• es un pequeño blog
• son notas de 140 caracteres sobre lo que estás haciendo
• actualiza al minuto el estado en que te encuentras
• es un modo de mantenerte al tanto de lo que hacen tus colegas
• es fuente de noticias

De una forma muy sencilla se puede explicar como:

“Similar a una mensajería de texto— limitado a 140 caracteres — que se envía a todo el mundo que esté en tu lista de contactos. Se usa para comentar algo que estás haciendo o alguna noticia o algun link interesante.”

5 razones por las que usar Twitter

Aunque al principio no parece muy útil o interesante, a medida que se usa te vas enganchando y empieza a verse su utilidad, en lugar de llamar por telefono o mandar un mensaje.

1. Twitter ofrece un metodo rapido para difundir opiniones sobre algo que has visto.
2. Twiter te permite comunicarte y estar conectado con gente a la que quieres ver.
3. Twitter te permite estar al tanto de los pasos de tus colegas.
4. Twitter sirve como mensajería instantánea a todo un grupo.

Twitter para la gente de IT

El personal de IT puede usarlo para:

1. Publicar todo el material que no tiene lugar en un blog. Por ejemplo, links, noticias, eventos, … 
2. Mantener el contacto en línea con otros trabajadores y/o amigos 
3. Responder a los pensamientos y notas de los contactos.
4. Crear una verdadera comunidad de gente interesada en una determinada materia.

Aparte de estos usos Twitter es una herramienta online construida sobre RubyOnRails, que se ha enfrentado a problemas de escala que le ha dejado sin servicio en diversas ocasiones. Se ha escrito bastante al respecto: Twitter At Scale: Will It Work? (de TechCrunch) o en el propio blog de Twitter.

Más información sobre Twitter:

• The secret to Twitter (Scobleizer)
• The several habits of wildly successful Twitter users (Slacker Manager)
• Perspective on Twitter and its brethren (CNET)
• In Twitter’s Scoble problem, a business model (GigaOm)
• Twitter, again (ZDNet)
• 8 cool Twitter tools (Wired)
• Five Twitter tools we love (GigaOm)
• Twitter Valued at $80 Million (WebGuild)
• The three business models that make Twitter a billion-dollar business (Calacanis.com)
• End Of Speculation: The Real Twitter Usage Numbers (TechCrunch)

Compártelo

Al parecer, el común de los mortales cuando ve dicho candadito (que refleja una conexión SSL con el sitio web) considera que el sitio web ya es seguro. Pues bien, los phishers está incluyendo el candadito para que confiemos. Así que cuidado a los navegantes. No vale con ver el candado, hay que comprobar su contenido.

¿Que es y para qué sirve el SSL?

SSL (Secure Sockets Layer) o su equivalente normalizado TSL, es un protocolo que ofrece conexiones seguras. De manera que combinado con HTTP, supone que se navegue bajo el protocolo HTTPS.

Pero ¿por qué es un “canal seguro”? SSL cumple dos funciones fundamentales: cifra el canal y autentica a las partes de la comunicación. De modo que al cifrar, nadie más tiene acceso al contenido que circula y al autenticar al servidor nos dice que ese servidor es quien dice ser. ( para esto ultimo se apoya en la criptografía de clave pública, que garantiza que el servidor al que nos conectamos tiene la clave privada que corresponde con la pública que dice tener).

Para la parte de autenticación, los servidores con SSL activo ofrecen al navegador un certificado para que lo compruebe, que es como una especie de DNI. En él, una autoridad (Verisign, Godaddy….) certifica con su firma que la clave pública realmente pertenece al sitio. Para conseguir un certificado, el dueño del servidor ha generado dos claves, y la pública la ha enviado a estas autoridades certificadoras para que la firmen, junto con otras pruebas de identidad como pueden ser documentos de empresa u otros, dependiendo del criterio del certificador (y de lo que se quiera pagar). Cuando un usuario se conecta a la página, de forma transparente el navegador comprueba que el certificado es correcto. Siguiendo con la analogía del DNI, sólo el Estado (las autoridades certificadoras) puede certificar (firmar critográficamente) que la fotografía y los datos (la clave pública) pertenecen a una persona (servidor web de esa empresa).

