestra como un ejemplo independiente cuando se consultan los procesos activos.

Cada valor es un valor REG_MULTI_SZ que contiene los servicios que se ejecutan en el grupo Svchost. Cada grupo Svchost puede contener uno o varios nombres de servicio que se extraen de la siguiente clave del Registro, cuya clave Parámetros contiene un valor ServiceDLL:

HKEY_LOCAL_MACHINESystemCurrentControlSetServices Nombre del Servicio

Por esta razón, suele aparecer varias veces en la lista de procesos en ejecucion.

Para ver la lista de servicios que se ejecutan en Svchost y los otros procesos:

Haga clic en el boton Inicio en la barra de tareas de Windows y, a continuación, en Ejecutar.

En el cuadro de diálogo Abrir, escriba CMD y, a continuación, presione la tecla Enter.

Ahora en la ventana de la consola de comandos, escriba:

Tasklist /SVC

... y a continuación presione Enter.

Le aparecerá un listado de los procesos activos y los servicios del sistema asociados con dichos procesos "si los hay" (en caso contrario muestra N/D, no disponible).

La lista de tareas muestra una lista de los procesos activos. El modificador /SVC muestra la lista de servicios activos para cada proceso.

Si tiene Windows XP Professional y quiere obtener más informacion sobre los servicios que el proceso SVCHOST está ejecutando en estos momentos haga esto:

Haga clic en el boton Inicio en la barra de tareas de Windows y, a continuación, en Ejecutar.

En el cuadro de diálogo Abrir, escriba CMD y, a continuación, presione la tecla Enter.

Ahora en la ventana de la consola de comandos, escriba:

tasklist /svc /fi "imagename eq svchost.exe"

... y a continuación presione Enter.

En este caso se mostrarán sólo los procesos SVCHOST.exe y sus servicios asociados.

Y la respuesta a la típica pregunta de si hay que cerrar o eliminar el proceso SVCHOST, no, no hay que tocarlo, este programa es importante para la estabilidad y seguridad de su sistema y no debería ser eliminado.

Uso de memoria

SVCHOST.EXE puede llegar a ocupar hasta unos 60MB de la memoria de sistema.

SVCHOST.EXE puede aparecer listado en la lista de procesos muchas veces por cada servicio que éste tenga activos.

Uso de procesador

El uso de procesador por parte de SVCHOST.EXE no debe ser mas de 20% en algunos casos (en mi caso personal en este momento solo un 0%). Este uso de CPU no debe ser permanente, o sea no debe ocupar CPU en todo momento, a menos que en su sistema se esté ejecutando alguna aplicacion de red crítica que siginifique el uso de todos estos recursos en todo momento. Si no es así, sospeche de que está siendo atacado externamente por algun gusano que aprovecha la vulnerabilidad RPC.

Como vimos anteriormente, SVCHOST.exe puede aparecer varias veces cargado en el sistema. De hecho, mientras escribo este artículo, SVCHOST.exe aparece en la lista de procesos 6 veces, ocupando algo así como 45MB de memoria. Este aparece cargando los servicios DcomLaunch, TermService, RpcSs,AudioSrv, Browser, CryptSvc, Dhcp, dmserver, ERSvc, EventSystem, FastUserSwitchingCompatibility, helpsvc, HidServ, lanmanserver, lanmanworkstation, Netman, Nla, rasAuto, RasMan, Schedule, seclogon, SENS, SharedAccess, ShellHWDetection, Tapisrvc, Themes, trkWks, winmgmt, wscsvc, wuauserv, WZCSVC, LmHosts, SSDPSRV, upnphost, WebClient, stisvc y HTTPFilter.

Como si fuera poco, si tiene un Firewall, y alguna vez ha visto listados los puertos que el proceso SVCHOST.exe tiene para sí, encontrará que SVCHOST.exe es el responsable de tener abiertos varios puertos del sistema.

SVCHOST.exe no solo es el responsable de cargar varios servicios, tambien abre numerosos puertos de conexion a nuestro sistema.

En mi caso, SVCHOST.exe tiene abiertos los siguientes puertos:

Con protocolo TCP: 135 y 2869

Con protocolo UDP: 53, 1035, 1036, 1900, 2030 y 3031

Cuando esté en busca de procesos maliciosos como Adware, software espía, etc, puede confiar en que los puertos abiertos relacionados con SVCHOST.exe no han sido abiertos con mala intención. Claro que ataques externos en contra de esos puertos (por ejemplo: Ataques a Llamadas a Procedimiento Remoto RPC "call—RPC—attacks" en contra del puerto 135) no se pueden descartar.

En el mundo de los Firewalls, al proceso del archivo SVCHOST.exe, se le conoce como [GENERIC HOST PROCESS FOR WIN32 SERVICES].

