José Marin de la Fuente

Man in The Middle, Ataque y Detección

admin — Mon, 30 Jan 2012 14:44:06 +0000

Documento donde se detallan paso a paso como realizar un ataque Man in The Middle (Hombre en el Medio) en diferentes sistemas operativos y con las herramientas mas populares en cada uno de ellos, aparte de esto nos muestran como detectar y protegernos de este tipo de ataques.

Los dejo con el índice del documento, su enlace de descarga:

Introducción
Conceptos clave
Plataformas Linux
Software
Explicación
Ataques de ejemplo
- Dispositivos móviles
- Mensajería instantánea
- Redes sociales y UJAEN
Plataformas Windows
Software
Ataques de ejemplo
- Dispositivos Móviles
- DNS Spoofing
Detección del ataque
- Acceso a la máquina
- Prueba de ICMP
- Prueba de ARP
- Aplicaciones para detectar sniffers
- Protección frente a Sniffers
Conclusión
Referencias

Link de Descarga

No disponible por mantenimiento programado. Vuelve a comprobarlo en unos minutos. Gracias

admin — Sun, 29 Jan 2012 18:59:37 +0000

Este mensaje les debe haber aparecido cuando hicieron su actualizacion de wordprees de manera automatica, no se asusten…. lo solucionamos muy rapido y me encargo de explicarselos en este post.

La solución es muy fácil; entra con tu programa de FTP favorito a la raíz de
la instalación de WordPress (un 90% de probabilidades que sea public_html) y borra el archivo .maintenance

Vuelve a tu sitio, refresca la página y verás como todo vuelve a la normalidad.

java/ajax/css no funciona en el escritorio admin de WordPress?

admin — Wed, 10 Aug 2011 14:50:12 +0000

Por alguna razon que desconozco todos los menus de mi escritorio de administracion de wordpress dejaron de funcionar. Yo habia actualizado la version de php de mi servidor a la 5.4.6 y despues de eso todas las funcionalidades de mi escritorio de administracion dejaron de funcionar.

Basicamente todos los Menus drop downs dejaron de funcionar, el problema era con AJAX, vi que /index.php#screen-options no ejecutaba la accion requerida.

La solución a todo esto fue mas simple de lo que me imaginaba y la encontre de casualidad:

lo unico que hay que hacer es agregar esta linea en wp-config.php :

define( 'CONCATENATE_SCRIPTS', false );

… listo… asi de simple.

Una pareja nombra a su hija ‘Me gusta’, en honor al botón de Facebook

admin — Wed, 18 May 2011 01:07:59 +0000

Primero llegó el bebé Facebook, y ahora una pareja israelí llamó a su hija ‘Like’, de acuerdo con Mashable.com.

La fuente de noticias israelí Galgalatz informóque Lior y Vardit Adler son los orgullosos padres de una bebita que recibió su nombre por el botón ‘Me gusta’ (Like) de Facebook, y que recientemente celebró su primer aniversario.

Al parecer, los padres buscaban un nombre original. El apodo no es un juego publicitario, y dicen que no están haciendo publicidad para Facebook. Sólo les gustó (valga la redundancia) el significado detrás del nombre.

Los Adler no son las primeras personas en darle a sus hijos un nombre relacionado con la red social. Un hombre ofreció llamar a su hijo Batman si lograba hacer que 500,000 personas se hicieran fan de su página de Facebook, y otra pareja llamó a su hijo Facebook, en honor al papel que tuvo la red social en la revolución en Egipto, reseñó Mashable.

Sin duda, dar a tu hijo un nombre inusual no ocurre sólo en torno a los medios sociales.

¿Qué opinas? ¿Crees que a la pequeña ‘le guste’ su nombre cuando crezca?

Twiteros Mexicanos provocan terror en USA

admin — Mon, 09 May 2011 22:06:49 +0000

Fué en la madrugada del lunes 9 de mayo de 2011, después de una dolorosa eliminación, aficionados americanistas vaciaron su frustración en Twitter y de pronto el trend topic “Adiós América” llegó al top.

El problema vino cuando twiteros de los Estados Unidos pensaron que el tema “Adiós américa” podría referirse a una amenaza terrorista en su contra… y empezó la diversión.

El TT fué retirado de los tópicos mundiales pero reinstalado minutos después cuando personal del propio Twitter explicó el origen del tema, refiriéndose a la eliminación de un equipo mexicano de futbol y no a una amenaza terrorista.

