Habichuelas Mágicas

***************************************************************************************
Artículo publicado en Windows TI Magazine 135
***************************************************************************************

Salió en el mes de Julio bajo el paraguas de Telefónica y nos enteramos por los medios de comunicación. Nos enteramos porque vimos a chavales de 19 años que habían pasado horas y horas haciendo cola a las puertas de las afortunadas tiendas que tenían el dichoso teléfono en stock.

No le importó a muchos de esos jóvenes que hubiera que firmar un contrato de permanencia de dos años de voz y datos con la operadora firmando un gasto de 2000 €. Contento ha de estar el gobierno por esta reactivación de la economía en estos momentos en los que se siente “el des-aceleramiento de la economía”.

En la página de Apple, el dispositivo se define en un artículo bajo el marketiniano titular de “Apple reinventa el teléfono con el I-Phone” de la siguiente manera según unas palabras de Steve Jobs, presidente de la compañía de la manzana mordida: “El iPhone es un revolucionario y mágico producto que está literalmente cinco años por delante de cualquier otro teléfono móvil”.

Como se puede ver, la compañía está “encantada de haberse conocido”, pues decir que el I-Phone reinventa el teléfono parece algo grandilocuente para una empresa que lanza su primer teléfono. Compañías como Nokia, Erikson o Motorola se han lanzado a sacar múltiples comparativas que dejan en bastante mal lugar a este dispositivo “mágico”.

Sin embargo, de poco han servido esas comparativas para echar atrás a toda esa gente que ha comprado el dispositivo no por las características técnicas sino porque el dispositivo es “mágico”. Por esa clase social y ese prestigio que van a obtener automáticamente todos los que hayan comprado el I-Phone.

En la misma web, Steve Jobs nos recuerda que "todos hemos nacido con el más avanzado dispositivo puntero -nuestros dedos- y el iPhone los utiliza para crear la interfaz de usuario más revolucionaria desde el ratón". Eso está muy bien, pero …. ¿qué sucede con todos aquellos que cómo yo, que no vengo de familia de pianistas, tenemos un dedo que marca muchos números en los dispositivos touch?. No pasa nada, podemos comprar un accesorio, puesto que no funciona cualquiera palito.

Cuando una compañía como Apple ha conseguido convencer a la gente de que se compre calcetines de diseño a 30 € el calcetín para dar calor, estilo y protección a tu mp3 IPod, ¿cómo no iba a conseguir convencernos de que comparamos un dispositivo accesorio para sustituir el dedo en un dispositivo que nos ha convencido que compremos porque podemos usar el dedo?

Es el maketing puro. No importa que los productos de Apple sean los que más fallos de seguridad están teniendo, no importa que los productos de Apple sean los menos interoperables, que usen formatos propietarios en sus programas o que el hardware compatible sea el más reducido de todos. No importa que sean los productos más caros porque sus productos no se venden por razones de esas que afectan al resto del mercado.

Los productos Apple se venden haciendo alusión a su diseño, a su magia y a la sensación que te hace su posesión. Eres más cool, tienes un estatus social superior, eres más mejor, más superchuli.

Esto demuestra, que hay que cambiar el chip. Dejemos de estudiar en las ingenierías cosas aburridas y aprendamos a vendernos. Cambiemos de la ingeniería del software al marketing puro y duro. Al “píntame de azul y llámame pitufo” que decimos nosotros.

Si una empresa monta un I-Phone, un dispositivo 5 años más avanzado que ningún otro dispositivo según Apple, sin cámara de video, y sin ninguna función de gestión empresarial ha generado mucha más expectación de la que dispositivos Blackbery o HTC, mucho mejor preparados y que mucha gente, tan siquiera conoce.

Esta expectación generada, que muchos creen que se debe a que han sido comprados los hacedores de colas como extras para llamar la atención, demuestra que productos técnicamente mejor, con más funcionalidades, incluidas funciones empresariales, no tendrán éxito nunca si no se venden bien.

