24 octubre 2007

Llega Ubuntu 7.10

 24. Octubre 2007, 8:33 Uhr Redacción de Noticiasdot.com

Nueva encarnación de una distribución que está marcando época.

Guillem Alsina (guillem@imatica.org) - Si alguna distro de GNU/Linux está cosechando éxito actualmente, esta es sin lugar a dudas Ubuntu. Esto no quiere decir que el resto de distribuciones no tengan su mercado y también su éxito, pero la distribución fundada por Mark Shuttleworth ha abierto nuevos mercados y ha convencido a empresas como Dell, hasta la fecha un feudo para Microsoft.

La nueva versión 7.10 de esta distribución, cuyo nombre es Gutsy Gibbon* ya está disponible en Internet para su descarga libre y gratuita desde la semana pasada en versiones desktop y servidor, y también con sus correspondientes variantes oficiales (Kubuntu, Edubuntu y Xubuntu).

La versión de escritorio, la más popular de la familia, es la que incorpora las novedades más vistosas, empezando por los efectos gráficos de nueva generación gracias a Compiz Fusion, el compositor de ventanas más avanzado actualmente para sistemas Unix/Linux y que permite ofrecer resultados similares a los que da el entorno gráfico del Mac OS X. Compiz Fusion sólo se activará por defecto en aquellas computadoras en los que la tarjeta gráfica pueda soportar correctamente los cálculos necesarios, y para el resto podrá activarse manualmente.

También se ha mejorado el soporte para monitores externos en el caso de los laptops y múltiples monitores para los desktops, una funcionalidad en la que Canonical hace especial hincapié.

El reconocimiento de hardware mejora con cada nueva versión de cualquier distribución GNU/Linux, y Ubuntu 7.10 no es una excepción. El reconocimiento de tarjetas de red inalámbricas y de impresoras es lo que se ha trabajado más.

Si instalamos Ubuntu 7.10 en un ordenador junto a un sistema Windows que a su turno se encuentra instalado en una partición NTFS, podremos no sólo montar dicha partición y leer sus contenidos, si no también escribir en ella. Esta es una novedad muy interesante y se la debemos a NTFS-3G, un proyecto independiente y disponible para varias distros que ha conseguido añadir al sistema del pingüino una funcionalidad largo tiempo ansiada. Y es que hasta hace poco, las particiones formateadas con NTFS solamente eran accesibles para su lectura.

Esta nueva versión también incluye un sistema de búsqueda avanzado similar al Spotlight de Mac OS X o al Google Desktop Search, que nos permitirá buscar nuestros documentos según diversos criterios.

Finalmente, y como nuevas funcionalidades de la versión desktop, destacar también la instalación automática de diversos plug-ins en el navegador web Firefox, validados por Ubuntu y cuyo objetivo se centra en proporcionarnos una navegación más rica.

En la versión servidora de la distro se mejoran la seguridad y la estabilidad, además de añadir novedades en lo que respecta a la virtualización -¡cómo no!- con un kernel preparado para la creación de virtual appliances, una filosofía en la que Canonical parece creer.

En el apartado de seguridad se añade la presencia de AppArmor, un software de seguridad mantenido hasta este pasado septiembre por Novell y que con la apertura de su código fuente y cesión a la comunidad de desarrolladores, está ahora disponible para otras distribuciones además de SuSE.

La compatibilidad con clientes y otros servidores Windows también se ha visto mejorada en servicios de nombres LDAP y compartición de archivos mediante Samba.

Ubuntu 7.10 será mantenida durante 18 meses, lo que no la convierte en una LTS (Long Time Support).

Más información:

Ubuntu
http://www.ubuntu.com/

* todas las versiones de Ubuntu llevan el nombre o el mote de algún animal de Sudáfrica y, en éste caso, Gutsy Gibbon es una especie de mono.

 

23 octubre 2007

Gobierno: No llega la hora del software libre

Lo último
PCWorld

Tras cumplirse el plazo inicial que fijaba el decreto 3390, que alentaba una migración total a software libre dentro de los ministerios e institutos del gobierno, queda aún mucho por hacer. Según Carlos Figueras, presidente del CNTI, aproximadamente un 60% de los servidores del Estado han sido migrados carlos figueras Presidente del CNTIa Linux, mientras que sólo un 30% de los computadores de escritorio y portátiles funcionan con ese sistema. La buena noticia es que el gobierno no abandona la idea de migrar toda la infraestructura posible hacia esta plataforma. La noticia no tan grata es que, visto que no pudieron cumplir el plazo que ellos mismos se fijaron, se resisten a fijar un nuevo plazo, por lo que no existe ninguna obligación de culminar las migraciones en un periodo de tiempo específico, algo que puede atentar contra el sano desarrollo de este plan. Durante un evento realizado en la sede de CANTV, se esbozaron los lineamientos del nuevo plan, que por carecer de fecha tope será muy dificil de supervisar.

