Un día cualquiera, te levantas, te lavas la cara y te dispones, como todas las mañanas, a ir al “tajo”. Cuando llegas observas que tu bonita oficina, está en llamas. Dios, te preguntas: ¿Sigo dormido? ¿O de verdad ha funcionado ese deseo estúpido que pedí en San Juan mientras como un cangurito saltaba las olas?

Pero señores, como de algún sitio hemos de sacar ese dinerillo para hacernos con esos objetos tan indispensables en nuestras vidas como PowerBalls, Gadgets lanzamisiles o tazas USB, es necesario que las contingencias o situaciones de emergencia estén previstas, si no se quiere sufrir pérdidas importantes en el negocio. Desastres naturales, operacionales, o humanos son sólo algunos de los aspectos que un buen gestor de continuidad debe prever. Es por eso que surge la necesidad de planificar, en cierta manera, una solución que nos aporte un mínimo nivel de operatividad en nuestros negocios. De esta necesidad surge el concepto de Continuidad de Negocio y Recuperación ante desastres. Ambos conceptos pueden parecer similares pero detrás de ellos se esconden propósitos muy diferentes. Mientras que el primero estaría orientado a los procesos de negocio que la empresa maneja, el otro estaría dirigido a la recuperación de los servicios de TI. Ambos conceptos podrían ser cubiertos mediante lo que sería un plan de contingencias. Pero, ¿de qué consta este plan? Pues bien, básicamente de un fabuloso Plan de Continuidad de Negocio (PCN) y de un magnífico Plan de Recuperación ante Desastres (PRD). Aunque ambos proyectos pueden ser emprendidos de forma independiente, en la mayoría de los casos se opta por una solución integral.

Hace poco tiempo, identificando el dominio protegible para iniciar una auditoría de seguridad, un colega, Ingeniero Industrial, me mostraba orgulloso un típico panel de control de los sistemas de seguridad de un lugar de pública concurrencia, y orgulloso proclamaba y explicaba la impresionante funcionalidad del sistema que estaba acabando de montar. Mi colega tenía razón, aquello era un sistema de control industrial impresionante y realmente avanzado. Hacía el final de su exposición, sus explicaciones en cuanto a la forma en la que se estaba montando empezaron a preocuparme. Me quedé pensativo cuando acabó afirmando que todo lo que estábamos viendo era accesible desde un navegador e incluso, la semana siguiente, desde “China”, podría acceder a modificar la parametrización del sistema, ver el estado de los detectores de humo, de las alarmas contra incendios o comprobar la temperatura de los fancoils. O, añadí yo convenientemente, para disparar la alarma de evacuación por incendio en medio un acto público con el centro abarrotado de gente.

Y es que la misma vía de acceso podría ser utilizada tanto para el acceso de un técnico en labores de mantenimiento como para el de un saboteador haciendo uso de alguna vulnerabilidad conocida con un exploit publicado. ¿Se pueden ustedes imaginar lo que supondría una intrusión en un sistema de este tipo por parte de un sujeto con dudosas intenciones durante un acto público?, ¿qué significaría la activación del sistema de alarma contra incendios en un lugar como este?, ¿pánico? …

Hace unos días, ví en Computing (nº 514, 9 de mayo) una viñeta en la que un tipo pensaba: “¿Pero el Windows Vista es totalmente nuevo, o han tuneado el XP?”. Eso me recordó la primera impresión que me produjo ver (hace ya algunos meses) el nuevo sistema operativo de Microsoft cuando instalé la beta en el PC de casa. Desde luego parece un XP tuneado, empezando por el diseño más llamativo y el hecho de incluir características de la versión Windows XP Media Center (era la versión Ultimate).

Sin embargo, desde el punto de vista de la seguridad, ¿qué había de nuevo? Evidentemente, puedes pasarte horas dando palos de ciego tocando aquí y allá. Así es que con la Windows Vista Security Guide en mano me puse a explorar.

Hace un par de semanas, contraté para mi dominio personal (”.org”) un nuevo servicio que me ofrecía GoDaddy.com cuya finalidad es ocultar los datos de carácter personal que aparecen en una consulta Whois. Como saben, ICANN exige que los datos que aparecen en las consultas Whois a un determinado dominio sean verdaderos [ICANN Whois Data Reminder Policy], so pena de la cancelación de éste. Aunque este es un tema que presumiblemente va a cambiar en un futuro cercano, actualmente esa es la política actual.

Por supuesto, y aunque estoy adivinando, con cerca de sesenta millones de dominios “.com” (más los “.net” y “.org”) en el mundo, esto es con toda probabilidad una formalidad que se aplicará cuando haya por medio un litigio por algún dominio, un delito, o alguna situación similar. No obstante, en última instancia, esto significa que su nombre y apellidos, teléfono, fax, y dirección personal, aunque no sean requeridos activamente por ninguna entidad oficial, están disponibles al público; todo muy en la línea de la aproximación a la protección de los datos de carácter personal que existe al otro lado del charco.