Al final el TT siguió en línea y se crearon dos nuevos: #tiemblocomogringo y #gringospendejos … se lo merecian.

Descubren que los usuarios de Twitter son más cultos que los de Facebook

admin — Tue, 19 Apr 2011 00:20:45 +0000

Según un estudio llevado a cabo por Edison Research y Arbitron Internet realizado en los Estados Unidos, se dejó en claro que los usuarios de la red social Twitter tienen mayor nivel económico y más preparación académica que aquellos que utilizan Facebook.

La guerra entres estas dos redes se hace sentir y más aún cuando hay estadísticas de por medio. Por un lado los usuarios de Facebook se estancaron en 500 millones mientras que Twitter hoy alcanza los 175 millones en pocos meses de inauguración. Se estima que a fin de año llegará a los 200 millones. En la Argentina utilizan Facebook casi 11 millones de personas, en tanto ya hay medio millón de twitteros y van por más.

Los expertos aseguran que el 30% de los usuarios de Twitter terminaron sus estudios universitarios, superando la media estadounidense, que se ubica en sólo el 19%. Además, agrega el estudio, el 16% de los twitteros tienen algún tipo de máster, mientras que sólo el 8% de la población se ubica en ese escalón. Este número se ve más reducido en otras redes, incluyendo a Facebook.

También salió a la luz que el 34% de los usuarios estadounidenses de redes sociales accede al servicio desde su equipo celular. En tanto, los seguidores de Twitter superan ese límite llegando al 63%.

Ver MegaVideo sin el límite de los 72 minutos

admin — Tue, 22 Feb 2011 14:39:37 +0000

El problema que tiene MegaVideo es la limitación de los 72 minutos, pero con MegaSkipper podemos hacer un bypass y saltear esa limitación de una manera muy sencilla y poder ver el video.Tienen que entrar en el enlace de abajo y pegar la URL del video para desbloquearlo. También disponen de una extensión para Chrome que nos facilita aún más la tarea.

Enlace: MegaSkipper – Extensión Chrome

como arreglar el ‘World-writable config file /etc/my.cnf is ignored’?

admin — Wed, 16 Feb 2011 12:39:51 +0000

Tenes problemas con el warning: World-writable config file /etc/my.cnf is ignored
aca voy a explicarte como podes solucionarlo.Este error lo puede tener luego de tratar de hacer un backup de una base de datos en mysql usando el comando mysqldump o tambien cuando inicias Xampp puedes tener un error como el que se muestra a continuación:

Starting XAMPP for Linux …
XAMPP: Starting Apache with SSL (and PHP5)…
XAMPP: Starting MySQL…
XAMPP: Starting ProFTPD…
warning: World-writable config file /etc/my.cnf is ignored
warning: World-writable config file /etc/my.cnf is ignored
warning: World-writable config file /etc/my.cnf is ignored
XAMPP for Linux started.

Este error es solo un warning que puede ser ignorado pero no esta demás solucionarlo por cualquier cosa
MySQL deliberadamente va ignorar tu archivo de configuracion (my.cnf) como una medida de seguridad ya que este archivo puede ser sobre escrito por algun usuario mal intensionado.

primero debemos ver los permisos que tiene este el archivo my.cnf usando el siguiente comando:

ls -l /etc/my.cnf
como respuesta deberias ver algo como lo siguiente:

-rw-r–r– 1 4998 Apr 2 2010 /etc/my.cnf

Al comienzo de la linea “-rw-rw-rw-” o “rwxrwxrwx” indica que el archivo tiene permisos
“World-writable”.

bue… esto lo solucionamos rapidamente ejecutando la siguiente linea de comando para cambiar los permisos del archivo en cuestion:

chmod 644 /opt/lampp/etc/my.cnf

con esto solucionamos el famoso warning. espero que les sea de utilidad.
saludos.
José Marin de la Fuente.

Configurando replicación Master/Slave en MySQL

admin — Tue, 15 Feb 2011 12:11:37 +0000

La replicación es una buena alternativa para tener disponibilidad de información cuando un servidor se cae. La replicación no suplanta los backups, sino, simplemente garantiza la operatividad.MySQL soporta un esquema de replicación asincrónica de un servidor maestro a uno o varios servidores esclavos. El “master” escribe las transacciones en un log binario, que sirve como registro de actualizaciones para enviar a los servidores esclavos.

