Google Website Translator Gadget

viernes, 26 de julio de 2013

Apple Developer site hackeado: Com conèixer el status dels serveis.

El site de Apple Developer ha estat hackejat tal com han informat diversos mitjans.
Com a desenvolupador pots estar interessat en conèixer el status dels serveis de Apple i amb la següent adreça de System Status pots veure la informació publicada per Apple al respecte.





Enllaços relacionats:

https://developer.apple.com/support/system-status/
The Guardian: Apple Developer site hack
Business Insider: Apple Says its site for Developers was hacked
The Wall Street Journal: Apple says its developer site was hacked

Per a No hay comentarios:
Etiquetes de comentaris: , , , , ,

lunes, 22 de julio de 2013

SQL Server end-of-life. Com conèixer la versió instal·lada.

SQL Server
http://www.microsoft.com/en-us/default.aspx

SQL Server end-of-life

SQL Server, com totes les bases de dades, tenen un cicle de vida per tal de donar de menjar als fabricants.

Aquest cicle de vida requereix conèixer les versions que tens instal·lades, i aquí pots veure com fer-ho amb SQL Server sense requerir cap accés especial:

Opció 1: Consulta fitxer Error Log.

Localitza el directori de la versió que vols revisarC:\Program Files\Microsoft SQL Server\MSSQL.n\MSSQL\LOG
Selecciona el fitxer ERRORLOG.logEdita'l amb Notepad.exe
Busca la primera línia i tindrà un aspecte semblant al següent.
Microsoft SQL Server 2008 R2 (SP1) - 10.50.2500.0 (Intel X86)
Copyright (c) Microsoft Corporation
Express Edition on Windows NT 5.2 <X86> (Build 3790: Service Pack 2) (Hypervisor)

Opció 2: consulta SQL Properties

Arrenca el SQL Server Configuration Manager.
Està accessible també amb mmc:
C:\WINDOWS\system32\mmc.exe /32 C:\WINDOWS\system32\SQLServerManager10.msc

Amb botó esquerre mirar les propietats de SQL Server Services

Enllaços relacionats:

http://support.microsoft.com/kb/321185
http://support.microsoft.com/lifecycle/
Per a No hay comentarios:
Etiquetes de comentaris: , , , , ,

viernes, 12 de julio de 2013

Seguretat: La importància d'un punt....

Un interessant article sobre una vulnerabilitat en DropBox que permetia saltar la validació en 2 pasos.

La validació en 2 pasos es considera una tècnica de seguretat força eficient, al demanar més informació que un simple usuari i password i es enviada a un canal diferent que el que s'esta utilitzant, habitualment, s'envia un SMS al mòbil.

Trencar una validació d'aquesta mena, no es gens fàcil, i es sorprenent com amb un simple punt (.), al lloc adient, va ser factible evitar el sistema de seguretat.

Pots llegir al post de hispasec.com els detalls.



Enllaços relacionats:

http://unaaldia.hispasec.com/2013/07/vulnerabilidad-en-dropbox-permitia.html
Per a No hay comentarios:
Etiquetes de comentaris: , , , , , , ,

jueves, 11 de julio de 2013

Word 2007: Insertar camps de propietats

Una de les propietats més interessants quan s'ha de fer documentació molt extensa son els camps referenciats. Des de l'aparició de Word 2007 aquesta opció està una mica més amagada.


Si vols continuar inserint camps als teus documents, segueix aquests passos:

Situat allà on vulguis un camp.

Inserció / Parts ràpides
Camp
Escull un dels camps (de la llarga llista disponible)

Enllaços relacionats:

Office 2007

Per a No hay comentarios:
Etiquetes de comentaris: , , ,

martes, 9 de julio de 2013

Cloud... la nova pedra filosofal? Punts a tenir en compte.

Des de fa un temps les aplicacions al núvol (Cloud) estan presents en totes les ofertes, notícies i congressos que es fan. De vegades sembla que el Cloud ho ha d’arreglar absolutament tot.

