¿Qué es Cyberpunk?

octubre 17, 2013 § Deja un comentario

Aunque el lector pertenezca a una generación que desconozca casi todo sobre la subcultura hacker, a buen seguro tendrá referencias certeras del Cyberpunk, un subgénero de la ciencia ficción al que pertenecen clásicos como Blade Runner, y que ha dado lugar a libros, películas, videojuegos, tendencias pop e incluso modas en el vestir.

¿Y qué es el cyberpunk? La misma palabra lo dice: cibernética y punk, o lo que viene a ser lo mismo, alta tecnología y redes informáticas en una sociedad que se viene abajo y profiere gritos de rebeldía.

Con una banda sonora de música industrial, techno, neurofunk, o futurepop –por citar corrientes musicales de inspiración similar–, este movimiento surge en las invenciones de novelistas como William Gibson, Lewis Shiner, Dan Simmons, Bruce Sterling, Pat Cadigan, Rudy Rucker y John Shirley.

En esas obras, asistimos a tenebrosos argumentos en los que hackers y artificios de inteligencia artificial (seres cibernéticos, replicantes, o como quiera usted llamarlos) tratan de abrirse camino en un futuro dominado por grandes corporaciones.

Con ingredientes tomados de la novela negra, del underground y de la ciencia-ficción distópica –esa que suele acabar mal–, los narradores del cyberpunk entran y salen de la realidad virtual con una pasmosa facilidad.

Aunque basta leer una obra como Neuromante (Neuromancer, 1984), de William Gibson, para apreciar el alcance de este subgénero, vale la pena conocer sus orígenes.

Contenido completo en fuente original The Cult – Guzmán Urrero Peña

Anuncios

Qué es una base de datos NoSQL

septiembre 19, 2013 § 2 comentarios

Por William Díaz Sepúlveda

Resumen: Las bases de datos NOSQL aparecieron como una necesidad para el manejo de información voluminosa y distribuida en los grandes sitios web pero serán soluciones para las grandes empresas y las medianas empresas? solucionan los problemas que las bases de datos Relacionales solucionan?. Que tipo de problemas solucionan? Este artículo presenta este modelo y sus actuales logros y resultados.

Las bases de datos (BD) tradicionales son las relacionales que usan un lenguaje Estándar para su manipulación y gestión , el SQL que nace en 1974 basado en Modelo de EF COD. SQL tiene más de 37 años de vida. Son ejemplos de bases de datos relacionales: ORACLE, MYSQL, SQL Server, POTGRESS, DB2, etc..Su éxito se basó en que son una solución para los problemas de gestión y estructuración de la información de las organizaciones, con un fundamento matemático muy fuerte, lenguaje estandarizado (aceptado y adoptado) para su gestión (SQL) , con metodologías estructuradas formales para el diseño de los sistemas de información de las organizaciones y con principios de diseño como la regla ACID (atómica consistente aislada y Durable) . estas plataformas tienen muchas herramientas desarrolladas.

Las bases de datos NOSQL son un conjunto de bases de datos que no se ajustan al modelo de bases de datos relacionales y sus características, estas no tienen esquemas , no usan SQL ni permiten joins, no garantizan la propiedad ACID, escalan horizontalmente, hacen uso amplio de la memoria principal del computador, resuelven el problema de los altos volúmenes de información y la inmensa cantidad de consultas y transacciones diarias, en resumen no son relacionales.

Pero ¿en qué consisten? ¿Por  qué surgieron? ¿cuál es la mejor solución para un problema determinado? ¿para qué tipo de problemas se debe considerar las alternativas NoSQL? ¿Se debería usar una Solución NoSQL para un problema que tradicionalmente se ha resuelto con bases de datos relacionales? ¿Qué se debe tener en cuenta? ¿Reemplazarán las bases de datos relacionales?