La mayoría de los Firewalls traen reglas predefinididas cuando las conexiones son de salida, pero cuando hay peticiones entrantes, toca definir dos reglas:

Si el protocolo es TCP y la conexion es de tipo ENTRADA: BLOQUEAR

Si el protocolo es UDP y la conexion es de tipo ENTRADA: BLOQUEAR

Hay casos raros, muy raros... en que las reglas predefinidas de conexiones de salida no son suficientes. Si éste es su caso (si experimenta momentos en que el Firewall le pregunta sobre una aplicación que solicita conexión de salida usando protocolo TCP), convendría definir esta regla:

Si el protocolo es TCP y si la conexion es de tipo SALIDA: BLOQUEAR

Si experimenta problemas de lentitud, y nota que el proceso SVCHOST.exe está consumiendo recursos de CPU de forma excesiva y sin control, es muy probable que esté siendo objeto de ataques mediante la vulnerabilidad conocida del RPC.

Mediante dicha vulnerabilidad, existen y continuan apareciendo infinidad de gusanos que aprovechan este agujero para insertarse en su sistema y empezar a hacer todo tipo de travesuras.

Si cree estar siendo víctima del MS Blaster o alguna de sus miles de mutaciones:

Inmediatamente vaya descargando e instalando los dos parches para el Agujero del LSASS y el RPC/DCOM. Cuando los instale, reinicie, se conecta a Internet y compruebes si el uso de CPU del archivo SVCHOST.EXE es ahora normal. Si no lo es, y nota que continua igual que antes, entonces publice el registro detallado de las aplicaciones de su sistema usando la aplicacion, HIJACKTHIS.

Si lo que tiene es el gusano, con el antivirus NO BASTA, tiene que parchear el error (con el parche RPC, que corrige el agujero de una vez por todas), porque existen infinidad de gusanos que aprovechan ese agujero, pero que utilizan otro nombre. Por lo que si el Antivirus no es tan potente, desconocerá las nuevas mutaciones.

El archivo se llama SVCHOST.exe, no confundir con virus que se hacen llamar SVHOST.exe o SVCSHOST.exe, etc.

Este archivo SVCHOST.exe sólo debe aparecer en Windows 2000 y XP.

Su ubicacion debe ser C:\WINDOWS\system32\svchost.exe en Windows XP y C:\WINNT\system32\svchost.exe en Windows 2000.

No importa si SVCHOST.EXE aparece repetido varias veces en la lista de procesos, esto es normal.

SVCHOST.EXE puede llegar a ocupar hasta unos 60MB de la memoria de sistema. Solo preocúpese si el uso de procesador por parte de SVCHOST.EXE es excesivo, no debe ser más de 20% en algunos casos. (en mi caso personal solo un 1%) El uso del CPU es aleatorio y circunstancial, no debe ocupar CPU en todo el momento. Si es así, sospeche de que está siendo atacado externamente por algun gusano que aprovecha la vulnerabilidad RPC.

Safemode-cl -=- [DVD AR]

¿Computador o Computadora?

Establece un récord mundial Guinness

Nuevas características

Seguridad

Productividad

Personalización

IPv4.5

2 puntos mas a favor de Google

Gmail aumenta tamaño de adjuntos a 20 Mb

Las 10 mejores distribuciones Linux Live-CD para seguridad y analisis forense

Tips acerca del nuevo SO de Microsoft

Como evitar la entrega automática de IE 7

Entrega automática de Internet Explorer 7

Proceso de entrega de las Actualizaciones automáticas

Opciones para bloquear la entrega automática

Instantáneas de la experiencia de entrega de las Actualizaciones automáticas

Vínculos relacionados: Recursos de Internet Explorer 7

Mozilla Firefox en la puerta del horno...

Internet Explorer 7.0 a un paso de ser una actualización más!!

COLGAR UN SISTEMA LINUX CON UN USUARIO SIN PRIVILEGIOS

Editor de texto, vía web - Made in Google

Fin del soporte técnico para Windows XP Service Pack 1 (SP1)

Fin del soporte técnico para Windows XP Service Pack 1 (SP1)

Troyanos que capturan video cuando detectan autentificación de Banca online.

Windows Vista RC1... disponible para descarga

Microsoft acaba de liberar la RC1 de Windows Vista y pone a disposición del agudo ojo de los internautas para descarga e inicio de pruebas.Windows Vista RC1 está disponible para los participantes del Windows Vista Customer Preview Program.

Solo hay que dirigirse al sitio del Customer Preview Program, registrarse para así poder recibir una clave del producto, la cual, es requerida para la instalación y posterior activación del software (Este sitio ya no tiene disponible la solicitud de key, hasta nuevo aviso).

MICROSFT INVITA A HACKEAR WINDOWS VISTA... Y LO INEVITABLE SUCEDIO !!!!

PRINCIPIOS BASICOS DE LAS SUBREDES

Controversia acerca del fichero INDEX.DAT de Windows

Continuaremos usando NTFS, (WINFS fallece antes de nacer)

¿PARA QUE SIRVE EL PROTOCOLO SNMP?

GLOSARIO DE TERMINOS DE SEGURIDAD INFORMATICA

EJECUCION DE APLICACIONES RESTRINGIDAS WINDOWS CON PRIVILEGIOS DE ADMINISTRADOR

VEINTE MANERAS DE ASEGURAR APACHE

EL MISTERIOSO ARCHIVO SVCHOST.EXE

Microsoft acaba de liberar la RC1 de Windows Vista y pone a disposición del agudo ojo de los internautas para descarga e inicio de pruebas.
Windows Vista RC1 está disponible para los participantes del Windows Vista Customer Preview Program.