En esta oportunidad solo veremos una configuración Master-Slave, es decir, todas las actualizaciones sobre el servidor maestro son replicadas en el esclavo. Si se realizan actualizaciones sobre el esclavo, estas no se hacen efectivas en el maestro. Para crear un esquema de replicación maestro-maestro es necesario crear un esquema circular, donde cada servidor es maestro y esclavo, a la vez, del otro.

Los pasos para configurar la replicación Maestro-Esclavo son:

En el servidor maestro, agregar/modificar, la sección [mysqld] del archivo de configuración my.cnf o my.ini (dependiendo del sistema operativo):

[mysqld]

log-bin=mysql-bin
server-id=1
innodb_flush_log_at_trx_commit=1
sync_binlog=1

En el servidor maestro, reiniciar el demonio (o servicio) mysqld
En el servidor maestro, crear un usuario con el privilegio “REPLICATION SLAVE”. El usuario no necesita otro privilegio.

CREATE USER ‘user’@ ‘host’ IDENTIFIED BY ‘password’ ;
GRANT REPLICATION SLAVE ON *.* TO ‘user’@host’ IDENTIFIED BY ‘password’;

En el servidor maestro, ejecutar ‘FLUSH TABLES WITH READ LOCK;’, para prevenir la escritura a base de datos en el maestro.
En el servidor maestro, ejecutar ‘SHOW MASTER STATUS;’ en el maestro y recordar los valores para más adelante
En el servidor maestro, ejecutar ‘UNLOCK TABLES;’
En el servidor esclavo, modificar el archivo my.cnf o my.ini y reiniciar el daemon:

[mysqld]

server-id=2

En el servidor esclavo, ejecutar las siguientes instrucciones (ajustar los valores de acuerdo al usuario creado y los valores obtenidos al realizar el ‘SHOW MASTER STATUS’ anterior.

CHANGE MASTER TO
MASTER_HOST=’host’,
MASTER_USER=’user’,
MASTER_PASSWORD=’password’,
MASTER_PORT=3306,
MASTER_LOG_FILE=’mysql-BIN.000001′,
MASTER_LOG_POS=98,
MASTER_CONNECT_RETRY=10;

En el servido esclavo, ejecutar:

START SLAVE;

En el servidor esclavo, para asegurarnos que la replicación se inició satisfactoriamente, en el log de mysql deberíamos ver algo así:

080609 8:47:02 [Note] Slave I/O thread: connected to master ‘root@host:3306′, replication started in log ‘mysql-bin.000001′ at position 98

¿Cómo se hace saas?

admin — Mon, 10 Jan 2011 01:24:03 +0000

Las aplicaciones como servicio tienen una característica que hace que el modelo sea especialmente eficiente: el multitenancy. Esta es la propiedad que permite ofrecer la misma aplicación a muchos usuarios y así distribuir el coste de la infraestructura y del mantenimiento entre todos.

Técnicamente no se trata solo de ofrecer la misma aplicación, sino de realizar una aplicación que permita con una sola instancia de la aplicación y una sola base de datos o mejor dicho un único de tablas relacionadas, dar servicio a todos tus clientes. Este es bajo mi opinión es el verdadero modelo saas y es el que más optimiza los recursos del negocio.

Sin embargo desde el punto de vista de la BBDD hay otras dos implementaciones multitenancy donde el tratamiento de los datos es diferente y aunque se acercan más al antiguo modelo ASP se venden como saas. Todas tienen sus ventajas y sus inconvenientes, no son peores ni mejores, cumplen con la condición de que dan soporte a muchos clientes, pero para mí estás no son saas y por eso me gustaría diferenciarlas.

Partamos de la base que tenemos una aplicación con su parte de código y su parte de datos, donde la misma ejecución o instancia del código va a dar servicio a todos los usuarios de la saas. Hasta aquí se mantiene el modelo saas y hora veamos cuales son las tres formas (incluida la propia del saas) que en que podemos diseñar la BBDD con sus ventajas y desventajas:

Una bases de datos por cada empresa o usuario

Es decir tenemos una misma instancia de aplicación para dar servicio a todos los usuarios pero una BBDD por cada empresa. Esta es la opción que está más lejos del modelo saas y más cerca al modelo ASP. Las tablas no necesitan ningún atributo para diferenciar si los datos pertenecen a un cliente a otro, pero si es necesario tener un estructura de datos que determine qué base de datos le corresponde a cada cliente.