¿SSL es efectivo contra el phishing?

Idealmente, autenticar al servidor es la solución contra el phishing, pero no es así. El usuario medio a veces comprueba que hay un candadito, o una conexión HTTPS al visitar una web. Con esta mínima comprobación, comprende que está sobre un sitio seguro (se le ha repetido hasta la saciedad) y confía en la página en la que va a introducir sus datos. Muy pocos confirman que el certificado es válido. Para ello habría que hacer doble click sobre el candado y comprobar la ruta de certificación, que debe culminar en una autoridad certificadora que ha firmado el certificado. Pero, hoy en día, incluso si el certificado es válido, es posible que no se esté sobre la página que se desea. Para evitar esto, el usuario debería interpretar además qué información está ofreciendo esa cadena de certificación y a qué datos está asociado. El conjunto de usuarios que llega a este punto es mínimo.

Lo que los phishers están haciendo cada vez con más frecuencia, es comprar certificados que sólo certifican que el dominio pertenece a quien lo compró. La autoridad certificadora no pide más documentos ni pruebas, sólo que el dominio te pertenece. Los hay por 20 euros. Empresas como Godaddy certifican que el dominio te pertenece, y con ello el navegador aparecerá con el candadito y bajo el protocolo HTTPS. Efectivamente, la información irá sobre un canal seguro, y el servidor será el del auténtico phisher, que ha podido comprar un dominio con un nombre parecido al legítimo, o añadir en la URL dominios de tercer nivel para confundir.

El SSL se ha convertido en algo tan popular y accesible que ya no es exclusivo de los sitios seguros, y lo que con tanto esfuerzo se ha conseguido inculcar en el subconsciente del usuario: “si tiene candadito, es seguro”, se ha vuelto en contra. Por tanto, los phishings bajo conexión segura siguen aumentando con éxito.

Extended Validation Certificates al rescate

Los nuevos EVCerts, Extended Validation Certificates, han venido al rescate, supliendo las deficiencias de los certificados baratos y comunes. Para empezar certificarse es bastante más caro. Esto resulta en una primera criba que puede resultar incómoda para empresas pequeñas. Técnicamente los certificados que cumplan el Extended Validation SSL autentican al servidor (como los certificados tradicionales), pero a efectos prácticos permiten que el navegador que visita la página que tiene estos certificados, muestre de forma mucho más clara que la página es efectivamente la que se quiere visitar, haciendo hincapié en la vertiente de autenticación del SSL. Sería como si el navegador hiciera por nosotros la operación de pulsar sobre el candado cuando nos conectamos por SSL a una página, y verificara la ruta de certificación, el domino válido… todo de forma automática y visual. Si el servidor es seguro, se muestra en la barra de direcciones un color verde. Un usuario puede así de un solo vistazo dar por seguro que el servidor al que se está conectando es el correcto, y que no se está usando un certificado válido, pero falso.

Por ahora, sólo Internet Explorer 7 soporta de serie la correcta interpretación de certificados EV SSL (para que funcione la comprobación de estos certificados, debe estar activada la tecnología antiphishing, van de la mano y hay que usarlas juntas). Para que Firefox 2 lo soporte necesita un plugin y Opera ya lo implementa en su versión 9.50.

Cómo saltarse una conexión segura.

Las técnicas que usan los troyanos más difundidos hoy día, pueden invalidar la recomendación de la comprobación de la conexión segura. De hecho, los troyanos permiten la conexión a la página real del banco, pero pueden estar robando la información entre bambalinas gracias a diferentes técnicas.

• Delephant

Consiste en la recreación de la zona de introducción de contraseñas en una página de banca online. El troyano superpone una pequeña aplicación en la zona  el navegador que pide las contraseñas, ajustando colores y estilo de la página en general. De esta forma el usuario no observa en principio diferencia alguna entre la página original (que está visitando y mantiene  abierta) y el programa superpuesto que encaja perfectamente en la área de las contraseñas. Además, el código está adaptado para que, en caso de que la página sea movida o redimensionada, el programa realice cálculos de su posición y se ajuste perfectamente al lugar asignado. La víctima está en realidad introduciendo las contraseñas en una aplicación independiente, superpuesta sobre la página del banco, que obviamente al ser la legítima, pasa cualquier inspección de conexión segura.