A continuación se muestra cómo instalar MongoDB, una de las bases de datos NoSQL más reconocidas sería la siguiente:

$ sudo pecl install mongo
$ sudo apt-get install pecl
$ sudo apt-get install php5-dev php5-cli php-pear
$ pecl install mongo
 

$ nano /etc/php5/apache2/php.ini
  - extension=mongo.so

Una aplicación en PHP sobre MongoDB, sería la siguiente:

//Conecta Mongo
$m = new MongoClient();

//Selecciona la DB [comedy]
$db = $m->comedy;

//Selecciona una Coleccion [cartoons]
$collection = $db->cartoons;

//Agrega un registro
$document = array( "title" => "Calvin and Hobbes", "author" => "Bill Watterson" );
$collection->insert( $document );

//Agrega otro registro con formato distinto
$document = array( "title" => "XKCD", "online" => true );
$collection->insert( $document );

//Busca todas las colecciones
$cursor = $collection->find( );

//Busca una coleccion especifica [XKCD]
$query = array( 'title' => 'XKCD' );
$cursor = $collection->find( $query );

//Escribe cada uno de los titulos encontrados
foreach ( $cursor as $document ) {

    echo $document["title"] . " - ";
}

?>

Este trabajo pretende dar algunas respuestas a estas inquietudes que genera la tecnología de bases de datos NOSQL que vienen en vertiginoso desarrollo , especialmente desde el 2009.

Contenido completo en fuente original el Blog de William Díaz Sepúlveda y en el Blog de Manuel Pereira Gonzalez

¿Qué es un Tablero de Control o Cuadro de Mando?

agosto 5, 2013 § Deja un comentario

¿Qué es un “cuadro de mando”?

La metodología Balanced Scorecard, una consecuencia de la medición previa y metodologías de gestión como laGestión de la Calidad Total (TQM), existen desde hace décadas, pero se formalizó en la década de 1990 por Robert Kaplan y David Norton.

Kaplan y Norton no sólo le dio un nombre formal, sino también poner estructura en torno a la forma como las organizaciones pueden medir qué tan bien están funcionando y cómo predecir el rendimiento futuro. Básicamente, es una forma de asignar y convertir la información empresarial complejo en algo que es comprensible para todos. La metodología comienza con los objetivos definidos por la organización, seguido por las medidas del cuadro de mandos. Estos suelen incluir tanto los objetivos corporativos y los objetivos de unidad de negocio, que luego se perfeccionó en las medidas individuales y metas. Es un enfoque muy flexible, diseñado para adaptarse a las necesidades de cualquier organización. Y prácticamente cualquier cosa puede ser medido.

¿Cuáles son los beneficios de implementar un cuadro de mando integral?

Los principales beneficios incluyen una estructura mayor y objetivos compartidos, los cuales a menudo conducen a una mayor rentabilidad financiera. Permite a las organizaciones a ser más funcional y activada. Para los programas específicos, un cuadro de mando integral puede elevar el perfil de los proyectos clave, que puede ayudar con el financiamiento y apoyo interno. También es posible usar el mapa estratégico que un cuadro de mando integral crea para ayudar a los programas de guía hacia el éxito. Y está poniendo de moda.

¿Cómo se diferencia de otras metodologías, como Six Sigma, basado en el costo-actividad y la gobernanza de TI?

Costeo basado en actividades fue un precursor de cuadro de mando integral, sino que evaluó los costos, las recompensas y los beneficios de las actividades específicas. El concepto de cuadro de mando integral se basa en esta idea. Six Sigma es un producto de la tarjeta de puntuación equilibrada, imponente estructura aún mayor. El cuadro de mando es a menudo parte del proceso de gobernanza de TI y se utiliza generalmente como una medida del rendimiento para ayudar a determinar cuánto se gasta y dónde se está contribuyendo en la consecución de los objetivos empresariales.

¿Cada organización necesita un cuadro de mando integral de algún tipo?

