Aturar serveis SQLServer amb Scripts per fer BackUp a xarxa.

Aturar serveis SQLServer

En molts casos les aplicacions petites no tenen previst cap mena de sistema de BackUp i cal improvisar algun. Vet aquí uns passos que poden ser útils per a aquesta feina, segons a quin nivell vulguis arribar:

1. Aturar serveis SQLServer manualment + còpia
2. Aturar serveis des de script sense forçar el Administrador
3. Fer la còpia a xarxa

Aturar serveis SQLServer + còpia

A priori aquesta es una part força simple i facil de realitzar. Normalment es pot aturar un servei amb la instrucció net stop servei

Opció (Windows 7)
Interactiu (si ets administrador) Ho pots fer directment amb l'opció Administrar i el botó d'aturar el servei
Batch Interactiu(Malgrat ser administrador) Per a fer-ho amb línia de comandes, cal executar forçar l'execució com administrador (Run As- Executa'l com a Adminsitrador) NET STOP MSSQL$SQLEXPRESS NET STOP SQLWriter
Ja pots fer la còpia de les carpetes de dades

Aturar serveis des de script sense forçar el Administrador

Per a fer-ho, cal un truc, un accés directe indicant que cal executar-ho com a Administrador.

Pas
Crear un batch amb les instruccions	NET STOP MSSQL$SQLEXPRESS NET STOP SQLWriter
Crear accés directe i modificar-lo per marcar el flag d'Administrador

Fer la còpia a xarxa

Quan un script s'executa en el context del Administrador, no hi han les connexions a la xarxa que té el usuari normal.
Com aconseguir fer la còpia a la xraxa, doncs?
L'única manera que he trobat es partir-ho en 2 pasos que executarà el usuari:

Pas
Afegir al batch d'aturada de SQLServer els passos de còpia local	set v_origen=C:\Program Files (x86)\Microsoft SQL Server\MSSQL.1\MSSQL\Data set v_desti=C:\TEMP\MSSQL\Data ROBOCOPY "%V_ORIGEN%" "%v_desti%" /S /TEE /NC /NS /NJH /NJS /NP /XX /XJ /R:0
Crear accés directe i modificar-lo per marcar el flag d'Administrador	Vist en el pas anterior.
Crear un 2on Batch que faci la còpia a xarxa. En aquest no cal permisos d'Administrador	set v_origen=C:\TEMP\MSSQL\Data set v_desti=Y:\BackUp\SQLDATA ROBOCOPY "%V_ORIGEN%" "%v_desti%" /S /TEE /NC /NS /NJH /NJS /NP /XX /XJ /R:0

Java: Com declarar una instància de String[] args ?

java.com

Típicament la principal funció d'una classe es la main i habitualment es declara com a: main(String[] args); però com es pot generar aquest paràmetre?

Si fem buna recerca per Internet a tot arreu trobarem replicat el manual de Java i fins i tot tinc una entrada aquí mateix trobarem una descripció de com funciona la creació de objectes.


Ara la pregunta es... com puc declarar-ho correctament si no em bé per la crida del la classe?

Doncs fent una cosa tan simple com:

String[] empty_strings = {};

amb això podràs declarar un paràmetre buit que et pot fer servir per a simular la crida al main sense cap mena de paràmetre especificat.

Procrun, Prunsrv: Com generar un servei Windows d'una aplicació Java

http://commons.apache.org

Moltes vegades ens caldria que una aplicació  Java funcioni com a servei Windows.
Això passa per exemple amb el servidor Apache Tomcat, però pot ser necessari per algun programa nostre.

Com fer un servei Windows d'un programa Java?

Afortunadament hi ha es conjunt d'aplicacions procrun que ens ajuden, i molt, a aconseguir-ho.
Veiem-lo amb un exemple fet amb Eclipse:

Pas	Exemple
Compilar el programa com "Runnable JAR file"
Verificar que el programa funciona correctament.	java -jar path\to\Newsdeploy.jar
Crear un script de instal·lació. Aquí (GitHub) tens un exemple
Executa'l com a Administrador Nota: Malgrat que tinguis dret d'administrador, cal executar-ho com a Administrador.
Verifica que els paràmetres han quedat carregats
Important revisar el compte amb el que s'ha d'arrencar el servei
Nivell de logs
Important revisar el paràmetre "Java Options" ha de contenir el camí (path) fins al fitxer .jar de la teva aplciació
Verificar també la class. La class indicada ha de ser la classe final (inclós el nom del paquet complert). El mètode ha d'incorporar com a paràmetre d'entrada String[] obligatòriament.

Errors comuns

Error	Sol·lució
Could not start service on Local Computer... ... error code 4	Normalment va associat a un error que trobaràs al fitxer indicat al apartat de "Nivell de logs" (Veure apartat anterior): FindClass com/MyPackage/MyClass failed Revisar la presència de la classe indicada i de totes les llibreries associades. Revisar els mètodes indicats al inici i final per a verificar que declaren entrada de paràmetre.

Enllaços relacionats:

Apache Commons Procrun
Apache Tomcat
BAT d'instal·lació
joerglenhard.wordpress.com

Oracle Database end-of-life support

www.oracle.com

Oracle Database Lifecycle

Una de les coses que cal vigilar tant des de un punt de vista de gestió de riscos com de la gestió de inversions es el final de cicle de vida dels productes.