• Captura de imágenes y vídeos

Ante la llegada de los teclados virtuales en la banca online como método para evitar los registradores de teclas, el malware se adaptó con estos métodos de captura de credenciales. Consiste en la  activación de un sistema de captura en forma de imágenes, de un sector de pantalla alrededor del puntero de ratón cuando éste pulsa sobre un teclado virtual. Con este método se consigue eludir el teclado virtual, pues el atacante obtiene imágenes de cada tecla del teclado virtual pulsada, en forma de miniatura o captura de pantalla. Una vez más, la conexión segura no impide el robo de información.

• Formgrabbers

Consiste básicamente en la obtención de los datos introducidos en un formulario, y puede ser llevada a cabo a través de varios métodos, como Browser Helper Objects, interfaces COM o enganchándose (hooking) a APIs del sistema. Con estos métodos el usuario se conecta a la página legítima, donde lógicamente aparecerá el candadito y la conexión será cifrada y perfectamente normal. El troyano sin embargo inspeccionará el flujo de datos y desviará a otro servidor los que correspondan con las contraseñas que les interese.

Existen otras muchas técnicas de robo de información basadas en troyanos. Los usuarios deben ser conscientes de que la seguridad SSL, el candado y la autenticación del servidor son condiciones imprescindibles a la hora de utilizar la banca online, y que deben ser comprobadas en cada ocasión. Pero también deben tener claro que esto no garantiza que, si el sistema está troyanizado, los datos no sean capturados.

Fuente: Hispasec.com

Compártelo

A día de hoy las cosas son mucho más sencillas y es normal (al menos en mi caso) que alguien te comente que se ha instalado Ubuntu (debe ir por modas, hace años era Redhat, luego Suse…). Después de los años, sigue siendo común instalar Linux en un ordenador que ya tiene Windows. Después de este paso, siempre surge una duda:

¿Por qué puedo ver mis archivos de Windows desde Linux y desde Windows no puedo ver los archivos de Linux?

La respuesta es muy sencilla, Microsoft Windows no tiene soporte para particiones ext2 y ext3, que son los formatos estándar utilizados por Linux para almacenar la información en un disco duro.

Solución

John Newbigin es el creador de Explore2fs, una aplicación para Windows que nos permite explorar unidades ext2 y ext3 de Linux (ext3 sólo en formato lectura).

Sería perfecta si se integrará con el explorador de Windows, pero no es el caso. La parte buena es que no necesita ningún tipo de instalación, sólo es necesario descargar el fichero .zip con el binario y ejecutar la aplicación.

Por último, me llama la atención que la aplicación está programada en Delphi, simplemente a mi me trae viejos recuerdos.

Compártelo

Con ello se pretende desarrollar un sello de calidad que impulse el sector del comercio electrónico, a través del fomento de la confianza de los consumidores en este medio para realizar sus compras.

El código recoge medidas tanto en comunicaciones comerciales como comercio electrónico con consumidores, sin olvidar la necesaria atención que merece la protección de datos personales en el desarrollo de ambas actividades.

En la propia web se recoge las empresas que se adhieren a este código.

Recientemente se han aprobado los nuevos Estatutos, la nueva estructura y se ha acordado la cúpula directiva. La nueva Asociación la componen, además de Autocontrol, AECEM y Red.es (Ministerio de Industria), los Consejos Audiovisuales de Cataluña, Andalucía, Navarra y Andorra. La Presidencia ha sido asumida por Gonzalo Díe (Red.es), y las Vicepresidencias por Martí Manent (AECEM), Santiago Ramentol (Consejo Audiovisual de Cataluña) y José Domingo Gómez Castallo (Autocontrol).

Enlaces:

Código ético

Compártelo

Desconozco el motivo/causa de los errores de Microsoft Office 2003, entre ellos, hay algunos cuya solución es sencilla y sin embargo puede traernos verdaderos dolores de cabeza. Por ejemplo, el siguiente error con el fichero SKU011.CAB:

Síntomas:

1. No podemos abrir Excel,
2. Al abrir Excel se lanza la instalación de nuevos componentes.
3. Muestra un mensaje de error: Falta el fichero SKU011.CAB.
4. Intentamos introducir el CD de instalación, pero tampoco encuentra el dichoso fichero.