La mayoría, pero no todas, las organizaciones pueden beneficiarse de un cuadro de mando integral enfoque, tanto públicas como privadas. En general, cuanto más grande y más compleja sea la organización, más se va a beneficiar. Las empresas que están fuertemente reguladas también se benefician, así como empresas en crisis. Ambos tipos de organizaciones pueden utilizar el enfoque estructurado para la información más detallada a los que supervisan ellos. La cantidad de estructura ya en su lugar es otro factor. Dependiendo de qué tipo de equipos estén en existencia, cómo toman decisiones y los mecanismos en marcha para medir el desempeño individual, que puede o no beneficiar. Las organizaciones pequeñas a veces funciona bien sin ellos, su cultura empresarial puede ser suficiente para sostenerlos. Un ejemplo es The Home Depot, una empresa pequeña, tenía pocas medidas en vigor hasta que el Director General actual subió a bordo. Durante sus primeros años, era importante para Home Depot permanecer líquido, pero a medida que crecía, necesitaba más estructura, que el director general proporcionada.

¿Quién es el mejor dentro de la organización?

En general, el decreto viene de arriba-el director general, quien, con su equipo, desarrolla objetivos de máximo nivel corporativo para el cuadro de mando integral. El director general nombra a continuación o bien el CIO o el oficial jefe del conocimiento (OJC) como punta de lanza no sólo los objetivos de la empresa y las mediciones sino también del departamento y los objetivos individuales y medidas.

¿Cómo puede determinar sus medidas de cuadro de mando?

Comience en la parte superior, y definir tanto los objetivos corporativos y los objetivos de unidad de negocio, aconseja Louis Carter, director general de Best Practice Institute en North Palm Beach, Florida, por ejemplo, un objetivo puede ser el doble del valor de la empresa en siete años, que es necesario definir ese valor.

¿Cómo es el cuadro de mando integral aplicado?

Según el Instituto de Balanced Scorecard, consta de varios pasos:
1. Evaluar la estructura organizativa de la empresa
2. Identificar los temas estratégicos
3. Definir perspectivas y objetivos estratégicos
4. Elaborar un mapa de estrategia
5. Derivar las métricas de rendimiento
6. Las embarcaciones y dar prioridad a las iniciativas estratégicas
7. Automatizar y comunicar
8. Cascada del cuadro de mando integral en toda la organización
9. Recopilar datos, evaluar y revisar

¿Existen herramientas de software que pueden ayudar?

El problema de estas herramientas es que cada organización es única, al igual que las necesidades de cada organización y sus objetivos. Es difícil para cualquier herramienta de software para que sea capaz de tomar todo eso en cuenta, y comprometerse con una herramienta significa que usted tiene que comprar en un enfoque estructurado que puede o no puede trabajar para su empresa. Dicho esto, hay literalmente más de un centenar de estas herramientas, todos los que pretenden ayudar a desarrollar cuadros de mando. Pueden ser útiles en algunos casos, con algunas limitaciones. Y algunos son más adaptables que otros: Asegúrese de determinar la forma en que son personalizables. Cuanto más, mejor. La apertura, la colaboración y la comprensión de sus empleados y las empresas son fundamentales para la funcionalidad del producto. Trate de encontrar una herramienta que es personalizable y se adapta bien a la estructura de su empresa y sus empleados cómo pensar. Pero antes de usar cualquier herramienta, asegúrese de que tiene todos sus patos en una fila: Capacítese en el cuadro de mando integral, y determinar lo que se quiere medir y cuáles son sus objetivos.

¿Qué pasa si usted elige utilizar un software comercial?

Eso es ciertamente una opción. Para las empresas pequeñas-aquellas bajo el Fortune 500, de todos modos, hay muchos recursos gratuitos que pueden ser muy fructífera. Usando wikis, por ejemplo, puede ser una buena manera de empezar. Otra opción es aprender XML o ACML y poner todo el esfuerzo en una intranet corporativa. Hay tantas maneras de estructurar cuadros de mando, ya que hay cosas a medida. De cualquier manera, sin embargo, las organizaciones últimas vías están estructurando cuadros de mando es a través de cuadros de mando. Este método de ver las métricas cuadro de mando integral permite a los líderes a identificar rápidamente los problemas y ver los indicadores clave de rendimiento asociados a los procesos de negocio.

¿Cuáles son los desafíos al implementar un cuadro de mando integral?

