Sergio Sainz

Asier Marqués y Javier Jiménez organizan el próximo Jueves 24 a partir de las 19:30 en el pub Dubliners de Bilbao, la primera quedada Emprende Web.

El objetivo de este tipo de reuniones que ya se realizan en otros puntos como por ejemplo Iniciador o First Tuesday, es el de darnos a conocer en un punto de encuentro en el que compartir conocimiento y experiencia.

Creo que es una buena oportunidad para reunirnos y conocernos los profesionales del sector, pudiendo formar un buen grupo de debate del que pueden salir ideas, proyectos y amistades interesantes. Nos vemos en el Dubliners.

El próximo 25 de Septiembre se celebra el Asegur@IT en mi ciudad (Bilbao) con la presencia de ponentes de calidad ya conocidos de otros muchos eventos. Así que tengo una cita obligada en la que espero encontrarme con gente conocida al igual que caras nuevas .

Para apuntaros Asegúr@IT III en Bilbao, 25 de Septiembre de 2008 (en la Universidad de Deusto).

A continuación un C&P de la agenda:

09:00 – 09:15 Registro

09:15 – 10:00 Cracking & protección de software

La disciplina de cracking software tiene mucho que ver con la protección de software. En esta sesión Mike Gastesi, de S21Sec, contará cuales son algunas de las técnicas utilizadas para la decompilación y crackeo de software y al final dará algunas recomendaciones para proteger el software contra este tipo de técnicas.

10:00 – 10:45 Rootkits in Action

La técnología rootkit llego ya hace unos años para quedarse con nosotros. En esta sesión Iñaki Etxeberría, de Panda Software, contará como funcionan hoy en día los rootkits, cuales son sus objetivos y cómo podemos protegernos de ellos.

10:45 – 11:15 Café

11:15 – 12:00 Tempest, mitos y realidades

La tecnología Tempest ha dado mucho que hablar. La posibilidad de interceptar la información generada en un equipo mediante la intercepción de las ondas radiadas por los dispositivos electrónicos ha sido utilizada en múltiples novelas y películas de ciencia ficción. No obstante, las técnicas tempest existen y funcionan con unas características. En esta sesión Pablo Garaizar, Txipi, de la Universidad de Deusto mostrará que es mito, que es realidad y hará algún ejmemplo de estas técnicas.

12:00 – 12:45 Network Access Protecction

La protección de las redes en entornos en los que los trabajadores utilizan dispositivos móviles para conectarse (portátiles, pdas, télefonos móviles) necesitan comprobar la salud de los equipos que se conectan a la red. Windows Server 2008 y Windows Vista incorporan NAP, una tecnología que permite controlar la salud de los equipos que se desean conectar a la red. Juan Luís Rambla, MVP de Spectra en Windows Security de Informática 64 realizará una demostración de como implantar esta tecnología.

12:45 – 13:30 Protección contra Botnets desplegadas por Web

Las técnicas de expansión de las redes botnets van cambiando día a día buscando nuevos métodos de infectar máquinas. Actualmetne una de las disciplinas utilizadas consiste en atacar máquinas través de sitios web legítimos vulnerados mediante fallos de programación. David Carmona, Evangelista de Spectra desgranará como funcionan estas nuevas formas de despliegue y dará pautas para protegernos contra ellas.

13:30 – 14:00 Preguntas a los ponentes

Cariño esta noche tengo que trabajar hasta tarde… ha salido una vulnerabilidad grave y tengo que hacer una importante actualización de seguridad en los equipos de la empresa no me esperes en toda la noche….

He aquí la actualización en cuestión que ocupa más de 60 mb y catalogada de IMPORTANTE para que ningún administrador se la pase por alto.

Sin embargo, leyendo un poco el resumen de la actualización la verdad es que no parece muy importante.

Mejor leer un poco más detallada la actualización por si hay letra pequeña…. http://support.microsoft.com/kb/955020

Tras leer detenidamente, la verdad es que para actualizar un problema de que al seleccionar el diccionario inglés o alemán no reconozca las palabras y sean subrayadas como que no están bien escritas no me parece importante y sobre todo no entiendo porque ocupa tanto.

Las palabras en cuestión son:

El ejemplo del que puede ser víctima el usuario de no aplicar el parche es (copio literal):

Consider the following example scenario:

In this scenario, this word is flagged as being misspelled.

