miércoles, 23 de enero de 2013

La imagen más triste

ARA Santisima Trinidad
El ARA Santisima Trinidad escorado completamente , amarrado al muelle en la base naval de Puerto Belgrano (BNPB).
Foto de DyN, visto en La Nación.
La imagen más triste que se pueda tener de un buque de nuestra Armada Argentina, el ARA Santisima Trinidad escorado, volcado completamente sobre su banda de babor, luego de años de abandono.

Nuevamente toda esa controversia que ha surgido, con éste desagradable, triste y vergonzoso suceso, entre el esquema político gobernante y los mandos de la Armada resultan incomprensibles y muy molestos.

Me parece que lo que corresponde es hacerse responsable y reparar de manera correcta el daño que se le está haciendo al País.

Notas relacionadas:
Post relacionado:

Visitas al blog

En el mes, diciembre de 2012, comentamos que notamos una importante caída en las visitas al blog, un tanto superior al 40%, lo que realmente nos resulto preocupante.

Hoy, haciendo el seguimiento de la actividad bloggera, notamos que si bien aún no superamos el total de visitas de Diciembre pasado, en lo que va de éste mes de Enero de 2013 venimos recuperando notablemente la cantidad de visitas, lo que agradecemos mucho a nuestros lectores, a aquellos ocasionales y especialmente a los que han hecho de éste espacio personal una lectura habitual.

Siempre es grato ver que hay cierto interés en aquello que uno comparte. Muy bueno sería que el blog recupere la participación en comentarios que tenía. Si bien se ve algún feedback en la redes sociales, en el blog es casi inexistente la publicación de comentarios.

Aunque es una tendencia en general en resto de los blogs, cada vez se comentan menos los post, siempre es muy bueno y enriquecedor que se reciban comentarios de lo que se publica, en el mismo blog.

Post relacionado:

martes, 22 de enero de 2013

La historia de Bob, el outsourcing y la seguridad informática

Bob es un desarrollador de software, un programador “inofensivo y tranquilo” de cuarenta y tantos años, que ganaba muy bien, un poco más de de 100 mil dólares anuales, trabajando haciendo que trabajaran por él en una importante empresa relacionada con la “infraestructura crítica” de Estados Unidos. Bob simplemente le pagaba una quinta parte de su salario a unos programadores de una empresa de programación en la ciudad de Shenyang, en el sureste de China, para que hicieran su trabajo.

Hasta aquí todo parece una simple historia de alguien que desarrollo experiencia en el outsourcing (subcontratación) para hacer más eficaz su tarea y ganar más dinero con menor esfuezo. Pero no, la historia de Bob y el outsourcing tiene que ver con un caso de seguridad que ha captado la atención de expertos en seguridad en todo el mundo.

El "bueno" de Bob, que era considerado como un programador experto en C, C + +, Perl, Java, Ruby, PHP, Python, etc. “inofensivo y tranquilo”, y que en los últimos años, "recibió excelentes calificaciones por su desempeño por su codificación limpia, y bien escrita”. Y también había sido señalado como “el mejor desarrollador en el edificio”. Pero se transformó en un "caso de estudio" de la empresa de telecomunicaciones estadounidense, Verizon.

Todo se inició cuando la empresa relacionada con la “infraestructura crítica” de Estados Unidos, que según la investigación de Verizon, había ido poco a poco avanzando hacia una fuerza de trabajo más orientado teletrabajo, y por lo tanto había comenzado a permitir a sus desarrolladores trabajar desde casa en ciertos días, comenzó a registrar cierta actividad anómala en sus registros de su Virtual Private Network (VPN), y solicitó una auditoría a su proveedor de servicios, Verizon, que finalmente ha permitido "destapar" la situación.

A principios de mayo de 2012, después de leer el Data Breach Investigations Report (DBIR) 2012, su departamento de seguridad, del TI de la empresa, decidió que debían iniciar un seguimiento activo de los registros que se generan en el concentrador VPN.

