Llegue a la raíz del problema… ¡rápido!

November 17th, 2010 | Posted by in Uncategorized - (0 Comments)

Ya sea que esté debatiendo por qué volvió a fallar el servidor o preguntándose por qué no le dieron el ascenso, hay dos palabras que podrían ayudarlo a usted, a su equipo o a su empresa a salir de las aguas traicioneras de la incertidumbre: ¿por qué? Los 5 por qué es una técnica simple para resolver problemas que puede ayudarlo a llegar rápidamente a la raíz del problema. Esta estrategia popularizada en los años 70 por los principales fabricantes consiste en analizar el problema y preguntar: “¿por qué?”.

Ya se trate de grandes problemas que no lo dejan dormir o pequeños problemas que sólo representan una molesta distracción, siga leyendo para poder solucionarlos.

Al buscar una solución, esta técnica recomienda comenzar por el resultado final y desde allí retroceder hacia la raíz, preguntando todo el tiempo “¿por qué?” y “¿qué causó este problema?”. Muchas veces, la respuesta al primer “por qué” genera otro “por qué”, y la respuesta al segundo genera otro más y así sucesivamente. Esto debe repetirse una y otra vez hasta que la raíz del problema quede en evidencia, por lo general, después de cinco por qué. De ahí el nombre.

Esta técnica inventada en los años 30 ganó gran popularidad en los años 70. Es fácil de usar y no exige conocimientos avanzados de matemática ni herramientas costosas. Al hacer la pregunta, se separan los síntomas de las causas del problema. Esto es crucial, ya que los síntomas suelen ocultar el origen real de la debacle, y basar las acciones sólo en los síntomas podría llevarlo por el camino equivocado. Dado que esta técnica también lo alienta a explorar la relación entre los problemas, es más probable que tenga una perspectiva general.

Veamos los 5 por qué en acción:

¿Por qué no se enviaron a los clientes las invitaciones del evento de la empresa?
- Porque falló el sistema de impresión el día que se iban a imprimir.
¿Por qué falló el sistema?
- No se pudo recuperar a tiempo de una falla de hardware.
¿Por qué no se pudo recuperar?
- Emplea hardware desactualizado sin respaldo redundante automático.
¿Por qué no se actualizó o reemplazó?
- No tenemos el dinero.
¿Por qué no tenemos el dinero?
No se identificó como prioridad de importancia suficiente como para asignar presupuesto al reemplazo. Nuestra organización no tiene un método de planificación que evalúe los riesgos de que los sistemas operativos actuales fallen, la importancia de estos sistemas y la repercusión de esas fallas.

Como verá, el último “por qué” llevó a una afirmación que le indica cómo actuar a su equipo. No obstante, antes de dirigirse a terrenos inhóspitos para resolver el problema, tenga cuidado: una sola equivocación en cualquier pregunta o respuesta puede generar resultados falsos o engañosos. Haga preguntas claras, sin ambigüedades y objetivas, y sea totalmente sincero, aunque la respuesta deje en evidencia a su jefe o a usted mismo.

Recuerde también que los 5 por qué lo ayudarán a hallar la raíz del problema, pero quizás no pueda encontrar una solución viable. Por ejemplo, si suele llegar a “porque el CEO o mi mujer quiere que sea así”, no hay solución para el problema. Por lo menos, determinará que la situación está fuera de su control y no perderá más tiempo tratando de modificarla.

Como método para generar ideas, es casi insuperable. Es barato y fácil de implementar, fomenta la comunicación dentro del equipo y se puede usar para casi cualquier problema con gente, procesos o productos. Ya sea que trate de averiguar por qué su producto no se apoderó del mundo o por qué su soufflé no leva, ¿por qué no prueba esta técnica para ver qué descubre?

Fuente: HP PYME


, , , , , , , , , , , , ,

Información pública: el vaso medio lleno

November 15th, 2010 | Posted by in Uncategorized - (0 Comments)

Un tiempo atrás cuando escribí sobre la vulnerabilidad en los cafés inalambricos, me tome el trabajo de ver que otros equipos en el rango de IP’s publicas al que pertenecía el modem de Arnet, tenían la configuración por default de sus passwords.

El resultado fue alarmante, muchos equipos tenían la misma configuración por default pero con la administración remota habilitada.