Los cambios corporativos y la cultura, con el cambio puede venir miedo, sobre todo si está vinculado a normas de funcionamiento. Mucho de esto puede ser disminuido si usted es honesto con las partes interesadas y los empleados.
También puede ser un proceso que consume tiempo, teniendo un máximo de un año para implementar plenamente, aunque la estimación original de Kaplan y Norton indicó un tiempo de 26 meses para poner en práctica todo, hasta el nivel de los empleados individuales. También requiere pleno apoyo de alto nivel durante un largo período de tiempo, durante el cual otras prioridades y urgencias casi seguro que tendrá un lugar central, por lo menos temporalmente. Y ciertamente no es barato. Dependiendo del alcance del proyecto, que puede costar desde miles a cientos de miles de dólares. Los costos incluyen los miembros del equipo y el tiempo invertido, el costo facilitador, los costos de licencias de software, gastos de instalación y pruebas, y mantenimiento anual y costos de actualización.

¿Cómo se puede determinar el ROI?

Eso es fácil. Usted justificar el coste en virtud de la propia medición y los resultados que ofrece. Ese es el ROI.

¿Se puede meter un dedo del pie en el agua, o se trata de una cuestión de todo o nada?

Es una buena idea comenzar lentamente. Inicio simple, centrándose en sólo tres indicadores, y poner unos cuantos empleados a cargo que son campeones del esfuerzo. ¿Es un programa piloto con esos parámetros, y expandir desde allí. Además, no saltar en software caro, prueba el enfoque de cultivo de tus propios primero.

¿Es esto algo que una empresa puede hacer internamente, o es aconsejable ayuda externa?

 Es ciertamente posible hacerlo internamente si tiene suficiente compromiso ejecutivo, si sus líderes cuadro de mando integral están motivados para aprender y conducir, y si usted tiene el ancho de banda interno para hacerlo bien. Todo depende de cuánto tiempo usted tiene, cuánto puede gastar, cuánto tiempo usted puede permitirse el lujo de tener a sus empleados, y cuánto tienen experiencia interna y su deseo de aprender. A veces tiene sentido utilizar un consultor externo, como cuando su esfuerzo o empresa necesita un salto de inicio, cuando no se tiene la experiencia interna o personal, o cuando el cambio cultural es demasiado difícil de manejar sin un afuera influir.

Incluso con las herramientas, los consultores y los libros, esta es una tarea enorme. ¿Existen pautas generales disponibles?

Hay varios independientes, agnósticos tecnología organizaciones con resmas de buen material. Ellos incluyen:

Utilizando una metodología de Balanced Scorecard es una forma tan buena como cualquier otra-y mejor que muchos-para evaluar y controlar los procesos y avances, y hay un montón de recursos, muchos de ellos gratuitos, a su disposición. No tiene sentido de no darle una oportunidad, después de todo, usted no tiene que mucho que perder, y tienes mucho que ganar.

Fuente: IDG – Karen D. SchwartzCXO Community

¿Qué es Puerto Seguro (legislación)?

junio 27, 2013 § Deja un comentario

Directiva de la Comisión Europea sobre la protección de datos entró en vigor en octubre de 1998, y prohibe la transferencia de datos personales a países no comunitarios que no cumplan con la norma “idoneidad” para la protección de la privacidad de la Unión Europea (UE). Mientras que Estados Unidos y la Unión Europea comparten el objetivo de mejorar la protección de la privacidad de sus ciudadanos, los Estados Unidos adoptan un enfoque diferente al de los utilizados por la UE.

Para salvar estas diferencias de enfoque, el Departamento de Comercio de EE.UU. elaboró ​​un marco de “puerto seguro” y este sitio web para proporcionar la información sobre si una cumple con la normativa.

El sitio web proporciona la información que una organización tendría que evaluar para unirsesl programa Safe Harbor de Estados Unidos y Suiza.

Esta política se aplica a toda la información personal recibida por las organizaciones de Estados Unidos desde países miembros de la UE, en cualquier formato, incluidos formato electrónico, escrito u oral. Se prohíbe a las empresas europeas la transferencia de datos personales a jurisdicciones extranjeras con leyes de privacidad más débiles y se crean excepciones en las que los beneficiarios extranjeros han acordado voluntariamente cumplir con las normas de la UE.