Oracle publica en el següent link la seva política de suport.

Final del cicle de vida (end-of-life)

Si aneu a la pàgina trobareu (Sota el ambigu concepte de "Technology") un document (PDF) on especifica el suport per a les Bases de Dades Oracle:

Oracle Database	GA Date (General Availability)	Premier Support (for five years from the GA)	Extended Support (for an additional fee)
12.1	Juny 2013	Juliol 2018	Juliol 2021
11.2	Set. 2009	Gener 2015	Gener 2018
11.1	Agost 2007	Agost 2012	Agost 2015
10.2	Juliol 2005	Juliol 2010	Juliol 2013
10.1	Gener 2004	Gener 2009	Gener 2012

En general, tal com indica aquí:

... Generally, only releases in these first two stages of support are included in the Critical Patch Update program.
For most products, only the latest versions within each release receive Critical Patch Update patches
...

Es important tenir en compte les condicions de suport, per exemple en el CPU (Critical Patch Update) afegeixen els següents comentaris:

...
Critical Patch Update Supported Products and Versions
Patches released through the CPU program are provided only for product versions that are covered under the Premier Support or Extended Support phases
...
Products in Extended Support
Patches released through the CPU program are available to customers who have purchased Extended Support...
Customers must have a valid Extended Support service contract to download patches released.
...
Product releases that are not under Premier Support or Extended Support are not tested for the presence of vulnerabilities.
...

Enllaços relacionats:

• Lifetime Support Policy: Oracle Technology Products
• Oracle lifetime support

Sites de interès: 10 sites que hauries de guardar.

from www.openclipart.org

Llegeixo en aquesta pàgina de Bitelia una sèrie de Webs que realment son força interessants per a la gent de IT.

D'aquests links, més els que jo afegiria, sortiria la següent llista:

Tools

Funcionalitat	Site
http://vectormagic.com	Conversió de imatges a imatge vectorial escalable. Amb registre. Permet descarrgar 2 conversions gratuïtes. D'aquesta manera no et cal SW de conversió i pots dispossar d'ell allà on estiguis donant suport.
ttp://mailinator.com/	Adreçes Web d'un sol ús. Perfectes per a llocs on demanen adreça mail i desprès t'omplen de spam.
http://imgur.com/	Storage de imatges gratuïtes.
www.come.in	Ocultador de BitTorrent Permet accedir a sites BitTorrent que els proveïdors han tallat. Nota: Alguns Firewall empresarials tampoc permeten l'accés !!
www.tineye.com	Pemet recerques de imatges inverses, es a dir, tinc la imatge... qui la va publicar? Es gratuït per a ús no comercial
DuckDuckGo	El nou Google que no t'espia!!!
www.easel.ly	Web per a generar resums visuals mitjançant "drag&drop".
Video loop generator	Un producte de Microsoft Research que permet extreure un video loop de 5 segons i automàticament ajusta. Ho descarregues i ho instal·les directament.

Enllaços relacionats:

• http://bitelia.com/2013/12/sitios-web-utiles-favoritos
• www.openclipart.org

Eines de Suport Remot: LANDesk

http://www.landesk.com

LANDesk es una grup d'eines que ajuda a gestinar diverses funcionalitats, entre elles:

• Inventori de Software
• Control Remot
• Distribució d'imatges

Aquests productes es basen en un agent instal·lat als equips i un, o una sèrie, de servidors que gestionen les diferents activitats.

Ports a obrir al tallafocs (Firewall)

Quan es treballa amb aquesta mena d'eines ens cal obrir ports als tallafocs (Firewall).
Afortunadament documenten aquesta informació a la següent plana.
Un dels punts comentats a la pàgina de suport es que moltes d'aquestes funcionalitats es basen en una funcionalitat "ping" inicial (ICMP, ECHO)  però donat que no es l'únic port ni protocol, aquí deixo la llista per a clients Windows i Servidor, tot i que a la pàgina de LANDesk trobaràs per a clients Linux i Mac:

Ports al client Windows

Windows Agent	Port #	Direction	Notes
TCP	25	IN	UDD
TCP	80	OUT	Patch Manager, Security Suite, Software Distribution, Inventory
TCP	137	IN OUT	NetBIOS (non-domain clients)
TCP	139	IN OUT	UNC
TCP	443	OUT	Client, Core, Inventory, Software Distribution
TCP	445	IN OUT	UNC
TCP	4343	IN OUT	HTML5 Remote Control
TCP	5007	OUT	Inventory
TCP	9535	IN	Remote Management
TCP	9593	IN	Software Distribution
TCP	9594	IN OUT	Software Distribution
TCP	9595	IN OUT	Agent Discovery
TCP	9971	IN	AMT Discovery
TCP	9972	IN	AMT Notification
TCP	9982	OUT	AMT Discovery/VPro
TCP	12174	IN	Remote Execute
TCP	12175	OUT	Software Distribution (Policy)
TCP	12176	OUT	Software Distribution (Policy)
TCP	16992	IN OUT	HTTP AMT Management
TCP	16993	IN OUT	HTTPS AMT Management
TCP	16994	IN OUT	AMT Hello Packet
TCP	33354	IN OUT	Software Distribution (Peer Download, Multicast)
UDP	67	OUT	Imaging (PXE Broadcast)
UDP	68	IN	Imaging (PXE)
UDP	69	OUT	Imaging (PXE TFTP)
UDP	1758	IN	Imaging (PXE MTFTP)
UDP	1759	OUT	Imaging (PXE MTFTP)
UDP	4011	OUT	Imaging (PXE Unicast)
UDP	9535	IN OUT	Device Discovery, XDD
UDP	9595	IN OUT	Agent Discovery
UDP	33354	IN	Software Distribution (Multicast)
UDP	33355	IN	Software Distribution (Multicast)
UDP	38293	IN OUT	Agent Discovery