Descubrir esto no es ciencia de cohetes, por ejemplo, un simple:

nmap -p 8080,80 -Pn -v xxx.xxx.xxx.2-254

Nos muestra todos los equipos que tienen los puertos 80 y 8080 abiertos.
Dentro de este paquetes de rangos de IP, había una en particular que tenia el puerto 80 abierto.
Como soy curioso, dirigí mi navegador hacia esa pagina, sin duda mi sorpresa fue mayor cuando me encontré ante el pedido de usuario y password de un sistema perteneciente a un organismo del estado.

Mas precisamente al Ministerio de Relaciones Exteriores y Culto.

Intuí por el nombre del sistema, que el mismo estaba en desarrollo.
En el sitio no había ningún banner alertando que el mismo estaba reservado a personas con autorización, por lo tanto supuse que se podía acceder en forma libre, siempre y cuando se contara con un usuario y password.
Yo tenia uno : admin/admin
Que puedo decir…en nuestro amado país, si tenemos algo que nunca vamos a perder, es la capacidad de asombro.
Como se ve en el post que publico en el blog  Exosafe, el sitio contenía toda la información presupuestaria del Ministerio de Relaciones Exteriores y Culto, pero como el usuario “admin” es …administrador, uno tenia acceso a los perfiles de los usuarios, passwords y una de las cosas mas increíbles, la posibilidad de ejecutar comandos desde la pagina.
Que alguien me explique, cual es el sentido de poder ejecutar comandos desde el shell, en un sistema de administración presupuestario ?
Cual es el sentido de tener instalado en el server de desarrollo, o en este equipo, herramientas como nmap ?
Entendí la gravedad que significaba esto y me comunique con la gente de Arcert, quienes se ocupan de:
Unidad de respuesta ante incidentes en redes que centraliza y coordina los esfuerzos para el manejo de los incidentes de seguridad que afecten los recursos informáticos de la Administración Pública Nacional, es decir cualquier ataque o intento de penetración a través de sus redes de información.

También difunde información con el fin de neutralizar dichos incidentes, en forma preventiva o correctiva, y capacita al personal técnico afectado a las redes de los organismos del Sector Público Nacional. ArCERT comenzó a funcionar en mayo de 1999 en el ámbito de la Subsecretaría de la Gestión Pública, siendo sus principales funciones:

  • Centralizar los reportes sobre incidentes de seguridad ocurridos en la APN y facilitar el intercambio de información para afrontarlos.
  • Proveer un servicio especializado de asesoramiento en seguridad de redes.
  • Promover la coordinación entre los organismos de la APN para prevenir, detectar, manejar y recuperar incidentes de seguridad.
  • Actuar como repositorio de toda la información sobre incidentes de seguridad, herramientas y técnicas de defensa
Luego de una serie de inconvenientes con mi certificado digital para enviar la información encriptada, logré enviarles la información de la vulnerabilidad.
Yo entendiendo lo lento que son los organismos del estado en reaccionar, no imagine que este problema ( el no permitir el acceso desde Internet a esta aplicación ) estaría resuelto en menos de una semana.
Hago disponible la información que se encuentra en el sitio, ya que no es posible acceder a este sitio.
De todas maneras esto nos deja muchos interrogantes :
  • Este incidente fue un problema de desidia o era una fuga de información intencionada?
  • La IP pertenecía a un organismo del estado o a una empresa contratada?
  • Quienes auditan el desarrollo de este tipo de aplicaciones en la APN?
  • Existen Metodologías de Desarrollo Seguro en la APN ? Quienes las elaboran?
  • Los datos con los que contaba la aplicación, eran reales o estaban modificados? ( personalmente creo que eran reales … )
  • Que ocurrió con los responsables de este desarrollo y quienes permitieron que esto ocurra?
Estas son algunos de los interrogantes, Arcert no volvió a comunicarse conmigo para ponerme en conocimiento como se actuó, de ultima soy un ciudadano y lo que ocurre con estos sistemas me afectan de alguna manera.
Veo la reacción de Arcert como muy positiva, creo que es el lado lleno de este vaso que es la seguridad de la información publica, hay mucho por hacer para completar la parte vacía.
En el blog, de Exosafe voy a publicar mas información sobre este incidente.

Autor: Julio Jaime
Fuente: Deny All


, , , , , , , , , , , ,

Uruguay: el uso de tarjetas de crédito colapsó la red bancaria

November 14th, 2010 | Posted by in Uncategorized - (0 Comments)

La suspensión del IVA en los artículos vendidos en los shoppings activó la fiebre consumista en miles de uruguayos y un boom de ventas.