El Acuerdo de “Puerto Seguro” (Wikipedia) consta de siete principios básicos, referidos a la notificación (información a los afectados), opción (posibilidad de oposición de los afectados), transferencia ulterior a terceras empresas, seguridad, integridad de los datos (principios de finalidad y proporcionalidad), derecho de acceso y aplicación (procedimientos para la satisfacción de los derechos de los afectados).

Aviso
La organización informará a las personas el motivo por el cual recoge y utiliza cualquier información personal. Además, si corresponde, divulgaremos si las personas eligen limitar el uso y divulgación de su información personal.

Elección
La organización le proporcionará a todas las personas la posibilidad de elegir (no aceptar) si permiten que su información personal se divulgue a terceros o se utilice con fines diferentes de los fines para los cuales se recogió o se autorizó originalmente. En el caso de la información personal confidencial, la persona tiene la posibilidad de dar su consentimiento explícito (aceptar) para que dicha información se divulgue a un tercero o se emplee en un uso diferente del uso para el cual se recogió o del que la persona autorizó originalmente.

Acceso y actualización de la información
El usuario puede revisar, actualizar o eliminar su información personal.

Transmisión (a terceros)
La organización puede transmitir información a terceros que actúen como agentes de la organización, por ejemplo consultores externos. Esta transmisión de información sólo ocurrirá si el tercero garantiza que protegerá la información conforme a lo establecido por esta política.

Seguridad
La organización toma las precauciones razonables para proteger la información personal contra pérdidas, uso indebido, acceso no autorizado, divulgación, alteración y destrucción. Estas precauciones pueden incluir protecciones con contraseña para sistemas de información en línea y otros procedimientos de acceso restringido similares.

Integridad de la información
La organización toma las medidas razonables para asegurar que la información personal sea pertinente para el uso que se le pretende dar y que sea exacta, completa y actual.

Resolución de conflictos
Cualquier pregunta o duda referente al uso o divulgación de información personal debe remitirse a Automated Packaging Systems a la dirección que aparece a continuación. Las personas también pueden ponerse en contacto directamente con las autoridades locales de protección de datos de la Unión Europea. Investigaremos e intentaremos resolver los reclamos y disputas referentes al uso y divulgación de información personal de conformidad con los principios de esta política. Para los reclamos que no se puedan resolver entre la organización y el reclamante, se debe acordar procedimientos de resolución de disputas del jurado que las autoridades europeas de protección de datos determinen le corresponde resolver las disputas conforme a los Principios de “Puerto Seguro”.

Cristian de la Redacción de Segu-Info

¿Qué es #PRISM?

junio 10, 2013 § 2 comentarios

PRISM es un programa del Gobierno estadounidense mediante el cual se obtienen datos de compañías como Google, Apple, Microsoft o Facebook. Todas ellas niegan su participación activa.

Esta revelación se hizo gracias a la filtración de una presentación de la Agencia de Seguridad Nacional (NSA) estadounidense, que fue publicada por The Guardian y The Washington Post.

En The Washington Post han publicado la noticia en la que hablan de un programa llamado PRISM. Éste no es ni más ni menos que un programa de recolección de datos por parte de la NSA. Este programa comenzó en 2007 y en la siguiente imagen podemos ver como las compañías más grandes del sector se han ido uniendo al mismo, empezando por Microsoft y terminando por Apple.

James Clapper, Director Nacional de Inteligencia, publicó dos comunicados en los que lamenta la publicación de un documento clasificado, pues supone una amenaza potencial y duradera para su capacidad “de identificar y responder a las muchas amenazas a las que se enfrenta nuestra nación”.

Durante el mandato de George W. Bush, cuando se aprobó la polémica Ley Proteger América (PAA). Esta ley tenía como objetivo, entre otras cosas, dar validez legal a la interceptación de comunicaciones extranjeras que pasaban por Estados Unidos, según apunta el Washington Post.