Note This issue also occurs if the application uses the German dictionary.

La verdad es que no me convence y me voy a “arriesgar” no aplicando este parche y ahorrando un poco de espacio en mi disco que parece que últimamente hay que malgastarlo al ser el almacenamiento barato…

Los días 11 y 12 de Junio he cogido unas mini-vacaciones para poder acudir a Infosecurity 2008 que se organiza en el Palacio municipal de Congresos de Madrid.

Aunque el programa es amplio creo que me centraré en las Presentaciones de Microsoft Technet security Academy y Microsoft HandsOnLab dividiendo las sesiones entre laboratorios y charlas. De todas formas, seguro que hago tiempo para pasar por algunas otras que también me interesan como las de Kaspersky, S21Sec, NetAPP, DELL, Dominion, AVG…

En fin, que como siempre me pasa en este tipo de eventos con tantas cosas al final no me da tiempo para ir a todo… Espero que tras el evento la organización facilite webcast o similar para poder ver todas las sesiones tranquilamente…

Estaré por allí con Asier Marqués y el que se quiera unir a nosotros. ¡¡¡Hasta pronto!!!

Nunca me ha gustado criticar el trabajo de otros, soy de los que piensa que por muy mal que salgan las cosas lo que cuenta es la buena voluntad y el esfuerzo de la gente sobre el resultado final. Pero cuando las cosas me suenan a ESTAFA y se ríen de mí, entonces me veo con el derecho de DENUNCIAR abiertamente.

Cuando anunciaron este Foro de Internet, pensé en lo bien que lo iba a pasar, la de ponencias interesantes que iba a ver en directo (Ricardo Galli,1and1, WordPress, Drupal, Yahoo) y a toda la gente que iba a conocer por allí. Así que tan pronto como Jonathan y Asier confirmaron su asistencia no dudé en apuntarme a “la fiesta”.

A los pocos días de pagar los 30 € de la entrada, viaje en avión Bilbao-Madrid y hotel para los tres nos empezamos a enterar que las entradas se pueden conseguir gratis. Más tarde, nos modifican el calendario y nos quitan a Ricardo Galli, Drupal, WordPress, etc… para ponernos otras de peor calidad.

Al llegar allí nos imaginábamos que la cola sería enorme como suele ser en este tipo de eventos, pero pasamos casi sin detenernos y entramos en la sala de conferencias que daba una sensación de vacío.

Comenzamos viendo un video de SPAM de Jazztel que nos acompañó a lo largo de todas las ponencias, tristemente no fue el único spam que recibimos. Ya que la mayoría de ponentes se dedicaron a vender su producto de manera descarada y a aportar muy poco de “sabiduría” como debía ser.

El primer día las ponencias que menos me animaban a asistir fueron de las que más me gustaron, la de Enrique Dans y la de Carlos Blanco (para que os hagáis una idea de lo desesperado que me sentí con el resto de ponencias). Después de comer a toda leche volvimos para ver la ponencia de Panoramio de
Eduardo Manchón que no tuvo desperdicio, al igual que la de El Otro Lado que vino poco después.

Por lo demás muchas otras ponencias fueron lamentables y para nada eran lo que nos esperábamos. Creo que por las caras, los twitters de la gente y que cada vez íbamos quedando menos en la sala se hizo más que notar.

Cansados, nos quedamos hasta el final del sábado para asistir a la ponencia de Optimización de bases de datos. Donde nos llevamos el remate final del día al traernos a un ponente sin nivel técnico, que se dedicó a leer el Power Point que iba a pareciendo en pantalla y que nada tenía que ver con la optimización de una bbdd sino con la venta de su producto. El cual creo que visto lo visto, nunca probaré. Intersystems Caché.

El domingo fue aun peor. Nos levantamos algo más tarde para llegar a la ponencia de Yahoo! ya que lo que había antes no nos interesaba y estábamos cansados. Fue entonces cuando apareció en vaqueros el organizador del foro y nos dijo que David Losada
no vendría. En su lugar nos encasquetaron a un señor del ayunta-MIENTO de Madrid para aburrirnos otro rato más.

En definitiva, estoy muy decepcionado y me siento estafado porque:

• Pagué mi entrada por un programa que luego cambiaron bajando mucho la calidad del mismo.
• Regalaron las entradas y encima la gente iba como VIP y gratis.
• Muchos ponentes venían sólo a spamear y vender sus productos, aburriéndonos a todos.