Entonces comenzaron escudriñando diariamente las conexiones VPN en su entorno. Fue la sorpresa del TI de la empresa, cuando descubrió que desde China accedían a sus sistemas informáticos. Los técnicos responsables de la seguridad informática de la empresa inicialmente creyeron que el acceso no autorizado a los sistemas desde China con las credenciales de Bob, no eran responsabilidad del "bueno" de Bob, que de alguna forma se había eludido, desde China, el fuerte sistema de autentificación, conformado por factores, que incluían un token de seguridad con una clave RSA. Inicialmente se pensó en algún tipo de malware de día cero que fue capaz de iniciar conexiones VPN de la estación de trabajo del escritorio de Bob a través de proxy externo y luego la ruta que el tráfico VPN a China, sólo para ser enviados de regreso a su concentrador.

Increíblemente no se sospechaba de Bob, hasta que se descubrió que había “enviado físicamente por FedEx su token de seguridad a China para que el contratista pudiera ingresar con sus credenciales”, según fue informado por un investigador forense en Verizon.

La investigación descubrió que los programadores chinos, subcontratados por Bob, trabajaban durante la noche, en un horario que imitaba a una jornada laboral promedio de ocho horas. También se pudo establecer que es probable que ésta experiencia del outsourcing de Bob "se haya extendido a lo largo de varias empresas en su área, lo que lo hizo ganar varios cientos de miles de dólares al año mientras pagaba aproximadamente 50,000 dólares anuales a sus programadores fantasma de China, según cientos de facturas en PDF que también fueron descubiertas en su computadora de trabajo" (CNN).

La investigación forense de la estación de trabajo de Bob reveló que el bueno, inofensivo y tranquilo empleado pasaba durante su horario laboral navegando por Reddit, viendo vídeos de gatos, visitando eBay y las redes sociales de Facebook y LinkedIn. Verizon, informó que a través de un correo electrónico, Bob “fue despedido al final de la investigación”.

Realmente todo un caso de estudio. Pienso que no pocos apuntarán al tema teletrabajo, y sus implicancias en la seguridad, pero creo que ésta modalidad laboral se está imponiendo y brindando posibilidades laboral a cada vez a mayor número de personas y aunque se pueda señalar aspectos que hacen a la seguridad, todo ésto se ira superando con el tiempo. Me parece que lo que se debe considerar, como algunas veces lo señalamos en éste blog, es el tema del factor humano.

El factor humano limita la gestión efectiva de la seguridad, es algo ya bien entendido pero no asumido. Las empresas tienden a menospreciar el papel de la conducta humana y se inclinan a confiar en el hardware y en el software para resolver problemas de seguridad, cuando lo que necesitan dedicar más tiempo a capacitar y concientizar al personal en políticas y procesos, si quieren asegurar las infraestructuras de TI.

Fuentes:

El eclipse de Júpiter por la Luna

Eclipse de Júpiter por la Luna I
Foto de la serie: "El eclipse de Júpiter por la Luna" ©Todos los derechos reservados.
Por cuarta vez en un año desde la visión de la Tierra, el planeta Júpiter se aproximó a la Luna y desapareció tras de ella. El fenómeno sólo se pudo ver en su totalidad en Sudamérica y la Polinesia Francesa, mientras que en otros puntos solo se divisó una aproximación.

Eclipse de Júpiter por la Luna II
Foto de la serie: "El eclipse de Júpiter por la Luna" ©Todos los derechos reservados.
El eclipse de Júpiter por la Luna comenzó a las 00:55 horas (Argentina) de la madrugada de hoy, 22 de enero de 2013. En la ciudad de Santiago del Estero el cielo estaba seminublado, y hasta unos instantes previos al inicio del eclipse de Júpiter tras la Luna, no se los podía ver. Luego, escuchando el pedido, el cielo se fue despejando en ese sector y algunos pudimos gozar del espectáculo celestial.

Eclipse de Júpiter por la Luna III
Foto de la serie: "El eclipse de Júpiter por la Luna" ©Todos los derechos reservados.
Júpiter se aproximó a la Luna por el lado oscuro de la fase lunar Cuarto Creciente, viéndose a simple vista. Lamentablemente no tenía un mejor lente, ni trípode para captar éstas fotos, porque no teníamos previsto que se despejara, cuando ocurrió tome la máquina y disparé nomas. Me queda la lección para otra oportunidad.