Nunca hemos tenido la imagen de que las oficinas del FBI y la NSA sean un remanso de paz, pero en pocas ocasiones se han tenido que ver en una situación como en la que se han visto envueltas al conocerse que el gobierno de los Estados Unidos opera una de las redes de espionaje electrónico más densas del mundo. El nombre de este programa es PRISM, y sus tentáculos se extienden a los servidores de compañías como Google, Apple, Microsoft, AOL, Facebook y Yahoo entre otras empresas, proporcionando a los espías acceso a mensajes, fotos, audio y vídeo de sus usuarios.

Las preguntas sobre la legalidad de PRISM y cómo funciona exactamente llenan por igual los periódicos y los foros de discusión de internet, de forma que James Clapper, Director de Inteligencia Nacional de los Estados Unidos, ha desclasificado la existencia del programa para aclarar “impresiones indebidas” e “imprecisiones”. Según Clapper, PRISM no es un “programa de recolección o minería de datos no divulgado”, sino una herramienta para monitorizar las comunicaciones de ciudadanos no estadounidenses a través de sus metadatos (es decir, la información sobre quién envía una comunicación, a quién va destinada y cuándo se produce, sin llegar a acceder al contenido). Igualmente, PRISM es un programa englobado dentro de la legislación estadounidense, de forma que técnicamente todas esas empresas que decían que sólo ofrecen acceso a los datos de sus usuarios si así lo exige la ley no estaban mintiendo.

Esta es la descripción de PRISM en palabras del Director de Inteligencia Nacional:

Es un sistema informático interno del gobierno usado para facilitar la recolección autorizada por el gobierno de información de inteligencia extranjera desde proveedores de servicios de comunicación electrónica bajo supervisión de un tribunal […] Esta autoridad fue creada por el Congreso y ha sido ampliamente conocida y discutida en público desde su creación en 2008.

Resumiendo, la Sección 720 facilita la adquisición dirigida de información de inteligencia extranjera relacionada con objetivos extranjeros situados fuera de los Estados Unidos bajo supervisión de un tribunal. Los proveedores de servicio suministran información al gobierno cuando así se les requiere legalmente.

 Por otro lado, aproximadamente al mismo tiempo que PRISM era desclasificado, el periódico británico The Guardian (que junto al Washington Post reveló la existencia del programa) ha vuelto a poner en aprietos a los servicios de inteligencia estadounidenses al hacer público el sistema de catalogación de datos recogidos por PRISM. Dado que el volumen de información recopilada es ingente, los analistas utilizan una herramienta llamada Boundless Informant (literalmente, “informante ilimitado”), un software que permite a la Agencia de Seguridad Nacional de los Estados Unidos navegar por los informes generados de forma organizada.

Según la información conseguida por The Guardian, Boundless Informant permite a los usuarios seleccionar un país en el mapa, ver el volumen de metadatos y seleccionar detalles sobre los registros en dicho estado. Su interfaz se muestra con claridad en una captura de pantalla, donde diferentes países aparecen clasificados por colores que reflejan el volumen de metadatos en cada uno de ellos. Sólo en EE.UU. hay más de 2.000 millones de metadatos recogidos, aunque este volumen palidece ante los 14.000 millones de reportes procedentes de Irán, los 13.500 millones de Paquistán o los 12.700 millones de Jordán.

Puedes ver una captura completa de Boundless Informan haciendo clic en el enlace de lectura a The Guardian:

  • Leer – Oficina del Director de Inteligencia Nacional
  • Leer – Datos de PRISM (PDF)
  • Leer – The Guardian

Si hay un tema de actualidad que ha marcado el final de la semana es, sin duda alguna, PRISM, el programa de vigilancia que la NSA mantendría en marcha para tener acceso a los datos que se alojan en servicios tan conocidos de la red como Google o Facebook. El hecho ha sido negado rotundamente desde el Gobierno de Estados Unidos (alegando que PRISM es otra cosa), sin embargo, The Washington Post y The Guardian (que han sido los que han sacado el caso a la luz) siguen publicando información y documentos filtrados que dibujan un proyecto en el que la Agencia de Seguridad Nacional habría estado espiando, incluso, a los ciudadanos de Estados Unidos.