Ante las preguntas de PCWORLD a Figueras, quedaron claros algunos aspectos que, a nuestro entender, son primordiales para comprender el desarrollo a futuro de este movimiento gubernamental:

  1. Las áreas críticas-que no se reducen al Seniat, Cadivi y Pdvsa según dejo claro Figueras-serán consideradas de forma muy especial, teniendo el máximo cuidado. La decisión de migrarlas o no recaerá en cada instituto o dependencia.
  2. A pesar de contar con un instrumento tan poderoso como lo es la Locti (Ley Orgánica de Ciencia, Tecnología e Innovación) el gobierno no ha coordinado esfuerzos para utilizar esos recursos y ayudar a la migración de los diferentes institutos.
  3. El CNTI considera que el esfuerzo académico de las universidades es suficiente para generar los expertos en software libre que se necesitan para llevar adelante este proceso.
  4. El evento estaba dedicado en gran parte a que los asistentes por parte del gobierno tomaran conciencia de que deben acelerar el proceso dentro de sus instituciones.

La empresa anfitriona, Cantv, representada por su presidenta, Socorro Hernández, dejó clara su intención de unirse al cambio de sistemas, y espera que se tome muy en cuenta que apenas han tomado control de la compañía, por lo que pide paciencia. Sin embargo Cantv ayudará a la difusión de Linux y el software libre en general, a través de su programa Cantv equipado, donde ofrecerán una PC para conectarse a la Internet, equipada con Linux y herramientas de trabajo de software libre como es el caso de OpenOffice.

Habrá que esperar a ver cómo se sigue moviendo el Estado venezolano en dirección al software libre y cuándo las instituciones se atreverán a migrar sus aplicaciones críticas.

 

VoIP: ideal para Spam y escuchas telefónicas

10-09-2007 WatchGuard

Hacer Spam es prácticamente imposible sobre el sistema telefónico tradicional, pero es relativamente simple sobre la telefonía por Internet y se lo denomina SPIT (Spam Over Internet Telephony). Como las IP PBX (centrales telefónicas para telefonía sobre IP) son simplemente otro servidor sobre la red, los hackers pueden tener como objetivo a los sistemas telefónicos para atacarlos por medio de “denial of service”, o programar los teléfonos de una empresa para llamar a otras, cerrando los sistemas telefónicos de la segunda empresa. Además, es posible interceptar y escuchar llamadas, aún más fácilmente que con un sistema telefónico tradicional.

 

Mientras la introducción de VoIP conlleva riesgos de seguridad inherentes, puede ser un instrumento de negocio valioso y hay medidas que pueden ser tomadas para reducir al mínimo las amenazas. Sin embargo, si formula una política de seguridad para VoIP, no asuma que las llamadas de voz digitales pueden ser aseguradas en la misma manera que comunicaciones de datos.

VoIP exige un nivel más alto de seguridad que las redes de datos, en particular en las áreas de latencia, y requiere sus propios equipos, protocolos y software. Al mismo tiempo, la naturaleza dinámica de los parámetros de red de VoIP crea vulnerabilidades de seguridad potenciales. Por consiguiente, estas redes necesitan las capas adicionales de defensa para proteger llamadas.

Cree conexiones de usuario - asegúrese que los usuarios tengan que registrarse en sus teléfonos de IP tal como lo hacen en su computadora personal para asegurar que su identidad es autenticada. Esto también ayudará a descubrir ataques de spoofing, ya que el sistema sabrá si el mismo usuario ha entrado a más que una posición.

Encripte sus datos – Considere la encripción de datos como una manera de prevenir que los hackers escuchen sus llamadas.

Implemente un Firewall – algunas de las medidas que usted emplea para proteger sus computadoras personales son igualmente relevantes para un sistema VoIP. La implementación de dispositivos de seguridad como firewalls delante de sus sistemas VoIP puede ayudar a filtrar ataques.