Hace un par de días recibí una carta del banco donde tengo domiciliada la hipoteca, ofreciéndome un nuevo servicio. No sé que harán ustedes, pero les confieso que yo no suelo hacer mucho caso a estas ofertas. Bueno, en realidad, ni mucho ni poco; van directamente a la papelera, como virtualmente el resto de la publicidad que recibo. Sin embargo en este caso una cosa me llamó la atención: la firma del director al final de la carta. Sí, ya sé que esto es también habitual y no supone ninguna novedad, pero déjenme explicarles.

¿Saben ustedes lo que pone detrás de mi tarjeta de crédito, debajo de la banda magnética?

Puede apostar a que pone algo parecido detrás de la suya. Al parecer, esa firma sirve para dos cosas. La primera, y más obvia, para que el vendedor pueda comprobar que la firma del recibo es la misma que la que hay detrás de la tarjeta de crédito (Quick steps to Visa Card acceptance: 6. Check the signature. Be sure that the signature on the card matches the one the transaction receipt. [usa.visa.com]). La segunda, según indica Museum of Hoaxes (no he podido localizar una fuente oficial), para indicar que estás de acuerdo con los términos de uso de la tarjeta. Respecto a esta última, tengo serias dudas, aunque luego se las cuento.

Según leo en Enrique Dans, ayer hubo una pequeña conmoción en la blogosfera -y sectores más tangibles, como verán- a causa de una información falsa distribuida por Engadget [más, aquí]. Para aquellos que no lo conozcan, Engadget, bitácora dedicada a los “chismes” [gadgets], es uno de los primeros blogs mundiales en volumen de tráfico, levemente inferior al que recibe elmundo.es [OJDInteractiva y Engadget]. No obstante, si tenemos en cuenta la cantidad de contenidos servidos por ambos sitios, Engadget llega a asustar.

Brevemente, ayer alguien hizo llegar a los empleados de Apple un correo electrónico fraudulento que aparentemente parecía proceder de fuentes oficiales de la compañía; en éste se anunciaba que el esperado iPhone y el sistema operativo Mac OS X Leopard se iban a retrasar… un año más. Este correo fue filtrado a Engadget y poco después de su publicación, la cotización de Apple cayó un 4%, lo que es, en los niveles en los que se mueve esta empresa, mucho, muchísimo dinero. Si quieren más información, pueden visitar algunos de los enlaces arriba incluídos, que la cuentan de primera mano. El caso es que muchos medios de la blogosfera, fieles a su ombliguismo, debatían hoy en torno a la fiabilidad de los blogs y la necesidad de contrastar las opiniones.

En estos últimos tiempos están muy de moda los “0day exploits”, esto es, exploits existentes y en uso, para los cuales aun no ha sido publicada la vulnerabilidad y por supuesto no existe parche al respecto.

Un administrador de sistemas puede pensar que las vulnerabilidades de seguridad siguen el siguiente patrón:

El pasado fin de semana estuve viendo por tercera o cuarta vez Casa de Juegos, de David Mamet; confieso que la recordaba mejor. Supongo que en cierto sentido, por eso el poeta cubano decía aquello de No vuelvas a los lugares donde fuiste feliz; nuestra memoria no siempre es fiel a la realidad. La película en cuestión es de hace ya veinte años, en la que Mike (Joe Mantegna) es un timador dispuesto a desvelarle los trucos y entresijos de su “oficio” a una psicóloga (Lindsay Crouse) demasiado curiosa.

En una de las escenas, ambos se acercan a una “tienda” de envío de dinero, se sientan y esperan al siguiente cliente. A los pocos segundos, un marine que tiene que volver a la base entra en el establecimiento. Justo en ese momento, Mike se acerca al dependiente y ostensiblemente se queja de que no hay noticias de su dinero, mientras el recién llegado observa la escena; en realidad, él no sabe que ese dinero no existe. Los siguientes minutos transcurren viendo cómo en una breve conversación el timador se gana la confianza de su víctima, lamentándose de su situación y comprometiéndose a que si su dinero llega antes que el del marine, le pagará el autobús para que pueda volver a la base. Finalmente, como era de esperar, el dinero del chico llega y éste se ofrece a darle parte de éste a Mike. Dinero a un desconocido a cambio de nada. ¿Qué hemos aprendido hoy?, le pregunta él a ella cuando salen del establecimiento (rechazando la oferta). A no fiarse de nadie, contesta él mismo.

Hace unos días, buscando información en Internet, me topé con una herramienta llamada The Dude que se ejecuta en plataformas Microsoft Windows. Al verla no pude dejar de pensar en Nagios y en la solución que podría suponer para ciertos administradores de sistemas que no cuentan (o no quieren contar) con sistemas Linux en los entornos que gestionan.

La herramienta proporciona un mapa de red gráfico que nos indica con un código semafórico el estado del hardware, un sistema de notificaciones mediante pop-ups en el equipo donde reside la aplicación o mediante el envío de correo electrónico. Aunque el número de servicios a monitorizar es (hasta donde ví) muy limitado, es posible parametrizar los existentes y crear nuevos.

Actualmente, la versión estable es la Dude v2.2, pero ya existe en beta la versión Dude v3.0 beta 6. ¿Alguien se anima?