D’una banda, forma part del procés de creació de noves expectatives que tota indústria a de crear, però d’altre es molt més la pressió de les grans consultores que marquen el camí a seguir, i que posteriorment cobren per fer el recorregut.

Veiem una sèrie de punts a tenir en conte al optar per una aplicació Cloud:

  • Desaparició de la segregació xarxa interna/externa
  • Dispositius mòbils
  • Legislació a aplicar / LOPD
  • Test d'intrussió / Penetration Test
  • Segregació d'accessos i limitació d'exportació de dades.
  • Contractació sense coneixement de IT
  • Continuïtat de negoci (SCO, DRP, BCP,...)
  • Portabilitat de les dades.
  • Obsolescència i dret a morir digitalment

Desaparició de la segregació Xarxa interna / Externa:

Conforme incrementem l’ús de aplicacions Cloud que requeriran accés a la nostre xarxa interna (validació d’usuaris, control d’accessos, assignació de costos d’ús,...) més i més personal, xarxes i dispositius, tindran accés a la nostra xarxa interna sense un control directe.

Dispositius mòbils

Una de les grans avantatges que es venen amb les aplicacions cloud son la seva disponibilitat per a dispositius mòbils, que gestiona, adapta i fa evolucionar una empresa externa.
Sota aquest paraigües podem trobar empreses realment especialitzades, juntament a petites empreses que han fet un rentat de cara a part de les seves funcionalitats front-end.
La gran quantitat de dispositius mòbils i versions existents al mercat dificultarà a la empresa que ens esta gestionant l’aplicació el manteniment de la seguretat.

Legislació a aplicar.

Un dels punts més importants a tractar en la contractació d’un proveïdor Cloud es la legislació a aplicar. Encara més si tenim en comte que teòricament les teves dades poden ser mogudes a un altre país o fins i tot a un altre continent. Així que cal preguntar-se:

  • Les meves dades esta sotmeses a legislació que limiti la exportació de dades?
  • Hi han prous proteccions tècniques i jurídiques que redueixin els riscos?

Algunes recomanacions que es fan:

  • incloure avisos amb checkbox obligatori que forcin al usuari a acceptar les polítiques de la companyia.
  • Formació periòdica
  • Revisió de clàusules de subcontractació.
  • Indicar quan va ser el darrer accés –login- per a ajudar a detectar intrusions.



Llei de protecció de dades.

Un cas particular respecte a la legislació general es la legislació específica de protecció de dades personals. Existeix directives de la EU que impedeixen el moviment de dades personals fora de la EU sense les proteccions adients, per exemple, estan aprovades a Israel, Uruguai, Canada, etc...
  • Sota quina legislació esta emparades les dades personals?
  • Si el meu proveïdor esta ubicat fora (que acostuma a ser Europa del Est o Asia) han de complir la regulació local?
  • Tenen una legislació equivalent?
  • Hi ha regulació que m’impedeix ubicar-ho en alguns països?
  • Es legal la nova estructura organitzativa si la gestió i les dades estan ubicades fora?
  • Respon aquesta estructura als requeriments normatius locals?

Pots veure alguns comentaris més a la meva entrada Cloud Computing i Dades Personals





Test de intrusió: Penetration Test.

Quan tota la gestió es interna es factible, especialment si estem a una gran empresa, la gestió de test de intrusió.

  • Com fer-ho quan la teva porta d’entrada son múltiples aplicacions cloud?
  • Està inclòs al contracte aquesta possibilitat?
  • Podem estar tranquils que no estan entrant per una aplicació “segura perquè es cloud”?


Segregació d’accessos i limitació d’exportació de dades.

Si al hosting tradicional la limitació del accés, el principi de mínims privilegis, i la revisió i control de rols i perfils es molt important, encara ho es més en un entorn Cloud sense barreres físiques, d’accés ni de dispositiu.
Cal tenir en compte també les possibilitats d’exportació i reenviament de dades a altres dispositius, comptes de correu, USB, DropBox, etc.... i limitar-les a qui realment requereixi d’aquestes opcions.