Ponga al día sus parches - con un sistema IPT, es importante manejar los parches de la misma manera que lo hace para sus datos. Generalmente usted sólo actualiza sus sistemas de voz cuando es necesario, con VoIP es importante instalar las actualizaciones y parches en cuanto aparecen, y comunicar que esto debe ser una prioridad para todos lo que comparten el sistema.

Considere sus comunicaciones de emergencia - como VoIP maneja los packet-switched como datos, el prefijo local de un número telefónico no puede indicar la posición real del llamador. ¡Esto es un problema serio si usted trata de llamar al cuerpo de bomberos! Para combatir esto, asegúrese de que su sistema transmita su posición al marcar los números de emergencia, o envíe todas las llamadas de servicios de emergencia a través de la Red Telefónica Pública.

Recuerde también que con su sistema telefónico basado en IP, si su red no funciona, sus teléfonos tampoco funcionan. Esto tiene que ser tenido en cuenta en cualquier plan de continuidad de negocio.

 

Cómo utilizar WiFi e IM en la empresa de manera segura

24-09-2007 WatchGuard

WiFi y Mensajería Instantánea son dos de las principales fuentes de riesgos informáticos en las empresas, pero por otro lado son tecnologías imprescindibles para mantener la productividad del negocio. En este artículo se examinan los riesgos y se proveen pautas sobre como proteger una empresa que pretende utilizar al máximo las ventajas de estos recursos y al mismo tiempo mantener su seguridad en el nivel adecuado.

 


Seguridad para WiFi

Despliegue de la WLAN

Si
piensa instalar un WLAN en su edificio de oficinas, evalúe los riesgos y ponga en práctica medidas para mantener la integridad y la seguridad de su red corporativa. La incorporación de una red inalámbrica dentro de su red segura implica que la segunda queda abierta a todas las vulnerabilidades de la tecnología inalámbrica. Si piensa usar tecnología wireless, al menos tome la precaución de aislarla de su red interna. Coloque un firewall entre los Puntos de Acceso Inalámbricos (APs) y su red corporativa o implemente APs detrás del interface “opcional” de su Firebox, de modo que quede protegido de un ataque desde la Internet, pero esté todavía fuera de la red segura.

Usuarios directivos y dispositivos juegan un papel crítico en la seguridad de la WLAN. Las capacidades para “ver” quien usa la red, para impedir a los usuarios hacer accesos indebidos y descubrir puntos de acceso no configurados o intrusos, son condiciones esenciales para asegurar la red.

Asegure
la VPN


Cada vez más, los empleados aprovecharán la disponibilidad de WLANs Públicas para tener acceso a la red de la empresa, por lo que es necesario contar con medidas de seguridad fuertes en el lugar. Si se manejan usuarios móviles con VPN para el acceso remoto, deben ampliarse a clientes WiFi. Hay que decidirse por una solución VPN y asegurarse que la misma solución con la misma configuración, se implemente para cada usuario móvil dentro de la organización. Desde el punto de vista de la Seguridad, es mejor pasar el tráfico por el túnel por detrás a la red corporativa y desde allí al mundo exterior.

Proteja los dispositivos móviles

El personal es propenso a generar problemas en red llevando a la oficina dispositivos móviles no controlados. Si no hay protección adecuada en el lugar, pueden infectar la red corporativa con gusanos y virus. Para prevenir esto, instale un software de antivirus y un firewall personal en las computadoras portátiles de la empresa y PDAS, junto con la VPN. Asegúrese que los firewalls personales estén correctamente configurados.

Proteja el acceso con contraseñas fuertes

Recuérdele al personal la importancia de proteger su dispositivo y la entrada en la red con contraseñas sólidas. Defina que las contraseñas deberían ser recordables pero no obvias y que nunca hay que escribirlas en ningún lado.

Una frase que use una mezcla de mayúsculas, números y caracteres no alfanuméricos es considerablemente más fuerte y más fácil para memorizar que una palabra sola o una contraseña generada por un programa. Puede ser una línea de un poema que haya memorizado.

Utilización inteligente de computadoras portátiles

Reitérele al personal que es y que no es, un comportamiento aceptable para tener acceso a la red de empresa de manera remota. Acentúe que el personal debería usar la computadora portátil de la empresa, antes que su propia computadora personal, para conectarse a la red corporativa por una WLAN Pública. Si tiene una política de acceso remota en su organización, recuérdele al personal sobre su importancia.