Solución:

1. Inicio -> Ejecutar: regedit
2. Nos abre el editor del registro de Windows (mucho cuidado con lo que cambiáis aquí)
3. Desplegar el árbol de keys siguiente
   • [HKEY_LOCAL_MACHINE] -> [SOFTWARE] -> [Microsoft] -> [Office] -> [11.0] -> [Delivery] -> {90000409-6000-11D3-8CFE-0150048383C9}
   • Nota: El valor {90000409-6000-11D3-8CFE-0150048383C9} puede ser diferente.
4. Cambiar el valor de [CDCache] a [0].

Fácil y sencillo, ahora ya debería funcionar

Encontré la solución en el blog de Technology-M. Un blog realmente lleno de soluciones a pequeños problemas.

Compártelo

Via: Eleconomista

Compártelo

Son muchos departamentos de sistemas de información plantean serios problemas a la externalización de servicios de IT. Ciertamente hay muchos factores a tener en cuenta, cómo vimos hace unas semanas, pero realmente… ¿debemos tener el correo electrónico dentro de nuestra empresa (in-house)?.

Sin lugar a dudas, no es una decisión sencilla, depende mucho del tipo de departamento de sistemas, el equipo que tengamos, las inversiones realizadas, el número de usuarios, los servicios que tengamos que dar, el número de oficinas que tengamos…

Miremos al mercado

Antes de decidir si externalizamos el correo, miremos al mercado y veamos que servicios tenemos a día de hoy para modalidad de pago por usuario. Básicamente podemos agruparlos en cuatro tipos:

1. Servidor Exchange integrado con AD: Servidor MS Exchange integrado con nuestro directorio activo (AD Active Directory). Es muy caro porque requiere que tengamos máquinas dedicadas en el proveedor, realmente es casi un housing de nuestras máquinas. Poco recomendable salvo para empresas con miles de cuentas, el precio por cuenta en una solución seria (máquinas en cluster) suele estar por entre 20€-30€/mes. Además hay que pagar líneas de comunicaciones. Las penalizaciones por cancelación del contrato son muy altas.
2. Servidor Exchange sin AD: Servidor MS Exchange sin integración con nuestro directorio activo. El principal problema es que tendremos que hacer un doble mantenimiento y nuestros usuarios no tendrán single sign-on. Los precios por cuenta están entre 10€-20€/mes, puede que sea necesario también pagar un extra en líneas de comunicaciones. Tiene todas las ventajas de un servidor MS Exchange.
3. Google Apps: Servidores propios y tecnología propia, todavía con algunos problemas, pero avanzando a un ritmo de vértigo (hablaré de Google en mi próximo post). Lo mejor es el precio por cuenta (4€-5€/mes), no tiene sincronización de contactos. Puede permitir sincronización con AD mediante SAML, pero con algunas contraindicaciones.
4. Cuentas Pop3: Extremadamente barato (<1€/mes por cuenta), pero no es una solución de colaboración (no incluye calendario y agenda). No es una solución para una empresa mediana o grande.

**Nota: El análisis ha sido realizado en base a 5 años, incluyendo alta/instalación/compra de HW para con un número de cuentas variable entre 200 y 5.000, tamaño de buzón de 1GB, retención de 15 días para backup, con antispam y antivirus.

**Nota 2: sobre Domino o Zimbra:  Tanto por garantías como por precio (economía de escala) sólo es planteable la externalización del correo con grandes proveedores (sobre todo ISPs). Estos proveedores a día de hoy no ofrecen servicios basados en otras tecnologías que no sean MS Exchange.

Miremos nuestra empresa

Ahora debemos pensar en cuanto nos cuesta realmente a nosotros mantener el servidor correo electrónico, calendario y agenda, incluyendo todos los gastos fijos y variables. El precio in-house será más o menos entre 10€-20€/mes por cuenta, si os sale menos: 1) estáis olvidando algo; 2) no tenéis alta disponibilidad (cluster) o continuidad de negocio (backup).