Por lo que veo sólo se dio importancia a la calidad de la conexión de Jazztel, que era lo que se pretendía. Promocionar la banda ancha de Jazztel.

Más info en el blog de Asier Marqués y de Jonathan López

Editar C:\Inetpub\vhosts\webmail\horde\templates\portal\sidebar.inc

Y comentar:

/*

if (window.NewsFeeds) {

window.NFopen = (readCookie('plesk_newsfeed_visible') == 'false') ? false : true;

document.write(''); document.write('<tbody>'); document.write(''); document.write('');

document.write(''); document.write(''); document.write('</tbody>

<?php echo _('Top News'); ?>

<a href="javascript:NFgetList();" class="btn-refresh" title="<?php echo _('Refresh'); ?>">

<?php echo _('Refresh'); ?></a>

<a href="javascript:NFcollapseList();" class="btn-open-close" title="<?php echo _('Open/Close'); ?>">

<?php echo _('Open/Close'); ?></a>

'); document.write('

'); document.write('

');

if (window.NFopen && readCookie('horde_sidebar_expanded') != 'false')

NFgetList();

}

*/

Para subir archivos pesados a través de phpMyAdmin hay que tener en cuenta el tiempo de ejecución máximo configurado tanto para el propio phpMyAdmin como para PHP.

PhpMyAdmin tiene un parámetro propio para el tiempo máximo de ejecución, hay que localizar config.inc.php y editarlo con valor a 0 si quieres que sea tiempo ilimitado o establecer un valor concreto (en segundos).

$cfg['ExecTimeLimit']=0;


Nota, si usas Plesk/Win estará en:
C:\Archivos de programa\SWsoft\Plesk\admin\htdocs\domains\databases\phpMyAdmin\config.inc.php

 También se debe tener en cuenta el tiempo máximo de ejecución para php y los límites de memoria máximos, para ello se edita php.ini con los valores deseados, este sería un ejemplo como el que tengo copiado en mis notas desde hace tiempo:

;;;;;;;;;;;;;;;;;;;
; Resource Limits ;
;;;;;;;;;;;;;;;;;;;

;max_execution_time = 30 ; Maximum execution time of each script, in seconds
max_execution_time = 3600 ; 

;max_input_time = 60 ; Maximum amount of time each script may spend parsing request data
max_input_time = 1800 ; 

;memory_limit = 8M ; Maximum amount of memory a script may consume (8MB)
memory_limit = 200M ;




;;;;;;;;;;;;;;;;;
; Data Handling ;
;;;;;;;;;;;;;;;;;

; You should do your best to write your scripts so that they do not require
; register_globals to be on; Using form variables as globals can easily lead
; to possible security problems, if the code is not very well thought of.
register_globals = Off ;

; Maximum size of POST data that PHP will accept.
;post_max_size = 8M
post_max_size = 200M ;

El login de Horde permite por defecto la conexión tanto Pop3 como Imap, siendo la primera de ellas la opción por defecto y por tanto la que usarán la mayoría de clientes que no saben las diferencias entre un protocolo u otro.

Para ahorrarnos preguntas sobre “porque no veo la carpeta…” mi consejo es poner por defecto Imap o directamente sólo dejar habilitada esta opción.

Debemos ir a %horde%\imp\config\servers.php, por ejemplo Plesk nos lo deja en c:\Inetpub\vhosts\webmail\horde\imp\config\servers.php

Y comentamos las siguientes líneas referentes a pop para deshabilitarlo.

/*$servers['pop'] = array(

    'name' => 'POP3 Server',

    'server' => 'localhost',

    'hordeauth' => false,

    'protocol' => 'pop3/notls',

    'port' => 110,

    'maildomain' => $DomainName,

    'smtphost' => 'localhost',

    'smtpport' => 25,

    'realm' => '',

    'preferred' => '',

);

Asimismo desde este archive podemos administrar los protocolos de acceso permitidos, no pondré como porque es muy intuitivo, lo mejor mirar la ayuda del propio archivo.

 *             + 'imap/ssl'

 *             + 'imap/notls'

 *             + 'imap/tls'

 *             + 'pop3/notls'

 *             + 'pop3/ssl'

 *             + 'pop3/tls'

Habitualmente utilizo 3 equipos que trato de mantener sincronizados constantemente, estos son, un clónico de sobremesa personal, un portátil y el equipo de la oficina con los que trabajo a diario.