Empleo de WLANs Públicas

Con el aumento de puntos de conexión en hoteles y aeropuertos, el personal puede trabajar de manera wireless en muchos lugares públicos. Recuérdeles a empleados que deberían usar su sentido común cuando trabajan en un lugar público. Deberían tener cuidado con a la gente que mira sobre su hombro y tratar de evitar realizar tareas confidenciales en sitios concurridos.

Seguridad para IM

Adopte una política de usuario para la mensajería instantánea

Como IM puede ser un instrumento de comunicaciones valioso, puede que prefiera no prohibirles el acceso a sus empleados. Si éste es el caso, asegúrese que sus empleados saben cuál es el comportamiento aceptable y desarrolle una política que contenga las directrices para su uso. Implemente software de antivirus y firewalls personales en todas las estaciones de trabajo. Asegúrese que los antivirus estén actualizados en las estaciones de trabajo y los firewalls configurados para permitir o negar comunicaciones.

Mantenga su software parcheado

Mantenga a su cliente IM y al servidor de aplicación correctamente parcheados. No hay ningún substituto al mantenimiento de los parches de su software IM, pues es lo que mejor asegura que la red está protegida contra las vulnerabilidades conocidas.

Manténgase informado sobre las infecciones de virus y los riesgos de relacionados

La mayor parte de servicios IM permiten transferir archivos dentro de los mensajes. Estos archivos pueden contener virus que atravesarán el firewall más fácilmente que si estuvieran adosados a mensajes de correo electrónico. Averigüe más sobre la calidad de su firewall y decida si realmente le conviene restringir la transferencia de archivos por IM.

Tenga su propio host

Contar con un servidor propio y seguro es mejor que utilizar un servidor público sobre el cual no se tiene ningún control.

Utilice servicios de IM pensados para ambientes de negocio

Si no puede contar con su propio servidor de IM, invierta en un servicio de IM para ambientes de negocio. Asegúrese de que el sistema elegido es auditable y seguro. Configure el software de modo que sólo permita el Chat y no la transferencia de archivos.

No transmita información confidencial o sensible sobre IM

Considere IM como un canal de comunicación no confidencial. Uselo para intercambiar información que requiere velocidad de respuesta pero evite intercambiar información confidencial, de clientes, asuntos financieros y legales.

 

Guía para evitar delitos informáticos

22-10-2007 WatchGuard

Entender los procesos que lleva adelante un delincuente informático sirve para determinar si se revela demasiado sobre una organización. Este artículo explica como se recolecta la información con la que, posteriormente, se realizan los ataques específicos que tienen como objetivo una presa en particular, a la cual estudiaron profundamente y le determinaron sus debilidades, y como generar contramedidas para impedir que esto ocurra.

 

La página Web

La
Mayoría de los sitios de Web proporcionan la información de la ubicación y forma de contactarse con la empresa a la que pertenece. Cada número de teléfono corporativo puede identificar el número base del bloque de números dentro del cual se asignan los de su empresa. Los atacantes serios usan war dialing software para estudiar estos bloques buscando modems y puertas laterales a menudo descuidadas en su red. Además, las direcciones de contacto por correo electrónico a veces identifican dominios específicos de servidores de e-mail y pueden revelar como una empresa estructura su intranet. La dirección de correo electrónico dave@naivecompany.com revela un poco más que el nombre de Web www.naivecompany.com, sugiere que puede haber un engineering.naivecompany.com, o un datacenter.naivecompany.com.

Estas pistas ayudan al atacante a trazar un mapa de su red, su ruteo de correo y posiblemente la infraestructura de la organización.
Los
atacantes pueden usar la información específica recolectada de su sitio de Web para refinar las búsquedas sobre su organización en la Web, como por ejemplo "algo sobre <esta información, esta empresa>". Los Motores Metabuscadores como DogPile y All the Web, All the Time facilitan estas búsquedas lanzando la solicitud a través de una docena o más de motores. Como alternativa, un atacante puede descargar un sitio Web completo usando herramientas como WebZip Offline Browser y luego compilar el sitio en un archivo de HTML comprimido. Usando el índice y buscando características desde el Help del Microsoft HTML Workshop, éste buscará a través de links y directorios otros servidores de Web de su organización, y comentarios HTML y etiquetas que ofrezcan información para ayudarle a quebrar la seguridad a través de su Web o su intranet.