Según podemos leer hoy en el Daily Mail (y también en el New York Times), parece que los grandes players de la red no habrían sido tan víctimas como, en un principio, habría parecido ya que desde este diario británico se apunta a que tanto Google como Facebook habrían colaborado conscientemente con estos accesos.

Conforme han ido pasando las horas, el diario The Guardian ha ido publicando algunos documentos que dibujan el programa PRISM de vigilancia a los usuarios de servicios de Internet como Google, Yahoo! o Facebook. Según el material publicado por este diario británico, la NSA habría estado realizando minería de datos de los servicios de empresas estadounidenses que operan en Internet como Yahoo!, Microsoft, Google, Facebook, Apple, YouTube, Skype, AOL y PalTalk; una especie de complemento a los programas de interceptación de las comunicaciones que la NSA desarrolla desde hace años.

Fuente: Engadget, Alt0140 (I) y Alt1040 (II)

¿Qué es DNS Snooping?

diciembre 4, 2010 § 2 comentarios

En el mundo habló de la famosa vulnerabilidad en DNS [1] y de Dan Kaminsky; los servidores de nombres tomaron protagonismo nuevamente en el escenario de las vulnerabilidades informáticas. Casualmente me encuentro por motivos laborales con otra “vulnerabilidad” en servidores DNS; que curiosamente también llegó en su momento a las noticias, de la mano de Dan Kaminsky. La misma, se llama DNS Snooping y en el presente artículo describiré sus aspectos principales: en qué consiste, cuál es el impacto que se puede sufrir, cómo conocer si se está infectado y algunas vías de solución disponibles.

La vulnerabilidad

DNS cache snooping es una técnica que permite conocer los nombres de dominio que ha resuelto un servidor DNS. Permite al atacante averiguar qué dominios están resueltos por el servidor y, consecuentemente, cuáles no.

El hecho de que un servidor DNS ofrezca esta vulnerabilidad, como se puede observar en la introducción, fue colocado entre comillas ya que representa lo que es considerado como el nivel más bajo de vulnerabilidades que puede sufrir un sistema informático. Un servidor DNS vulnerable está otorgando información sobre la red al atacante y dicha información puede ser utilizada para explotar eficientemente otras vulnerabilidades. La información obtenida por el atacante, explotando esta vulnerabilidad, se encuentra enmarcada en la fase de descubrimiento, si se consideran las etapas de un ataque informático. 

Más Información:

¿Qué es DNS Spoofing?

diciembre 3, 2010 § Deja un comentario

En la última reunión de la ICANN en Egipto, Kim Davies explicó a una audiencia no técnica porqué el Sistema DNS es vulnerable a los ataques (DNS Spoofing).

¿Cómo funciona el DNS (Domain Name System)?

El DNS es como un sistema de respuestas y preguntas. Cuando escribes una dirección en el navegador, por ejemplo www.domisfera.com, este preguntará a los servidores DNS cuál es la dirección IP. Obtendrá 82.194.79.198 como respuesta y entonces lanzará una petición HTTP esa dirección IP para obtener la página web correspondiente.

¿Cómo puedes atacar el DNS?

Un ataque consiste en suministrar una dirección IP distinta.  Cuando un ordenador al que quiero atacar pregunta por una dirección, el objetivo es proporcionarle una respuesta falsificada que reciba antes que la respuesta legítima. Si es lo suficientemente rápida, procesará antes mi respuesta que la del servidor oficial.

Este tipo de direcciones falsificadas se suele utilizar, por ejemplo, para enviar peticiones hacia una web réplica de un banco con la que obtener información sensible del usuario.