A nivel de correo uso IMAP para leer directamente del servidor y así me olvido de todo, pero para llevar mis citas y el calendario al día como en la empresa no tengo un Exchange (aún) me las he estado apañando de una forma algo tediosa que ya no merece la pena contar puesto que el equipo de Google ya me ha dado la solución que necesitaba, Google Calendar Sync.

Existen más servicios de este tipo, pero todo lo que había encontrado hasta ahora son programas de terceros que requieren registro y dar datos de acceso a las cuentas, por lo que nunca me he sentido confiado. Otras soluciones que he probado eran en un solo sentido pero si luego no podía importar los datos de mi Google Calendar a mis Outlooks la solución se me quedaba incompleta.

Durante los días 26 y 27 de febrero tuvo lugar en el Palacio Municipal de Congresos de Madrid la presentación mundial de Windows Server 2008, Sql Server 2008 y Visual Studio 2008.

Había muchas sesiones para ver, divididas en los tres nuevos productos y que a su vez se enfocaron para dos grandes grupos: Desarrolladores y Administradores.

Ante la gran cantidad de sesiones y la imposibilidad de asistir a todas ellas, Asier Marqués, Imanol Rodriguez y yo tuvimos que planificarnos para poder acudir a aquellas sesiones que más interesantes parecían. Sólo mencionaré aquellas sesiones a las que asistimos.

• Hands-On Lab. Windows Server 2008: Powershell – Avanzado
  

  Los conceptos que se recogieron fueron los básicos (instalación de PS, sintaxis y algunos ejemplos).

  • Como instalar PS desde consola
    
  • Sintaxis de comandos, por ejemplo: get-command -syntax get-process
    
  • Uso y creación de alias
    
  • Info del sistema con controles WMI, listar objetos WMI…
    
  • Crear instancias nuevas vía ps
    
  • Clases estáticas
    
  • Listado y control de Servicios
    

  Pero como me quedé con ganas de más me compré un libro de POWERSHELL (más conocido como “El del Taladro”) y luego Imanol otro igual (envidioso…. )

• Hands-On Lab. Windows Server 2008: Seguridad – MIC, UIPI, DEP, UAC
  
  • DEP (Data Execution Prevention): Es un control/protección de memoria por hardware que marca con un bit las instrucciones en memoria de un proceso como no ejecutables, a menos que se especifique lo contrario. Para aprovecharlo al máximo es necesario contar con el modificador de inicio /PAE.
    

    Necesitamos un procesador que lo soporte:

También puede ser forzada por software, pero es menos efectivo ya que sólo protegerá algunos binarios del sistema.

Más información en: http://support.microsoft.com/kb/875352

• BOOT: Se sustituye el boot.ini que era un archivo de texto simple. Ahora el archivo se llama bcd.log y en lugar de editarlo directamente, se hace a través del comando BCEDIT.
  

  He encontrado una entrada interesante sobre esto en: http://www.fermu.com/content/view/553/2/lang,es/

  Como la línea de comandos puede ser tediosa, ya hay una aplicación gráfica llamada VISTABOOTPRO.

• MIC (Mandatory Integraty Control) y UIPI (User Interface Privilege Isolation): UIPI Es algo que aún no se usa, pero se supone que se irá implementando. Define 5 niveles de integridad (0 – Untrusted, 100 – Bajo, 200 – Medio, 300 – Alto, 400 – Sistema). En la práctica servirá para que cuando por ejemplo un usuario navegue con IE no puedan utilizar un código malicioso que infecte archivos con un nivel de integridad más elevado que el del usuario. MIC, permite controlar/establecer un nivel de ejecución para la aplicación.
  

• UAC (User Acount Control): Los que habéis probado Vista seguro que sabéis bien de qué va esto, y los Linuxeros igual…. Un sistema que cada vez que vas a hacer algo que vaya a afectar el sistema te avisa y pregunta si de verdad ¿estás seguro?, para mí personalmente es un coñazo y lo deshabilito, aunque visto en un Server en producción la cosa va cobrando algo más de sentido.
  

• Hands-On Lab. Windows Server 2008: Core Version – Active Directory
  

  De aquí sólo me lleve una cosa que referenciar.

  • Promoción de un server de forma desatendida, como generar o exportar el archivo de respuesta y lanzarlo desde Server Core.
    