Name Servers y Registrars

Los nombres de dominio y los números de IP usados en la Internet pública son administrados por registrars, quienes mantienen las master domain name databases. Las bases de datos identifican los nombres de dominio y números de red de IP asignados a las organizaciones, así como nombres de contactos administrativos, técnicos y de facturación. Usted puede pescar en estas bases de datos de Internet Registrars usando el protocolo WHOIS, disponible para la mayoría de los sistemas operativos. Muchos registrars (ARIN, RIPE, APNIC) tienen interfaces Web a la base de datos. Organizaciones multinacionales a menudo tienen múltiples bloques de IP asignados y administrados en la zona; los atacantes usan la red y obtienen información extraída de la base de datos WHOIS para focalizar sus esfuerzos de war dialing, así como sus exploraciones de red.

Las entradas de la base de datos WHOIS también enumeran a los Servidores de Nombre de Dominio públicos. El Servicio de Nombre de Dominio es usado principalmente para averiguar que nombre de anfitrión corresponde con la dirección de IP (y viceversa), y proporcionar la información del ruteo de correo electrónico. Los atacantes serios intentarán transferencias de zona - el equivalente a copiar base de datos de DNSs públicas. Por lo general, usted no debería permitir las transferencias la zona de su servidor de DNS pública, excepto a una lista de servidores confiables. Pero aún las consultas individuales de DNS pueden proveer a un atacante de información útil. Por ejemplo, los intercambios de mensajes de correo electrónico pueden revelar la dirección de IP de un firewall donde un servidor de correo o un Proxy son controlados.

El DNS puede y ha sido usado como una base de datos distribuida, y ciertos tipos de registro de DNS (HINFO) pueden ser usados para equipamiento e inventario de sistema operativo. Un atacante serio en realidad no necesita esta información, pero si usted la ha dejado en el dominio público, le ha ahorrado el tiempo que gastaría determinando su tipo de OS usando un programa como nmap. Y esto transforma a su red en un objetivo fácil para atacantes menos sofisticados.

Robo del Blueprint

Con la información recolectada usando los métodos descriptos, el atacante comenzará a sondar su red con utilidades ICMP - traceroute, firewalk, ping y nmap. Usando los resultados de estas utilidades, primero intentará determinar como es ruteado el tráfico a sus redes, y luego intentará crear un mapa de la topología de su red o redes. Los procesos de trazar un mapa de red, exploración de hosts y servicios, enumeración y descubrimiento son demasiado detallados para explicarlos aquí. El punto es que si usted no es proactivo, inconscientemente ayudará a hackers a trazar un mapa exacto de su red.

Los temas como la auditoría de seguridad y las pruebas de penetración, casi siempre se basan en ataques de conocimiento cero (zero-knowledge attacks). Las empresas que contratan a un tercero para revisar y probar su seguridad no deben concentrarse sólo en esta opción. Los atacantes serios no comienzan con conocimiento cero; comienzan con un motivo y un objetivo, y obtienen mucho conocimiento provechoso de fuentes públicas.

 

Contramedidas

Estropear la posibilidad de recolección de información por parte de un intruso puede parecer estar en desacuerdo con el empleo intencionado que su empresa hace de Internet. Pero sólo hay que revelar la información que ayude a quienes no lo conocen a tomar decisiones informadas sobre si su empresa es la adecuada para lo que están buscando. El descubrimiento frívolo de la descripción de detalles sobre como su empresa funciona (incluyendo como maneja sus redes) es innecesario y peligroso. Para clasificaciones de SEC obligatorias y bases de datos de Registro de Internet, incluya sólo la información requerida. Trate de mantener sus registros actualizados y sin valor como fuente de información interna. Los Auditores de Seguridad aconsejan proporcionar números gratuitos o números telefónicos únicos para cualquier bloque que su compañía use.

Si usted publica hosts internos a través de la DNS, considere correr un “split” DNS. Un “split” DNS controla a un servidor externo que mantiene sólo las entradas necesarias para proporcionar la resolución de nombre propio y trazar un mapa de dirección inverso para anfitriones públicamente accesibles, y nada más. Este DNS puede ser hosteado en su ISP, o puede hostearlo usted mismo, fuera del interfaz Opcional de su Firebox. Para su red interna, hostee el DNS completo (tanto registros externos como internos) detrás de su firewall, fuera de su interface de confianza.