El DNS es mucho más eficiente cuando se utilizan servidores caché DNS. Estos servidores pueden estar ubicados en el ISP o en redes corporativas y resolver las peticiones realizadas por los clientes. Almacenan las respuestas, de modo que futuras peticiones se resuelven mucho más rápido.
Si se ejecuta un ataque contra este tipo de servidores, la respuesta falsificada permanecerá en la caché y su impacto será mayor. Y mucho más aún si la respuesta cacheada falsificada es redistribuida a otros servidores caché DNS. Por ese motivo este tipo de ataques se llaman “envenenamiento caché” (DNS Poisoning).

¿Es algo tan sencillo como enviar una respuesta más rápido?

En principio sí, pero es un poco más refinado. La respuesta debe tener una serie de parámetros que encajen con la petición DNS. Este tipo de parámetros son fácilmente deducibles, ya que el ordenador víctima del ataque es conocido y el dominio que está tratando de impersonar también.

Sin embargo hay dos parámetros que hay que adivinar. Uno es el servidor del cual procede la pregunta. Cada dominio tiene una media de dos o tres posibles servidores, con lo que la probabilidad de acertar es de 1/3.
El segundo parámetro es un número de referencia único (“transaction ID“). Este número puede variar entre 1 y 65.000.

A comienzos de año, el investigador en seguridad Dan Kaminsky averiguó que es tremendamente sencillo probar todas las posibilidades en un tiempo relativamente pequeño ejecutando el ataque de una cierta manera. Las pruebas del investigador británico John Dickinson demostraron que podía atacar un servidor en una media de sólo 1.3 segundos.

¿Esto se puede arreglar?

Lo triste es que no hay una solución real. No es un problema de seguridad de sofware que se pueda arreglar con un parche o una actualización. Es un error de la arquitectura del protocolo DNS. Si bien es cierto que hay parches para el software DNS, no solucionan el problema, lo  único que hacen es dificultar la ejecución de los ataques.

Algunas de las aproximaciones que hacen los ataques más difíciles son:

Hacer que el puerto fuente sea aleatorio: Uno de los atributos que un hacker necesita conocer es el puerto. Por razones arquitectónicas debe ser el 53. Así es cómo el servidor identifica que es una petición DNS, diferenciándola del resto de peticiones. Sin embargo el puerto al que se envía la respuesta no debe ser necesariamente el 53. Haciendo que sea aleatorio se dificulta el ataque. Muchas actualizaciones de sofware DNS de 2008 son relativas a este punto.

Bloquear el uso de los servidores caché DNS: Si estos servidores pueden ser usados por cualquiera en Internet, es fácil que cualquiera ejecute un ataque desde Internet. La idea es limitar el acceso de manera que se reduzca el riesgo (por ejemplo, sólo accesible a los clientes del ISP o los usuarios de la red local).
Experimentación con las mayúsculas/minúsculas de un dominio: En la práctica no se tiene en cuenta si un dominio está escrito en mayúsculas o minusculas. En un navegador es lo mismo DOMISFERA.COM que domisfera.com. Sin embargo, dentro del protocolo DNS, es posible diferenciarlos, porque las transmisiones codificadas entre ordenadores diferencian entre mayúsculas y minúsculas. Esta propiedad puede ser usada de manera aleatoria, de modo que si la pregunta sobre el dominio dOmIsfERA.cOM recibe una respuesta sobre el dominio domisfera.com, puede descartarla. Esta aproximación aún está en fase de discusión.

Todas estas soluciones se basan en reducir el riesgo aumentando en el número de bits aleatorios que el atacante debe averiguar. Lo hacen más difícil, pero aún sigue siendo viable. El continuo aumento de la velocidad de las redes y los ordenadores harán que los ataques sean más fáciles en un futuro.

¿Cuál es la solución a largo plazo?

Mientras el DNS no pueda ser corregido para evitar estos problemas de seguridad, existe un nuevos protocolo llamado DNSSEC que los corrige y que se basa en certificados que aseguran que la respuesta no ha sido modificada. DNSSEC es dificil de instalar. Requiere actualizaciones en los servidores DNS y cambia la manera en que los propietarios de los dominios gestionan sus DNS.

Fuente: Domisfera

¿Dónde estoy?

Actualmente estás explorando la categoría qué es en Seguridad Informática.