Los eventos técnicos son aburridos

La frase que titula esta entrada es totalmente falsa en la mayoría de ocasiones (o eso, o yo tengo un gran ojo para seleccionar a qué eventos voy). No obstante, es cierto que no todos los ponentes saben atraer la atención del público de la misma manera, o el propio producto o tecnología presentados no son lo suficientemente atractivos.

Sin embargo, siempre se intenta mejorar en cuanto a la exposición, y no está de más incluir algún tipo de “despertador” entre sesión y sesión. Por lo que conozco los productos de la empresa Quest Software son muy atractivos para aquellos que se dedican a la gestión de sistemas heterogéneos, y además han tenido el buen gusto de presentar tecnologías para la gestión de virtualización entre magia, cosa que me ha resultado llamativa.

Aquí está la agenda del evento “Nada por aquí, nada por allá: VDI” . Si estás en Madrid el 18 de Noviembre puede que te interese.

Advertisements

¡Reparar, Instalar o Desinstalar de VS no funciona!

Esta semana empecé a trabajar en una nueva empresa, sobre la que ya hablaré más adelante.
Una de las máximas que me he marcado, y que me costará cumplir, es no llevarme trabajo a casa. No obstante, ironías de la vida, tuve un problema con Visual Studio Team System en el trabajo que se ha reproducido en mi portátil, así que tocaba buscar la solución.

El problema consiste en que cuando Visual Studio se queja por cualquier motivo, o queremos instalar componentes extras, las funciones de reparar, desinstalar o instalar no funcionan.

El mensaje es: “A problem has been encountered while loading the setup components. Canceling setup.”. La solución, desinstalar el hotfix KB952241.

Tras realizar la operación que necesites, no olvides volver a visitar Windows Update, pues es un hotfix relativo a seguridad.

Seguridad: El Error Humano

La seguridad en un sistema informático depende de tres factores:

  • Procesos.
  • Personas.
  • Tecnología.

Los problemas de seguridad pueden venir dados por un problema en cualquiera de estos tres factores.

Podemos encontrar fallos en los procesos. Un ejemplo de fallo en los procesos puede ser, lamentablemente, ignorar totalmente la seguridad. La seguridad es una métrica, no una característica, y por tanto en un proceso de ingeniería del software debemos cuantificar la seguridad, como parte de los requisitos no funcionales de la aplicación. Para cuantificar la seguridad, podemos acudir a una metodología conocida como Modelado de Amenazas.

Obviamente, podemos encontrar fallos en la tecnología. Podemos encontrar problemas en los protocolos a utilizar, en el sistema operativo, en el software del sistema, o, lo más común, en el software desarrollado a medida. El software no es perfecto. Para paliar este problema debemos tener las últimas actualizaciones del software que utilicemos.

Y, por último, podemos encontrar fallos en las personas. Es el más común de los problemas. Este factor ha sido, sin duda, uno de los que mayores y mejores chistes ha dado a la informática. Muestra de ello, son los siguientes:

El problema está entre su ordenador y la silla.
Problema en el usuario. Cambie de usuario y pulse continuar.

Pero sin duda, me quedo con la siguiente cita:

Hoy en día la programación es una carrera entre los ingenieros de software, afanándose por construir mejores y más grandes programas a prueba de idiotas, y el Universo, intentando producir mejores y más grandes idiotas. Hasta ahora, el Universo va ganando…

Rick Cook

Seminario de Seguridad en Aplicaciones Web

Durante la pasada semana impartí un curso de 10 horas sobre Seguridad en Aplicaciones Web.

Este es el temario que impartí:

  • Introducción a la Seguridad
  • Secure Development LifeCycle.
  • Modelado de amenazas.
  • Ataques habituales (OWASP)
    • Inyecciones
      • SQL Injection
      • Blind SQL Injection
      • XPath Injection
      • Command Injection
      • LDAP Injection
    • Cross Site Scripting
    • Cross Site Request Forgery
    • Path Traversal
    • File Upload
  • Google Hacking: GDBH
  • Herramientas para la auditoría de un sitio web
    • Firefox como herramienta de auditoría
  • Introducción a la criptografía.
    • SSL
  • Seguridad en el servidor
    • Autenticación Básica en Apache
    • SSL en IIS
    • SSL en Apache

Hakker

Hakker

Marzo: Mes de los fallos en PHP

Promete traer cola… Mensaje de Una Al Día, Hispasec:

SecurityFocus publica una entrevista con Stefan Esser, fundador del proyecto Hardened-PHP e impulsor del PHP Security Response Team, que ha abandonado recientemente. Durante años ha contribuido al desarrollo de PHP y considera que el núcleo de programadores de este lenguaje no está concienciado con respecto a la seguridad. Por ello ha decidido crear el mes de los fallos en PHP.

Stefan Esser es un profundo conocedor del código fuente PHP y un investigador muy concienciado con la seguridad. Aunque desarrollaba el núcleo de PHP desde 2001, en 2004 fundó The Hardened-PHP Project, un proyecto destinado a tratar de forma responsable la gran cantidad de fallos de seguridad que estaba encontrando en el código PHP. Esser se quejaba del modelo de desarrollo del proyecto, donde se incluían nuevas funcionalidades sin tener en cuenta el impacto en la seguridad. Terminó por dejar de confiar en el producto que él mismo desarrollaba, cuestionó el trabajo del resto de desarrolladores, fue duramente criticado por la revelación pública de problemas de seguridad y finalmente, sin apoyo y ante la pasividad de sus compañeros, abandonó su puesto.

Esser opina que el código de PHP ha crecido demasiado rápido, que existen problemas de regresiones y que el PHP Security Response Team mira hacia otro lado. Afirma que este grupo fue capaz de confesar en público que no conocía problemas de seguridad en PHP cuando él mismo había reportado más de 20 errores sólo dos semanas antes. Es por este motivo que no piensa en que la revelación pública de estos fallos pueda considerarse “no ética”.

El mes de los fallos en PHP tiene como objetivo que los usuarios y especialmente los propios desarrolladores del código PHP tomen conciencia de que existen muchos fallos en el lenguaje. La fama de PHP en cuestión de seguridad es nefasta, principalmente por los “despistes” que comenten los programadores que lo utilizan como herramienta. Esser se centrará en errores específicos de PHP, no en los problemas comúnmente asociados con las aplicaciones construidas con este lenguaje (como pueden ser los fallos de inyección SQL o Cross Site Scripting) que pueden ser achacados a la gran masa de usuarios de PHP más que al lenguaje.

Aunque esta fama no es “justa” según Esser, sí que existen problemas asociados con el propio lenguaje que son completa responsabilidad de sus creadores. Algunos fallos han estado ahí durante años y si no es de esta forma, nunca saldrán a la luz ni se preocuparán por solucionarlos. Esser dice conocer muchos más de 31 errores, por lo que es probable que publique más de un problema de seguridad al día.

Esta iniciativa se antoja especialmente preocupante. A diferencia de las anteriores, se centra en un sólo producto, las aplicaciones suelen estar expuestas por web y en el supuesto de que los fallos descubiertos sean “sólo” aprovechables en local, esto también podría poner en peligro a servidores de hosting compartidos que se basan en este lenguaje. PHP es uno de los lenguajes más populares en servidores web de Internet y el número de aplicaciones expuestas, tanto en local como públicamente, programadas con él es literalmente inabarcable. Según la propia php.net, 20 millones de dominios, y 1.3 millones de direcciones IP lo usan, lo que supone, según nexen.net, un 34% de páginas web. Un toque de atención que sin duda causará un gran revuelo y mantendrá ocupados a millones de administradores durante el mes de marzo.