• Hands-On Lab. Windows Server 2008: Hyper-V
  

  Una presentación muy resumida de lo que se vio en la presentación del Hosting Roadshow, así que apenas cogí apuntes :-S.

  Estoy muy interesado en esta tecnología y espero poder probarla, si el resultado frente a otras tecnologías como VMWare, es el que deseado entonces espero tener posibilidad de ponerlo en producción. Iré posteando los avances.

• El Nuevo Servidor Web de Windows Server 2008: IIS 7. La experiencia de Arsys
  

  Hicieron unas demostraciones sobre servers que ya tienen en producción. Instalaron aplicaciones como wordpress y mediawiki….

  También contaron como poder delegar partes concretas de IIS y otras nuevas características que lo hacen interesantes para un hoster.

  Fue una presentación que me interesaba mucho y de las que más me gustaron.

• Alta Disponibilidad en Windows Server 2008
  

  HP y David Cervigón hicieron una presentación muy buena sobre este tema, con una demostración práctica que demostró la facilidad de configurar un sistema en cluster.

  Se describieron algunas de las mejoras más notables a la hora de crear, configurar y mantener un clúster. La HCL desparece y una aplicación se encarga de hacer comprobaciones antes de la instalación y recordarte lo que puede dar problemas y como solucionarlos.

  Finalmente HP hizo algunas demostraciones con sus cabinas SAN con algunas opciones impresionantes que justifican su precio (para quien pueda…).

• Windows Server 2008: Terminal Services
  

  De la mano de Fujitsu Siemens. Hicieron algunas demostraciones de esta nueva característica de Windows y presentaron algunos de sus “jugetes”.

• Seguridad en Windows Server 2008 (NAP, BitLocker) y SQL Server 2008
  

  Con Chema Alonso y José Parada.

  Una charla muy interesante sobre las novedades en seguridad y forma de aplicarlas. Una pena que SQL 08 no esté disponible hasta después del verano :S

• NAP (Network Access Protection): En resumen, lo que hace esta joya es definir unos niveles mínimos aceptables para acceder a tu red, sino los cumples te impide el acceso y si te logeas pero en algún momento cambias tu configuración y dejas de cumplir los requisitos te da la patada y trata de solucionar el problema automáticamente para dejarte acceder de nuevo. Permite usar LDAP para firmas conexiones IPSEC. Sin duda ayuda a mejorar muchísimo la seguridad en una red corporativa. Pero con tanta opción de seguridad me quedé con la impresión de que será difícil gestionar y controlar cada aspecto de la seguridad y concepto, ahora ya son muchas las opciones a tener en cuenta y no sé si al final todo esto llevará a deshabilitar muchas de las opciones de seguridad a aquellos administradores que no quieren complicarse la vida en exceso o no saben cómo aplicar cada una de las soluciones por falta de conocimiento o por falta de tiempo…

• SQL 2008 Lamentablemente tenemos que esperar al tercer trimestre de este año para poder tener la versión final, así que los detalles me los ahorro para entonces. Se han revisado y mejorado algunos aspectos, pero ¿Qué nos van a contar de la seguridad de SQL si ya sabemos que hasta hoy es PERFECTO?. No hablo por hablar… Sql 2005 es una aplicación con 0 fallos de seguridad conocidos, Oracle en su última versión ya tiene alguno grave detectado y MySQL lo mismo…. Así que sql 2005 se va a jubilar por todo lo alto.
  

Al llegar la tarde del día 27 se acabaron las jornadas técnicas y llegó la hora de alegrarse la vista, se hizo un concurso presentado por Inma del Moral (me encanta esta chica ), los ganadores por grupo fueron los desarrolladores a los que se les obsequió con una XBOX 360 a cada uno y un administrador venció en la parte individual y se fué a casa en una ¡Harley Davidson!.

Luego un discurso de Rosa Mª García, directora de Microsoft Ibérica. Dando las gracias y celebrando los 20 años de Microsoft en España. Dando paso a un debate entre varios peces gordos, en esta parte nos tomamos un descanso hasta la conexión en directo con Steve Ballmer.

Para terminar una fiesta de 20:00 a 24:00 de la noche, no sé como acabó ya que aunque nos hubiese gustado estar por allí, ya nos tocaba ir al aeropuerto para pasar la humillación de los absurdos controles de seguridad y esperar más de hora y media por los retrasos habituales con excusa tonta incluida….