Ports al servidor

Core Server	Port #	Direction	Notes
TCP	25	OUT	UDD
TCP	80	IN - OUT	Client, Inventory, Patch Manager, Security Suite, Web Console
TCP	139	IN	Console, UNC
TCP	389	OUT	LDAP
TCP	443	IN	Client, Console, Core Sync, Inventory, SLM, Software Distribution
TCP	445	IN	Console, UNC
TCP	1433	OUT	Database (MS SQL Server)
TCP	1521	OUT	Database (Oracle)
TCP	5007	IN	Inventory
TCP	8092	IN - OUT	Core, Console, AMT MPS Server
TCP	9535	OUT	Remote Management
TCP	9590	IN - OUT	Console, SLM
TCP	9591	IN - OUT	Console, SLM
TCP	9593	OUT	Software Distribution
TCP	9594	IN - OUT	Software Distribution
TCP	9595	IN - OUT	Agent Discovery
TCP	9971	OUT	Agentless AMT Discovery
TCP	9972	OUT	AMT Notification
TCP	9982	IN	AMT Discovery (VPro)
TCP	12174	OUT	Remote Execute
TCP	12175	IN	Software Distribution (Policy)
TCP	12176	IN	Software Distribution (Policy)
TCP	16992	IN - OUT	HTTP AMT Management
TCP	16993	IN - OUT	HTTP AMT Management
TCP	16994	IN - OUT	AMT Hello Packets
TCP	33354	OUT	Multicast
UDP	9595	IN - OUT	Agent Discovery
UDP	33354	OUT	Multicast
UDP	38293	IN - OUT	Agent Discovery

Log4j: Crear sortides a fitxer i consola.

http://logging.apache.org/log4j/1.2/

Log4j duplicar sortides

Apache Logging ha tret la versió Log4j 2 en Beta, però de moment hi ha molt codi a mantenir amb la versió 1.2 (La darrera publicada es la 1.2.17).

Una de les coses que cal de vegades es duplicar la sortida dels logs a 2 destins diferents, per exemple, Consola i fitxer.

Appender

Afortunadament log4j cobreix aquest aspecte amb el concepte appender.
Veiem un exemple de configuració amb el fitxer log4j.xml

<root>
<priority value="WARN" />
<appender-ref ref="fitxerlog" />
<appender-ref ref="Consola" />
</root>


Si utilitzes aquests appender-ref  tots els missatges de valor WARN (més sobre nivells aquí) o superior es duplicaran als 2 appender definits.

Enllaços relacionats:

Log4j: Crear un fitxer de sortida
Appache Log4j: API Appender

Log4j: Crear sortides a fitxer

http://logging.apache.org/log4j/1.2/

Log4j sortida a fitxer (FileAppender)

Apache Logging ha tret la versió Log4j 2 en Beta, però de moment hi ha molt codi a mantenir amb la versió 1.2 (La darrera publicada es la 1.2.17).

Una de les coses que cal de vegades es generar logs. Afortunadament log4j disposa de un ampli ventall d'opcions per a definir una sortida a fitxer.
Veiem un exemple amb alguns detalls addicionals interessants.

DailyRollingFileAppender

Veiem un exemple de configuració amb el fitxer log4j.xml

<!-- Send to a file --> <appender name="fitxerlog" 
class="org.apache.log4j.DailyRollingFileAppender">
<param name="append" value="true"/> <param name="DatePattern" value="'.'yyyyMM" /> <param name="file" value="C:/TEMP/Newsdeploy.log"/> <layout class="org.apache.log4j.PatternLayout"> <param name="ConversionPattern" 
value="%d{ABSOLUTE} %-5p %c.%M:%L - %m%n" /> </layout> </appender>

Seguint aquest exemple podem veure:

Paràmetre	Comentari
name="fitxerlog"	Es el nom identifica aquest appender en concret.
DatePattern	Una funcionalitat molt i molt interessant que permet generar un archiving automàtic dels fitxers del log. En aquest exemple es generarà un fitxer nou a final de mes i l'antic quedarà modificat amb any i mes.     example.log         02/12/2013 12:53     example log.201311  29/11/2013 15:32 D'aquesta manera els fitxers de log queden d'un tamany raonamblement manegable i es fàcil fer una neteja mensual. Pots consultar més formats aquí
file	Fitxer, i path, de log Cal recordar que des de Windows cal utilitzar la cotnrabarra "/"

Enllaços relacionats:

http://logging.apache.org/log4j/1.2/apidocs/org/apache/log4j/DailyRollingFileAppender.html

Quan la desaparició del "Cloud" es una realitat.

La desaparició del "Cloud"

Que cada vegada més la informàtica recau en el "Cloud" es una realitat.
El "Cloud Computing" ha vingut i es quedarà. Però també es cert que des de un punt de vista de gestió de riscos i continuïtat (BCP, DRP) cal tenir en compte la seva desaparició del cloud.