Conclusiones

Ahora ya podemos sacar conclusiones y ver si es o no interesante para nuestra empresa externalizar el correo. Para entenderlo mejor, he creado un pequeño y sencillo gráfico, donde los números son aproximados. De aquí podemos extraer algunas conclusiones:

• Queda patente que para pocas cuentas de correo la mejor opción sin dudas es externalizar el correo electrónico.
• También es claro que para muchas cuentas, salvo por razones estratégicas, es más barato tener la gestión en casa.
• Por último, cuando hay un número de cuentas entre 600 o 2000 aproximadamente (depende de la empresa) hay que evaluar muy bien que es lo más interesante.

Pregunta

Creo que es la primera pregunta abierta que voy a dejar en un Post, pero me interesan mucho vuestros comentarios. Creo que es un tema de debate realmente interesante: ¿Externalizaríais el correo electrónico de vuestra empresa? (vaya por adelantado que mi respuesta es sí)

Compártelo

Los troyanos capturan todos los datos necesarios para suplantar la identidad de los usuarios legítimos, incluyendo la tarjeta de coordenadas para poder realizar transferencias desde sus cuentas.

Hasta ahora INGDirect.es no había sido objetivo de ataque por parte de los phishers y troyanos bancarios, gracias en parte a la propia naturaleza de sus productos que impedía realizar transferencias a terceros de forma indiscriminada. Así la “Cuenta Naranja” se asocia a una segunda cuenta del banco o caja habitual del cliente y sólo permite realizar operaciones entre ellas.

La oferta de otros productos por parte de INGDirect.es, como la “Cuenta Nómina”, que permiten una mayor libertad a la hora de hacer transacciones, han convertido a los clientes de esta entidad en un objetivo apetecible para las mafias dedicadas al fraude por Internet.

INGDirect.es recuerda a sus clientes que:
“nunca, bajo ninguna circunstancia, deben introducir todas o gran parte de las claves de su tarjeta. Su entidad sólo le solicitará alguna clave de la tarjeta en el momento que esté realizando una transacción que la requiera, como por ejemplo una transferencia.“

Más información sobre los troyanos en Hispasec

Compártelo

Mi trabajo fue sencillo: traducir, adaptar y completar. Creo que el resultado puede ser muy útil:

Preguntas que debe realizarse el CIO (Chief Information Officer).

• ¿Es el correo electrónico una competencia que deseamos mantener dentro de la empresa?
• ¿Tenemos suficientes técnicos o podemos contratarlos para poder gestionar las necesidades del correo electrónico a día de hoy y a futuro? ¿Podría complementar otras tareas que de sistemas que aporten más valor al negocio?
• ¿Cuánto nos costará desarrollar las nuevas tecnologías o necesidades de seguridad, encriptación,.. etc en los próximos años?
• ¿Cuál es el coste total de mantener el correo electrónico dentro de nuestra organización incluyendo los costes de oportunidad?
• ¿Cuánto nos costará migrar a un nuevo sistema cuando sea necesario?

Capacidades debe ofrecernos el proveedor

• ¿Qué capacidades nos ofrece hoy el proveedor y cuales tiene en el roadmap?
• Servicios de mensajería
  • Archiving
  • Backup
  • Encriptación
  • Unificación de mensajería
  • Movilidad
  • Conferencias Web
  • Integración con directorio activo
• ¿Qué e-mail servers/plataformas están soportadas? ¿Qué versiones?
• ¿Qué clientes de correo están soportados?¿Con qué nivel de integración?
• ¿Incluye el servicio de escaneado anti-spam y anti-virus en tiempo real?
• ¿Hay algún prerrequisito Hardware/Software que deban cumplir los equipos de los usuarios?
• ¿Cuántos centros de datos tiene el proveedor? ¿Y de qué tipo?
• ¿Qué tipo de herramientas y servicios de migración me ofrece?
• ¿Con que frecuencia se realizan actualizaciones? ¿Implican paradas del sistema?
• ¿Qué tipo de informes están disponibles?
• ¿Tiene el proveedor algún contrato de soporte especial con sus proveedores de tecnología y comunicaciones?
• ¿Qué tipo de servicios de recuperación de desastres ofrece el proveedor?