Por: Nelson Fernández

Una fiebre consumista de los uruguayos derivó en un bloqueo digital de comunicaciones entre comercios, administradoras de tarjetas de crédito y redes bancarias. A mitad de jornada, en un fin de semana en el que lo shopping establecieron una promoción de devolución de impuestos en cada compra, el público desbordó los sistemas de pago y la empresa estatal de telecomunicaciones aceptó que se vio desbordada y los técnicos trabajan para resolver el caos en el menor tiempo posible.

En esta jornada, los locales de los shopping tienen la promoción “sin IVA”, que mediante un descuento en cada compra, el precio queda como si no tuviera el Impuesto al Valor Agregado, que en Uruguay es de 22%.

Pero algunas tarjetas de crédito se sumaron a la promocion y establecieron que si se pagaba con esa firma, habia un descuento adicional de 10% o de otro porcentaje similar, según la compañía. Los días del año en que se aplica esta promoción, los centros comerciales quedan repletos de clientes y en mucho locales se acaba el stock durante la jornada.

Este año, la promoción coincidió en tiempos de alto crecimiento económico, impulsado por récord de exportaciones y también con un consumo sostenido que se fundamenta en incremento del poder adquisitivo y también en un fuerte aumento de los planes de crédito al consumo. A mitad de año, la economía uruguaya venía creciendo a un ritmo de 10%, lo que es inusual para este país.

Los usuarios de servicio bancario de cajeros automáticos han tenido problemas para retirar dinero porque estas máquinas se quedaron sin efectivo o por problemas en la red electrónica de comunicaciones.

Además, el público quiere aprovechar el descuento adicional a la rebaja del IVA por el uso de determinada tarjeta de crédito o de débito, pero las comunicaciones impiden que el comercio reciba la autorización de la central de riesgo.

El servicio de conexión se da a través de Antel, la empresa del Estado en telecomunicaciones. El director de la compañía, Carlos Guariglia, dijo al portal elpais-digital que se trata de “un problema grande” y los técnicos trabajan para reanudar el servicio.

Mientras, los clientes ansiosos por comprar rebajado se inquietan y así se acumulan colas en los comercios. Antes que abrieran hoy los shoppings ya había colas de gente para comprar.

Fuente: La Nación


, , , , , , , , , , , , , , , ,

Los peores augurios de muchos usuarios se hacen realidad, Oracle publica la nueva la nueva lista de precios para MySQL

November 12th, 2010 | Posted by in Uncategorized - (0 Comments)

El padre y creador de MySQL, Michael “Monty” Wideniu el año pasado pedia
ayuda a la comisión europea para salvar a MYSQL de las garras de Oracle.
Como ya todos sabemos Oracle hace algunos meses compro a Sun, destruyo a
OpenSolaris y hoy pública los nuevos precios para las suscripciones
MYSQL.

Oracle
ha decidido imponer su criterio y eliminar la suscripción básica que
antes ofrecía Sun a un precio de 599 dólares anuales. A partir de ahora,
el precio más bajo que se podrá pagar por hacerse con una suscripción a
MySQL es nada menos que 2.000 dólares. Eso, cuando estemos hablando de
una suscripción estándar con entre uno y cuatro sockets, ya que si hay
más de cinco la cifra sube hasta los 4.000 dólares.

Solo el
tiempo nos dira que tanto funciona la estrategia de precios de Oracle. Y
cuantos usuarios o empresas dejaran de utilizar MySQL y prefieran
utilizar otras bases de datos tales como PostgresSQL.

Si desea consultar la nueva lista de precios de clic aqui
Fuente: TheInquirer


Autor: Isaac Lemus Martin
Fuente: Linux para todos


, , , , , , , , , , , , , ,

Visualizar gráficamente el tráfico de red en tiempo real

November 11th, 2010 | Posted by in Uncategorized - (0 Comments)

Seguridad y redes de Alfon ha creado una interesante sección dedicada a la representación gráfica de tráfico de red y en esta ocasión vamos a estudiar NetGrok, herramienta multiplataforma basada en Java. NetGrok trabaja, como la mayoría de herramientas que hemos visto, tanto con ficheros .pcap como directamente desde una interface de red, pudiendo, de esta forma, realizar el análisis del tráfico en tiempo real.

Otras herramientas vistas:

Fuente: Seguridad y Redes de Alfon


, , , , , ,