Contractació sense coneixement de IT.

La majoria de serveis cloud poden contractar-se a nivell personal, i per tant, la intervenció de IS es inexistent.

  • Qui assessora als departaments?
  • Que impedeix que els usuaris / departaments no gestionin el seu propi espai a DropBox, Google, Amazon,...?


Continuïtat de negoci (Service Continuity, DRP, BCP,...).

Al concentrar les dades i el servei al Núvol i reduir el personal intern de gestió, estic reduint també el coneixement i augmentant el risc.

  • Estan aquests riscos contemplats?
  • Tinc un pla de continuïtat en cas de caiguda?
  • Es conscient el negoci de les implicacions?
  • Es revisa aquest paràmetre periòdicament?
  • I més formalment per les auditories,...Hi ha un procediment que ho contempli?


Portabilitat de les dades.

Una de les avantatges que es venen a la contractació del emmagatzemament o aplicacions en Cloud es la flexibilitat de contractació; però es real aquesta flexibilitat?
Si es complicat en un entorn de hosting / aplicació habitual, encara ho es més amb un proveïdor en Cloud, on ets un client més d’una llarga llista, i on el hosting pot estar subcontractat.

  • Hi han costos per l’exportació massiva de les dades?
  • Costos de exportació amb connectors cap a altres aplicacions?
  • Es factible tècnicament la migració a un altre proveïdor?


Obsolescència i el dret a morir digitalment.

Un dels punts que darrerament s’està posant de moda, des de que gent que va posar perfils en aplicacions públiques ha mort, es el “dret a morir” digitalment. Això realment, forma part d’un concepte més ampli sobre el control de la vigència de les dades – data retention-.

  • Quina vigència tenen les dades que es queden al Cloud?
  • Hi ha previst un procés de destrucció en arribar a una data?
  • Es necessari emmagatzemar totes les dades eternament o puc destruir –purge- dades que son obsoletes?
  • Qui defineix el calendari de destrucció?
  • Hi ha legislació o normativa que defineixi una conservació de les dades durant un temps específic?




Enllaços relacionats:
CEB - Executive board
LegalToday.com
Financial Times - Business (ft.com)

Cloud Computing i Dades Personals

Per a No hay comentarios:
Etiquetes de comentaris: , , , , , , , , , , , ,

viernes, 5 de julio de 2013

Firewall Reporting Tools: Que hi ha al mercat?

Que un Firewall no protegeix de totes les amenaces es un fet, però que es una eina més que cal tenir est evident.
Un dels problemes que te un Firewall, i en general l'entorn IT, es la quantitat de informació que es genera i que s'ha de revisar per a verificar que tot funciona correctament.
A aquesta dificultat genèrica cal afegir les del entorn:
  • Increment de dispersió geogràfica
  • Increment dels requeriments de connectivitat 
  • Dispersió dels dispositius
  • Increment de la subcontractació
  • Reducció de les inversions i del personal dedicat a IS
Es per això que cal buscar eines que facilitin l'anàlisi dels logs dels Firewalls i en general dels events de seguretat (Més informació a la Wikipedia: SIEM)
 Vet aquí un llistat inicial d'eines que pots utilitzar:

HP ArcSight LoggerRecopila els events de diferents fonts i els correlaciona proporcionant resums i eines de rporting per a la seva revisió.
FiremonEs focalitza més en definir regles i verificar que no hi han inconsistències ocultes, sobreescriptures o incompatibilitats i genera reports al respecte.
SplunkEs un product que disposa de una gran quantitat de "plug-in" moltes orientades al tema de reporting tot i que no es el seu punt fort.
Potser el seu punt fort es associar cada log a la aplicació origen per tal d'extreure el màxim coneixement de la informació generada, enlloc d'acumular i treballar amb força bruta.
Te una versió gratuita que es pot descarregar
Per a No hay comentarios:
Etiquetes de comentaris: , , ,
Suscribirse a: Entradas (Atom)