Especialment perquè la desaparició del "Cloud" ja ha passat.
Ja vaig escriure un post respecte als riscos del "Cloud". Ara llegeixo al Wall Street Journal que el proveïdor Nirvanix Inc. va entrar en liquidació donant 2 setmanes de marge per a retirar les dades.

Que passa si desapareix el proveïdor del "Cloud"?

Quan ets un usuari 2 setmanes per a recuperar les teves dades semblen molt temps.
Quan ets una empresa amb 70 Terabytes el problema es enorme.
Per exemple, segons la Sarbanes-Oxley Law les companyies han de mantenir copies dels seus registres financers. Si el teu proveïdor desapareix el incompliment de la llei es teu, no del teu proveïdor.

Cada cas es diferent, en funció de les dades i la forma d'accés que hi hagi.
Al anàlisi que vaig comentar hi ha un apartat on es comenten els formats de les dades.
També cal tenir en compte si l'accés es fa per mecanismes automàtics i on-line o simplement es un storage de dades encriptades.

En qualsevol cas la revisió del teu BCP (Business Continuity Plan) ho ha de tenir en compte. Que no sigui que no ho he avisat :-)

La desaparició del "Cloud" ja ha passat!!

Enllaços relacionats:

http://anewishope.blogspot.com/2013/08/cloud-computing-lanalisi-de-riscos.html
http://blogs.wsj.com/cio/2013/10/07/sudden-collapse-of-cloud-provider-rattled-iac/
http://blogs.wsj.com/digits/2013/09/17/nirvanix-shuts-leaving-cloud-storage-customers-scrambling/

Eines de verificació MD5, SHA-1 a Windows

icon from openclipart.org

Al descarregar Software es habitual que publiquin les signatures MD5 i SHA-1 per tal que es pugui verificar que el contingut descarregat correspon al que esta publicat a la pàgina oficial.
A casa es fàcil fer la verificació, però com ho puc fer dins d'una empresa amb restriccions de productes?

Verificació MD5, SHA-1 a Windows.

Habitualment el món empresarial te desplegat Windows, i els departaments de IS no posen excessius problemes en instal·lar aplicacions de Microsoft.
Una de les eines que publica, sense suport cal dir, es Windows-KB841290-x86-ENU.exe, un nom gens descriptiu que correspon a una eina bàsica de verificació.
Te una segona avantatge i es que es pot instal·lar en el directori de la teva elecció, sense que requereixi permisos d'administrador (Restricció habitual en entorns empresarials amb Windows 7).

Un cop descarregada e instal·lada (imaginem que a c:\Temp per seguir l'exemple), pot verificar la signatura amb la següent execució bàsica com a exemple de verificació:

C:\Temp>fciv.exe "c:\examples\winscp517setup.exe" -sha1

//
// File Checksum Integrity Verifier version 2.05.
//
46ecee81ae34e63297a83ddc25eee8ff4c20dfe1 c:\examples\winscp517setup.exe

Amb aquesta execució (fciv.exe) i especificant el format de càlcul (-sha1) et retorna el resultat del fitxer consultat.


Apa, ja pots fer verificacions sense que el teu departament de IS posi traves i problemes.

Enllaços relacionats:

Microsoft File Checksum tool
Microsoft tool

Cloud Computing: L'anàlisi de Riscos

Ja he fet altres entrades relacionades amb el Cloud Computing i amb una sèrie de punts a tenir  en compte abans de prendre una decisió com aquesta.

A Cloud Computing - "La nova pedra filosofal" feia referència a la diferència de posició a la hora de negocia entre un proveïdor de Cloud i una empresa final, anem a veure un exemple de qüestionari que puc preparar per començar a avaluar el Cloud Computing.

Hi han dades difícil d'avaluar si no es coneix el funcionament del proveïdor, però plantejat ....

• si no coneixem com manega les nostres dades, perquè li estem donant accés?
• Si no coneixem la gestió que fa, li puc donar dades crítiques?

Concepte	Probabilitat 1...5	Impacte (al meu negoci) 1...5
Pèrdua de disponibilitat (es pot afinar per trams)
Publicació de les meves dades emmagatzemades al cloud
Accés de personal del proveïdor a les dades
CONTROL DE DADES
Les nostres dades es barrejen amb altres usuaris. La compartimentalització NO es prou raonable
El proveïdor NO te procediments de BackUp (i recuperació) equivalents o superior a les meves normes
El proveïdor NO em proporciona procediment (interoperable) d'extracció de dades
NO coneixem la ubicació física exacte de les dades. El proveïdor NO te la obligació de consultar-me abans de reubicar-les. (Consultar no vol dir informar desprès!!!!)
Hi ha algú més que decideix els controls d'accessos sobre les meves dades?
Hi ha algú més que pot decidir la meva política de retenció (i destrucció)?
NORMATIVES
El proveïdor acompleix les normes regulatòries del meu sector?
SLA
El venedor em proporciona eines de monitorització respecte al SLA?
Hi ha un canal directe de comunicació amb algú (un mail no resol les incidències) per a resoldre incidències?
Hi ha mecanisme de compensació davant incidències?
SEGURETAT
Hi han sistemes de anàlisi d'intrusió? Filtres d'accés / anàlisi de dades / codi maliciós?
Hi han assajos  periòdics de Continuïtat?