Ventajas

Un Motor de BBDD dedicado para cada usuario, por tanto no te afectan los datos y accessos de otros clientes.
Posibilidad de tener una máquina dedicada a para los usuarios.

Desventajas

Desde el punto de vista del proveedor
- Más recursos humanos. Mantenimiento tediosos y largos ya que cualquier modificación en el modelo de datos (tablas) hay que replicarla en todas la BBDD.
- Más recursos hardware. A partir de un cierto número de clientes necesitarás más máquinas para albergar las BBDD.
Desde el punto de vista del cliente
- Más expuestos a errores. La replicación masiva da lugar a errores y puede afectar a los datos de tu aplicación.
- Precio alto. Mas recursos, mas mantenimiento requiere más gasto y esto incidirá en el precio.

Una base de datos con N conjunto de tablas

Es decir tenemos una misma instancia de aplicación para dar servicio a todos los usuarios y una sola base de datos con tantos conjuntos de tablas como clientes haya. Esta opción se acerca más al modelo saas aunque sigue siendo un dolor su mantenimiento. Las tablas tampoco necesitan un atributo para diferenciar si los datos pertenecen a un cliente a otro, y de igual forma necesitan una estructura de datos que determine que conjunto de tablas (esquema) pertenece a cada cliente.

Ventajas

Menos inversión hardware que la opción anterior.
Menos mantenimiento del hardware.
Precio menor que la opción anterior

Desventajas

Desde el punto de vista del proveedor
- Más recursos humanos. Mantenimiento tediosos y largos ya que cualquier modificación en el modelo de datos (tablas) hay que replicarla en todos los conjuntos de tablas.
- En caso de fallo del motor de BBDD no puedes dar servicio a ningún cliente.
Desde el punto de vista del cliente
- Probabilidad de perdida de rendimiento. Estas compartiendo los mismos recursos hardware y el mismo motor de BBDD para todos los usuarios.
- Más expuestos a errores. La replicación masiva da lugar a errores y puede afectar a los datos de tu aplicación.
- Precio alto. Mas recursos humanos requiere más gasto y esto incidirá en el precio.

Una base de datos con ÚNICO conjunto de tablas

Es decir tenemos una misma instancia de aplicación y una sola base de datos con un único conjunto de tablas para dar servicio a todos los usuarios. Esta opción es la que defiendo para el modelo saas y el mayor problema que presenta es la complejidad de la aplicación y las estructura de datos. Las tablas necesitarán un atributo para diferenciar si los datos pertenecen a un cliente a otro.

Ventajas

Menos recursos hardware que la opciones anteriores.
Mantenimientos menos tediosos que evita la probabilidad de error en la actualizaciones de la estructura de datos.
Mantenimientos más cortos que permiten tener la aplicación disponible más tiempo.
Precio menor que la opciones anteriores

Desventajas

Desde el punto de vista del proveedor
- Aplicación más compleja porque debe determinar el acceso a los datos correctos de cada cliente.
- En caso de fallo del motor de BBDD no puedes dar servicio a ningún cliente.
Desde el punto de vista del cliente
- Probabilidad de perdida de rendimiento. Estas compartiendo los mismos recursos hardware y el mismo motor de BBDD para todos los usuarios.
- La complejidad de la aplicación puede dar lugar a errores.

En cualquiera de las tres opciones hay que tener sumo cuidado para atacar los datos, esquemas o BBDD correcta y asegurar la confidencialidad de los mismos, es decir, que el cliente solo pueda ver sus datos y no los de otros clientes. Y otra cosa importante, es que elegida una opción la aplicación sabe de este elección y todo el diseño y desarrollo de la aplicación esta condicionado por esto. Pasar después de una opción a otra requiere casi empezar desde cero.

Puede que seas usuario final, aquel que consume las aplicaciones, y que creas que esto no tiene importancia , pero es claro que depende de como se implemente la solución puede afectar de manera positiva o negativa a los usuarios de las saas, y por tanto a ti.

Ahora solo hay que decidir: ¿Que peso tiene el precio en tu decisión? ¿Prefieres pagar más por tener tus datos aislados? ¿Prefieres reducir la probalidad de fallos? ¿Prefieres pagar menos?