Consideraciones de arquitectura

• ¿Qué arquitectura de red necesitamos para asegurar que no habrá retrasos en la entrega de los mensajes y que no será almacenarnos en capas intermedias que puedan suponer un riesgo?
• ¿Qué tráfico o cantidad de tráfico se generará? ¿Ancho de banda por cuenta de correo electrónico?
• ¿Se realizan todas las noches backup completos de la información? ¿Cuál es la política de Backups?
• ¿Qué tecnología se utiliza en los servidores? ¿Es propietaria o de un tercero?
• ¿Esta pensada la arquitectura del proveedor y las comunicaciones para poder asumir crecimientos futuros? ¿A qué coste?

Fiabilidad

• ¿Cuáles son los SLAs (Service Level Agreements)?
• ¿Cuánto tiempo ha estado interrumpido el servicio el pasado mes? ¿y en los últimos 6 meses? ¿Y en el último año?

Seguridad

• ¿Cómo de segura es la infraestructura?
• ¿Qué controles hay para el acceso a los datos del cliente?
• ¿Qué controles de detección de intrusos existen para proteger el centro de datos donde estará almacenados los mensajes?
• ¿Qué elementos redundantes existen? (procesos de backups, telecomunicaciones, etc…)

Gestión de datos

• ¿Los datos estarán en un servidor dedicado o compartido?
• ¿En qué países se almacenarán los datos?

Servicios Ofrecidos

• ¿Cómo de integrados están los servicios ofrecidos? Por ejemplo, correos electrónicos, mensajería instantánea, LDAP,….
• ¿Qué productos complementarios hay disponibles?
• ¿Cuál es el tipo de soporte?
• ¿Cuántos niveles de soporte hay? ¿son todos 7×24? sino ¿en que horarios trabaja cada nivel y que cubre cada uno de ellos?
• ¿Tendremos un Account Manager después de la venta?
• ¿Podemos externalizar también DNS, páginas y aplicaciones Web?
• ¿Podemos revender el servicio? ¿En qué condiciones? ¿Con qué capacidad de gestión?
• ¿Qué tipo de herramientas son proporcionadas? ¿Incluyen Web Services o un API para poder integrar herramientas de terceros?
• ¿Cómo se gestionan las políticas de los diferentes canales de comunicación? (integradas en un solo sitio o son independientes.
• ¿Puede realizarse una administración distribuida? (por ejemplo, los administradores de IT regionales pueden controlar sólo un subconjunto de usuarios).
• ¿Pueden los usuarios finales controlar su propia configuración?
• ¿Los mensajes son almacenados en un disco y luego reenviados a nuestros clientes?

El proveedor

• ¿Es el proveedor financieramente valido?
• ¿Cuánto tiempo lleva el proveedor gestionando servicios de negocio o hosting?
  (seguridad, archiving, mensajeria, encriptación…)
• ¿A cuántos clientes da soporte el proveedor? ¿Cuál es su rotación? ¿Crece/Decrece el número?
• ¿Qué tipo y tamaño de clientes tiene el proveedor?
• ¿Puede el proveedor presentarnos a clientes suyos que tengan una organización similar a la nuestra?
• ¿Cuál es el volumen de mensajes que está soportando ahora mismo el proveedor y cuál es la evolución esperada? ¿Qué implicaciones tendrá en el rendimiento?
• ¿Qué y cuántas certificaciones tienen los empleados del proveedor?
• ¿Qué certificaciones y auditorias realizar el proveedor?

Migración fuera del proveedor

• ¿Cuáles son las condiciones para la terminación del contrato?
• ¿Cómo puede ser los datos exportados/migrados a otra solución diferente o a otro proveedor?

Otras preguntas

• ¿Ofrece el proveedor servicios profesionales? ¿Qué experiencia tienen?
• ¿Quién será el propietario de la información almacenada?
• ¿Para cumplir el SLA quien debe dar de alta las nuevas cuentas de usuarios?
• ¿Cómo afectan las migraciones de plataforma al servicio?

Compártelo

Artículo completo

Más información sobre OpenSolaris

Compártelo