Enllaços relacionats:
Cloud Computing - La nova pedra filosofal

Community Manager: Molt més que la gestió d'eines.

Community Manager - Social Media

Community Manager:
Molt més que gestionar eines

Molt es parla de la feina del Community Manager, les Xarxes Socials, Social Media, SEO (Search Engine Optimization), SMO (Social Media Optimizacion) i el canvi que han comportat per a les relacions entre la empresa i el públic-consumidor.

Tot això es cert, i abaix hi han les plataformes que ho suporten, però no deixa de ser veritat que la part més complexa d'aquesta gestió es:

• Aplicar anàlisi
• Intel·ligència per a avançar-se als esdeveniments.
• Recursos (persones i temps) per a aplicar els 2 primers.
• Que la empresa realment ho vulgui fer. (La més important de totes, habitualment només es part de una estratègia de cartó-pedra i les prioritats estan ubicades en altres apartats)

Si tot això s'acompleix... ja pots continuar amb els següents 3 apartats:

Activitats

Activitat	Descripció
Anàlisi	Analitzar els missatges i entendre el contingut. Hauria de tenir 3 apartats diferenciats:  Desplegament: Quanta gent ha vingut a veure el meu contingut i des d' on. Impacte: Quanta gent a desplegat el meu contingut, des d' on Feedback: Com ha respòs (positivament, negativament, redistribució sense comentari,...) Malauradament, per la manca de temps, acaba sent un recompte numèric.
Estratègia	La peça clau. Sobre l'anàlisi fet i el coneixement dels objectius de la empresa es fa la planificació dels següents passos.
Resposta	Generació de les respostes buscant impacte viral. Seleccionar el contingut adient o crear-lo de nou. Desplegament a les plataformes. Recerca de líders d'opinió que puguin ampliar el desplegament.

Aquestes activitats poden desplegar-se en mil-i-una taula de activitats diàries, accions, tasques, KPI, etc... ja que no deixa de ser un flux continu d'activitat, però cal recordar que aquestes accions haurien de ser conseqüència de la estratègia i no una acció per si mateixa.

Eines del Community Manager

Eina	Utilitat
Alexa Facebook Insights Google analytics Omniture Catalyst Google PageRank	Informació estadística, d'impacte, seguiment, recurrents, etc...
Hootsuite	Permet gestió de diverses xarxes socials i integració de altres eines.
UserVoice Getsatisfaction FormSpring	Permet obtenir feedback, sol·licituds de suport,  dels usuaris
Radian 6	Eina cara però que suporta clients de diverses plataformes, integració amb eines d'anàlisi estadístic  i anàlisi semàntic.

Plataformes

Plataforma	Utilitat
Facebook	Màxim desplegament Audiència personalitzada. Tractament individual. Facilitat d'ús
Twitter	Promocional amb notícies de darrera hora. Els usuaris esperen un flux constant de novetats.
YouTube	Perfecte per a mostrar presentacions institucionals, congressos. Per a instruccions detallades només si cal fer coses manualment (muntar, desmuntar, etc...)
Flickr Pinterest	Ubicació de les fotos utilitzades a Blogs, etc.. Permet ampliar fàcilment la difussió i compartició addicionalment a la resta de plataformes
LinkedIn	Adient per a perfil professional i enllaç de CV dels professionals que formen part de la empresa. Ajuda a mostrar una imatge de empresa consolidada, professional i ben preparada.
Blogger WordPress	Son l'eina que la gent corrent utilitza per a publicar el contingut. Molt important enllaçar-los i seguir per a detectar qui es líder d'opinió, que diuen, etc... al marge del "meu" discurs cap al públic general.

AEPD

Cloud Computing i Protecció de dades Personals

Tinc la sensació que entre els directius hi ha una manca, (parlant molt en general), de coneixement sobre les implicacions per a les dades personals de moure aplicacions al núvol (Cloud).

Aquesta percepció neix de sentir converses del tipus:

• "... pues que muevan la aplicación a Cloud que seguro que funciona mejor..."
• "... si lo mueven al Cloud seguro que nos ahorramos dinero..."
• "... no puedo acceder porque no está en la Nube, ¿A que espera IT para modernizarnos?..."

(Parèntesi: Aquests converses acostumen a realitzar-les directius que no tenen res a veure amb el món de IT però que acostumen a dir que "estan a la última" en novetats de IT).

Per a tots aquells que vivim d'aprop el món de IT, la AEPD (Agència Espanyola de Protecció de dades) ha publicat unes guies sobre les responsabilitats de les empreses al contractar serveis de Cloud Computing.

A les guies, que no substitueixen la lectura del reglament, recorden alguns punts interessants:

• La localització dins dels Espai Econòmic Europeu fa referència als elements físics, no únicament a la seu del prestador dels serveis.
• La responsabilitat no s'extingeix amb la subcontractació, i molt menys, amb la cadena de subcontractació.
• Adherir-se a un contracte existent, típica situació entre Pyme i multinacional, no eximeix de la responsabilitat del contractista.
• El client del Cloud continua sent el responsable del tractament de les dades personals

Enllaços relacionats:

AEPD: Guia Cloud.pdf
AEPD: Guia prestador de servicios Cloud.pdf

Les pitjors contrasenyes utilitzades.