Donde si lo vimos muy bien al eclipse, fue en la transmisión de TN.com.ar, que realizaron un seguimiento del ocultamiento de Júpiter tras la Luna con muy buenas imágenes.

Júpiter volvió a aparecer cerca de las 02:00 hs. de la madrugada, pero no pudimos ver nada y vencidos por el sueño nos fuimos a dormir.

Lamento que en la ciudad de Santiago del Estero no exista una iniciativa seria para reflotar esa asociación de "amigos de la astronomía" como la tuvo hace ya mucho años atrás gracias a la iniciativa de don Albano Volta. Hace un tiempo escuche y leí por ahí que había algunas iniciativas para reflotar todo ésto, y de la construcción de un observatorio en la Escuela Normal, pero hoy por hoy no tengo ninguna información al respecto y no se si se concretaron finalmente.

Todas las fotografías con Todos los derechos reservados por Jorge S. King© 2007-2013 Absténgase de utilizarlas.

lunes, 21 de enero de 2013

Se hunde en Puerto Belgrano el destructor misilístico A.R.A Santísima Trinidad

Imagen: Recorte de ELROSALENIO.com.ar
Según se ha informado la rotura de una tubería en el sector de máquinas del destructor misilístico A.R.A Santísima Trinidad, provocó el anegamiento de varios compartimientos que resultó en el escorado de la nave. El hecho, según las fuentes de información, "habría ocurrido en la madrugada de este lunes cuando se detectó la falla mientras el agua comenzaba a ganar distintos sectores".

Aunque prontamente acudieron otras unidades para intentar con bombas de achique, sacar el agua, en la mañana de este lunes, el buque estaba escorado hacia babor apoyado contra un buque pesquero con una inclinación de unos 50 grados.

El A.R.A Santísima Trinidad se encontraba amarrado en un sector del muelle en la base naval de Puerto Belgrano (BNPB), y está fuera de servicio hace varios años.
Los técnicos esperan a que la nave "toque fondo con la baja de la marea" para poder trabajar en la reparación, informó la Armada en un comunicado.

Según informó la Armada, tras la avería "se presento en el lugar personal especializado del Servicio de Salvamento y Buceode la Armada". Los especialistas determinaron que el problema se suscitó "como consecuencia de la rotura de una tubería de 6 pulgadas, lo cual produjo un importante ingreso de agua".

"Ante la cantidad de agua embarcada que superó la capacidad de las bombas de achique, se procedió a retirar al personal que se encontraba trabajando, a la espera que la embarcación toque fondo con la baja y de esta manera poder trabajar con mayor seguridad". La Nación.
Actualización 22/01/2013
Combatió en las Malvinas y hoy se hunde en el abandono.- "El destructor Santísima Trinidad, uno de los pocos buques de la Armada que entraron en contacto directo con fuerzas británicas en la guerra de las islas Malvinas, empezó a hundirse ayer en la Base Naval de Puerto Belgrano a raíz de la rotura de una tubería. El daño sufrido por la histórica nave, que fuentes navales atribuían ayer al virtual abandono en el que se encontraba, se suma a las averías de otras unidades de la Armada como consecuencia de las restricciones presupuestarias, que derivaron en la falta de un adecuado mantenimiento de la flota". Por Mariano De Vedia para La Nación.
Fuentes:

Mega.co.nz no me convence, hay gran riesgo con la contraseña

Leyendo opiniones sobre Mega.co.nz, el nuevo servicio de almacenamiento en línea de Kim Dotcom, lanzado ayer, me doy con algunos importantes detalles a tener en cuenta.

El primero es el asunto de la contraseña, Mega no pide confirmar la contraseña (password) cuando se crea una cuenta, y no almacena las contraseñas, de modo que si uno la pierde, no hay ninguna forma de recuperar la misma. El sistema de ayuda del servicio informa que “desafortunadamente su contraseña MEGA no es sólo una contraseña – es la clave de cifrado principal para todos sus datos. Si la pierde, se pierde el acceso a todos los archivos que no están en una carpeta compartida y que no tienen ningún fichero previamente exportado o la llave de la carpeta”. La contraseña se usa para generar de forma indirecta las llaves para cifrar y descifrar los archivos que se suben.