Ja vaig publicar un post el passat Desembre respecte a les pitjors contrasenyes (password) utilitzades.
Veig ara publicada a MuySeguridad.net un llistat amb unes molt semblants, es porten la palma:

1. Welcome1
2. STORE123
3. Password1
4. password

Fa gràcia, o llàstima, que any rere any les paraules es repeteixen malgrat totes les campanyes de conscienciació.

Enllaços relacionats:

http://anewishope.blogspot.com/2012/12/les-25-pitjors-password-del-2012.html
http://muyseguridad.net/2013/08/06/contrasenas-inseguras-empresas/

Apple Developer site hackeado: Com conèixer el status dels serveis.

El site de Apple Developer ha estat hackejat tal com han informat diversos mitjans.

Com a desenvolupador pots estar interessat en conèixer el status dels serveis de Apple i amb la següent adreça de System Status pots veure la informació publicada per Apple al respecte.

Enllaços relacionats:

https://developer.apple.com/support/system-status/
The Guardian: Apple Developer site hack
Business Insider: Apple Says its site for Developers was hacked
The Wall Street Journal: Apple says its developer site was hacked

SQL Server end-of-life. Com conèixer la versió instal·lada.

http://www.microsoft.com/en-us/default.aspx

SQL Server end-of-life

SQL Server, com totes les bases de dades, tenen un cicle de vida per tal de donar de menjar als fabricants.

Aquest cicle de vida requereix conèixer les versions que tens instal·lades, i aquí pots veure com fer-ho amb SQL Server sense requerir cap accés especial:

Opció 1: Consulta fitxer Error Log.

Localitza el directori de la versió que vols revisar	C:\Program Files\Microsoft SQL Server\MSSQL.n\MSSQL\LOG
Selecciona el fitxer ERRORLOG.log	Edita'l amb Notepad.exe
Busca la primera línia i tindrà un aspecte semblant al següent.	Microsoft SQL Server 2008 R2 (SP1) - 10.50.2500.0 (Intel X86) Copyright (c) Microsoft Corporation Express Edition on Windows NT 5.2 <X86> (Build 3790: Service Pack 2) (Hypervisor)

Opció 2: consulta SQL Properties

Arrenca el SQL Server Configuration Manager. Està accessible també amb mmc: C:\WINDOWS\system32\mmc.exe /32 C:\WINDOWS\system32\SQLServerManager10.msc
Amb botó esquerre mirar les propietats de SQL Server Services

Enllaços relacionats:

http://support.microsoft.com/kb/321185
http://support.microsoft.com/lifecycle/

Seguretat: La importància d'un punt....

Un interessant article sobre una vulnerabilitat en DropBox que permetia saltar la validació en 2 pasos.

La validació en 2 pasos es considera una tècnica de seguretat força eficient, al demanar més informació que un simple usuari i password i es enviada a un canal diferent que el que s'esta utilitzant, habitualment, s'envia un SMS al mòbil.

Trencar una validació d'aquesta mena, no es gens fàcil, i es sorprenent com amb un simple punt (.), al lloc adient, va ser factible evitar el sistema de seguretat.

Pots llegir al post de hispasec.com els detalls.

Enllaços relacionats:

http://unaaldia.hispasec.com/2013/07/vulnerabilidad-en-dropbox-permitia.html

Word 2007: Insertar camps de propietats

Una de les propietats més interessants quan s'ha de fer documentació molt extensa son els camps referenciats. Des de l'aparició de Word 2007 aquesta opció està una mica més amagada.

Si vols continuar inserint camps als teus documents, segueix aquests passos:

Situat allà on vulguis un camp. Inserció / Parts ràpides
Camp
Escull un dels camps (de la llarga llista disponible)

Enllaços relacionats:

Office 2007

Cloud... la nova pedra filosofal? Punts a tenir en compte.

Des de fa un temps les aplicacions al núvol (Cloud) estan presents en totes les ofertes, notícies i congressos que es fan. De vegades sembla que el Cloud ho ha d’arreglar absolutament tot.

D’una banda, forma part del procés de creació de noves expectatives que tota indústria a de crear, però d’altre es molt més la pressió de les grans consultores que marquen el camí a seguir, i que posteriorment cobren per fer el recorregut.

Veiem una sèrie de punts a tenir en conte al optar per una aplicació Cloud:

• Desaparició de la segregació xarxa interna/externa
• Dispositius mòbils
• Legislació a aplicar / LOPD
• Test d'intrussió / Penetration Test
• Segregació d'accessos i limitació d'exportació de dades.
• Contractació sense coneixement de IT
• Continuïtat de negoci (SCO, DRP, BCP,...)
• Portabilitat de les dades.
• Obsolescència i dret a morir digitalment

Desaparició de la segregació Xarxa interna / Externa:

Conforme incrementem l’ús de aplicacions Cloud que requeriran accés a la nostre xarxa interna (validació d’usuaris, control d’accessos, assignació de costos d’ús,...) més i més personal, xarxes i dispositius, tindran accés a la nostra xarxa interna sense un control directe.

Dispositius mòbils

Una de les grans avantatges que es venen amb les aplicacions cloud son la seva disponibilitat per a dispositius mòbils, que gestiona, adapta i fa evolucionar una empresa externa.
Sota aquest paraigües podem trobar empreses realment especialitzades, juntament a petites empreses que han fet un rentat de cara a part de les seves funcionalitats front-end.
La gran quantitat de dispositius mòbils i versions existents al mercat dificultarà a la empresa que ens esta gestionant l’aplicació el manteniment de la seguretat.

Legislació a aplicar.

Un dels punts més importants a tractar en la contractació d’un proveïdor Cloud es la legislació a aplicar. Encara més si tenim en comte que teòricament les teves dades poden ser mogudes a un altre país o fins i tot a un altre continent. Així que cal preguntar-se:

• Les meves dades esta sotmeses a legislació que limiti la exportació de dades?
• Hi han prous proteccions tècniques i jurídiques que redueixin els riscos?

Algunes recomanacions que es fan:

• incloure avisos amb checkbox obligatori que forcin al usuari a acceptar les polítiques de la companyia.
• Formació periòdica
• Revisió de clàusules de subcontractació.
• Indicar quan va ser el darrer accés –login- per a ajudar a detectar intrusions.

Llei de protecció de dades.

Un cas particular respecte a la legislació general es la legislació específica de protecció de dades personals. Existeix directives de la EU que impedeixen el moviment de dades personals fora de la EU sense les proteccions adients, per exemple, estan aprovades a Israel, Uruguai, Canada, etc...

• Sota quina legislació esta emparades les dades personals?
• Si el meu proveïdor esta ubicat fora (que acostuma a ser Europa del Est o Asia) han de complir la regulació local?
• Tenen una legislació equivalent?
• Hi ha regulació que m’impedeix ubicar-ho en alguns països?
• Es legal la nova estructura organitzativa si la gestió i les dades estan ubicades fora?
• Respon aquesta estructura als requeriments normatius locals?

Pots veure alguns comentaris més a la meva entrada Cloud Computing i Dades Personals

Test de intrusió: Penetration Test.

Quan tota la gestió es interna es factible, especialment si estem a una gran empresa, la gestió de test de intrusió.

• Com fer-ho quan la teva porta d’entrada son múltiples aplicacions cloud?
• Està inclòs al contracte aquesta possibilitat?
• Podem estar tranquils que no estan entrant per una aplicació “segura perquè es cloud”?

Segregació d’accessos i limitació d’exportació de dades.

Si al hosting tradicional la limitació del accés, el principi de mínims privilegis, i la revisió i control de rols i perfils es molt important, encara ho es més en un entorn Cloud sense barreres físiques, d’accés ni de dispositiu.
Cal tenir en compte també les possibilitats d’exportació i reenviament de dades a altres dispositius, comptes de correu, USB, DropBox, etc.... i limitar-les a qui realment requereixi d’aquestes opcions.

Contractació sense coneixement de IT.

La majoria de serveis cloud poden contractar-se a nivell personal, i per tant, la intervenció de IS es inexistent.

• Qui assessora als departaments?
• Que impedeix que els usuaris / departaments no gestionin el seu propi espai a DropBox, Google, Amazon,...?

Continuïtat de negoci (Service Continuity, DRP, BCP,...).

Al concentrar les dades i el servei al Núvol i reduir el personal intern de gestió, estic reduint també el coneixement i augmentant el risc.

• Estan aquests riscos contemplats?
• Tinc un pla de continuïtat en cas de caiguda?
• Es conscient el negoci de les implicacions?
• Es revisa aquest paràmetre periòdicament?
• I més formalment per les auditories,...Hi ha un procediment que ho contempli?

Portabilitat de les dades.

Una de les avantatges que es venen a la contractació del emmagatzemament o aplicacions en Cloud es la flexibilitat de contractació; però es real aquesta flexibilitat?
Si es complicat en un entorn de hosting / aplicació habitual, encara ho es més amb un proveïdor en Cloud, on ets un client més d’una llarga llista, i on el hosting pot estar subcontractat.

• Hi han costos per l’exportació massiva de les dades?
• Costos de exportació amb connectors cap a altres aplicacions?
• Es factible tècnicament la migració a un altre proveïdor?

Obsolescència i el dret a morir digitalment.

Un dels punts que darrerament s’està posant de moda, des de que gent que va posar perfils en aplicacions públiques ha mort, es el “dret a morir” digitalment. Això realment, forma part d’un concepte més ampli sobre el control de la vigència de les dades – data retention-.

• Quina vigència tenen les dades que es queden al Cloud?
• Hi ha previst un procés de destrucció en arribar a una data?
• Es necessari emmagatzemar totes les dades eternament o puc destruir –purge- dades que son obsoletes?
• Qui defineix el calendari de destrucció?
• Hi ha legislació o normativa que defineixi una conservació de les dades durant un temps específic?

Enllaços relacionats:
CEB - Executive board
LegalToday.com
Financial Times - Business (ft.com)

Cloud Computing i Dades Personals

Firewall Reporting Tools: Que hi ha al mercat?