Todas las operaciones criptográficas simétricas están basados ​​en AES-128. Funciona en modo de encadenamiento de bloques de cifrado para el archivo y bloques de atributos de carpeta y en el modo de contador de los datos del archivo.

En el cifrado simétrico la misma clave se utiliza para cifrar y descifrar los datos, lo que es menos seguro que el cifrado asimétrico (donde una clave cifra y descifra una clave diferente), pero es más rápido y más fácil de implementar.

La clave utilizada para cifrar sus archivos y carpetas Mega se almacena en los servidores de Mega, en lugar de en el equipo local. La misma clave se guarda encriptada usando la contraseña de su cuenta. Se está señalando que no parece haber ningún mecanismo de recuperación de contraseña en cualquier lugar de las pantallas de Mega o de inicio de sesión, ni ningún método para cambiar la contraseña en el panel de control de usuario. Debido a que la principal clave AES-128 se aloja con su contraseña, recordar la contraseña es vital. Perderla significa que no sólo pierden la capacidad de iniciar sesión en el servicio, se pierde la capacidad para descifrar los archivos, y punto.

Se ha informado que el cifrado a partir de la contraseña implica la imposibilidad de cambiar la contraseña de usuario sin descartar las llaves para descifrar. Por lo que uno debería quedarte "para siempre" con una única contraseña, algo que suena hasta feo.

En el lamentable caso que alguien descubra y utilice la contraseña elegida por Ud. y se tome su cuenta, la usurpe, no hay ninguna manera de recuperar la cuenta y desalojar al usurpador. Quedaría como única manera de proteger los datos el borrarlos de Mega.

También se informa que no es posible hacer streaming de archivos almacenados en Mega, debido a que el “modelo de encripción de extremo a extremo por sí excluye cualquier manipulación del lado del servidor de datos, que serían necesarios para implementar esta característica”.

Otro tema que se señala como conflictivo es que el sistema de encriptado y descifrarlo hace muy difícil saber si el contenido subido por un usuario es o no legal, y no podría saber si se comente alguna infracción, a menos que se "le indique directamente qué es lo que está violando el copyright, incluyendo el enlace y la llave para descifrar el archivo". De ésta manera, Mega no podría ser señalado de ser responsable de “facilitar” nada, porque no puede saber qué es ilegal y qué no. Muy vidrioso el tema.

Como lo dijimos ayer, "estar con todas las luces prendidas en el caso de decidir usar el servicio". No me convence.

Fuentes:
Post relacionado:

  • Mega.co.nz inicia sus servicios con algunas dificultades. 20/01/2013.
  • ¿En que posición duermes?

    ¿Tienes problemas para descansar? No pocas veces uno mismos le suma al malestar, por el estrés diario, el hecho de levantarse incómodo con la sensación de no haber descansado bien durante nuestras horas de sueño, todo por no tener una postura apropiada durante el sueño.

    Recién, visitando algunos medios en búsqueda de una buen lectura, encontré una interesante nota que trata éste tema de las posturas para dormir, que les recomiendo:
    Descubra la mejor posición para dormir.- " "Es importante que la gente se tome el tiempo para pensar en cómo se colocan cuando duermen", afirmó Peggy Brill, una fisioterapeuta ortopédica de Manhattan. "Es importante descansar para que el sistema muscular esquelético se recupere del estrés de cada día", indicó. "Las proteínas vuelven a los músculos, hay un rejuvenecimiento del cuerpo, así que es bueno estar en una posición anatómica saludable al dormir" ". Por Sumathi Reddy para The Wall Street Journal.
    Todo un tema realmente, como bien señala la nota "los expertos afirman que no hay una forma correcta de dormir", por lo que en el caso de tener dificultades o problemas, es importante estar bien informados y consultar a los médicos especialistas.