Que un Firewall no protegeix de totes les amenaces es un fet, però que es una eina més que cal tenir est evident.
Un dels problemes que te un Firewall, i en general l'entorn IT, es la quantitat de informació que es genera i que s'ha de revisar per a verificar que tot funciona correctament.
A aquesta dificultat genèrica cal afegir les del entorn:

• Increment de dispersió geogràfica
• Increment dels requeriments de connectivitat 
• Dispersió dels dispositius
• Increment de la subcontractació
• Reducció de les inversions i del personal dedicat a IS

Es per això que cal buscar eines que facilitin l'anàlisi dels logs dels Firewalls i en general dels events de seguretat (Més informació a la Wikipedia: SIEM)
 Vet aquí un llistat inicial d'eines que pots utilitzar:

HP ArcSight Logger	Recopila els events de diferents fonts i els correlaciona proporcionant resums i eines de rporting per a la seva revisió.
Firemon	Es focalitza més en definir regles i verificar que no hi han inconsistències ocultes, sobreescriptures o incompatibilitats i genera reports al respecte.
Splunk	Es un product que disposa de una gran quantitat de "plug-in" moltes orientades al tema de reporting tot i que no es el seu punt fort. Potser el seu punt fort es associar cada log a la aplicació origen per tal d'extreure el màxim coneixement de la informació generada, enlloc d'acumular i treballar amb força bruta. Te una versió gratuita que es pot descarregar

Blogger: No es veuen les imatges en Vista Dinámica

www.blogger.com

Una de les avantatges d'utilitzar un entorn de manteniment de blogs es que pots canviar el disseny amb plantilles predefinides facilment.

Una de les plantilles més interessants que te blogger son les vistes dinàmiques (Dynamic Views) que permeten al visitant seleccionar la forma de visualitzar el blog entre diverses opcions.

Aquestes plantilles son fantàstiques perque no impliquen cap esforç, però, tot i això, de tant en tant, et trobes amb situacions anòmales que no pots entendre fins que fas una mica de recerca a Internet.

Una d'aquestes situacions es que si actives les vistes Dinàmiques (Dynamic Views) desaparèixen les imatges. En alguns casos si que aparèixen en la vista prèvia però no a la versió final.

Per a solventar-ho:

Configuració > Altres >  Feed del lloc

Activar la opció: Pernet el feed del bloc: Completa

Si tornes a refrescar el bloc, automàticament apareixen les imatges !!!!!

Enllaços relacionats:

https://support.google.com/blogger/answer/1227173?hl=en

PowerPoint 2007: Mostrar/Amagar les guies del dibuix.

office.microsoft.com

PowerPoint es una eina molt estesa per a la publicació de informació durant reunions.

Una de les formes més útils de treball es la creació de plantilles amb guies que marquen quin son els marges desitjats.

Ara bé, a la hora de visualitzar durant el desenvolupament, aquestes guies son molestes i obliguen a utilitzar la vista de presentació. Una alternativa es la desactivació d'aquestes guies.

Selecciona un objecte (text, imatge,...) Vés a la opció Format / Alinea / Configuració de la quadrícula...
Quadrícula i guies Visualitzar les guies de dibuix

Eclipse: Guia de debugging

www.eclipse.org

Eclipse es un entorn d'edició molt adient per a programació en Java.

Al començar a programar et trobaràs perdut i amb moltes incidències per a resoldre.

Una bona guia de "debugging" en entorn Eclipse la pots trobar en el següent enllaç.

www.vogella.com

Enllaços relacionats:

• http://www.vogella.com/articles/EclipseDebugging/article.html
• http://www.eclipse.org/

Android: Test sobre AVD (Android Virtual Device)

Ja hem vist en aquesta entrada que es pot seleccionar la API destinatària de la compilació, i també com conèixer les pantalles i resolucions més comuns... ara bé....

• com puc conèixer quins son els dispositius més adients que reuneixen aquests 2 requisits?
• Com puc fer tests sobre diferents dispositius?

Al següent enllaç de Android trobaràs la llista de dispositius i les seves característiques, de manera que pots seleccionar AVD amb alló que vols provar.
Em quedo amb els 2 següents:

Nexus S utilitza una API 10 - 2.3 Galaxy Nexus una API 15 - 4.0

Enllaços relacionats:
http://www.android.com/devices/
http://anewishope.blogspot.com/2013/05/android-per-quina-versio-compilo.html
http://anewishope.blogspot.com/2013/05/android-formats-de-pantalla.html

Android: Formats de pantalla

Android disposa de diverses versions i permet programació per a diferents resolucions de pantalla.
Pots consultar aquí una guia de com programar per a diferents versions de pantalles

En aquests moments la resolució més habitual es la normal-hdpi amb 37,3% però la guia et prepara per tal que deixis tot programat per a diferents resolucions. Android farà la màgia d'escollir automàticament el format més adient.

Busca informació sobre "LinearLayout", "match_parent", però a la guia indicada ja trobaràs el teu primer exemple:

<LinearLayout xmlns:android="http://schemas.android.com/apk/res/android"
    android:orientation="vertical"
    android:layout_width="match_parent"
    android:layout_height="match_parent">

Enllaços relacionats:
http://developer.android.com/training/multiscreen/index.html
http://developer.android.com/training/basics/supporting-devices/screens.html

Android: Per a quina versió compilo?

Android disposa de diverses versions i a l'hora de preparar la programació l'entorn Eclipse permet que seleccionis quines son les plataformes preferides.


Pots consultar aquí la distribució actual de les versions Android.
Per a la distribució actual he establert pels meus projectes la versió 10 (38,4% de mercat 2013-05) com a versió mínima.






Enllaços relacionats:
http://developer.android.com/about/dashboards/index.html