Si vas a hacer un producto tecnológico no cuentes sus características técnicas. No las discutas cuando te las critiquen, simplemente cuenta como te hace sentir. Un móvil que te haga más guapa, que adelgace o que te hace vivir más. Cómo dice el marketing de la Coca-Cola “No hay estudios que demuestren que beber Coca-Cola alargue la vida, pero sí lo hace la felicidad”. ¡Toma ya!.

Saludos Malignos!

***************************************************************************************
Artículo publicado en Windows TI Magazine 135
***************************************************************************************

No Lusers 48: Informáticos Políticos

Y cambiando de tema....
***************************************************************************************
Publicado en Windows TI Magazine 134
***************************************************************************************




***************************************************************************************
Publicado en Windows TI Magazine 134
***************************************************************************************

Informáticos Políticos

***************************************************************************************
Artículo Publicado en Windows TI Magazine 134
***************************************************************************************

Dice un dicho que se dice que “quién mucho abarca poco aprieta” haciendo referencia a que el que divide su dedicación divide los resultados que obtiene, aunque quizás la frase que más me gusta es la de “aprendiz de todo maestro de nada”. Otra que me gusta mucho (lástima que esté cayendo en el desuso popular por la casualidad de la profesión y el presidencial apellido) es la de “zapatero a sus zapatos” que recoge en una sola frase de forma elegante y bien traída la misma idea que esa tan taurina que dice “Manolete, si no sabes torear pa’que te metes”.

Creo que el concepto queda claro.

Esto, cuando hablamos de política tiene una vertiente intrínseca, ya que, por mucho que un político tenga que enfrentarse por obligación a temas muy dispares, al final ellos sólo han cursado unos estudios (si hemos tenido suerte con el ejemplo en cuestión). Para arreglar este descuadre intelectual los políticos cuentan en obligación con la imagen de los asesores que deben transmitir su sapiencia, sus 300 créditos ECTS, su postgrado y su experiencia profesional “en dos tardes” o en “dos patás”, haciendo que los entresijos de la macroeconomía bursátil londinense, los repercusiones para la biodiversidad del uso de carburantes sintéticos o las ventajas de los formatos de documentos en los sistemas informáticos pasen del cerebro del asesor a las palabras del político.

No, no es una crítica hacia los políticos,… en este caso. Entiendo que el sistema debe funcionar “más o menos” así. Aun así, me parece curioso cuando un alcalde, llámese Villalzarzal de la Molina o Londres, realiza opiniones políticas sobre hechos técnicos. ¿Se imagina al alcalde de Moralzarzal del Ajo arriero diciendo “No creo que Debian deba ser Common Criteria EAL4+”? Sí, yo también me lo imagino porque he visto cosas similares.

No, no es una crítica hacia los políticos, aunque lo cómico de la situación aquí presentada así lo pareciese ellos han tenido, sin duda, más memorables actuaciones. Lo cómico no son los políticos de al uso general como alcaldes, concejales de jardines o concejal de la juventud hablando de ISO, Common Criteria o Wifi Alliance. Lo cómico es que ciertos “informáticos” utilicen estas afirmaciones como argumento técnico: “Debian no debe ser Common Criteria EAL4+ porque lo dice el político fulanito”… mientras otros aplauden.

Lo que realmente me parece escabroso, peligroso y pendenciero son aquellos que dicen ser “Informáticos” y su afán es politizar esta profesión. En esos casos, estos informáticos no asesoran a los políticos, no. ¿Para qué si yo lo valgo? En esos casos los informáticos sustituyen a los políticos y reclaman tomas de decisiones técnicas basadas en aseveraciones ético-filoso-políticas. Esta base de datos es mejor porque éticamente ofrece más TPM… para los de la Logse, Transacciones Por Minuto.

¿Esto te parece mal? Pues mira, yo hasta a eso me he acostumbrado. ¿No es un político alguien que ha estudiado economía o derecho? Pues que lo sea alguien que ha estudiado informática. No creo, por otro lado, que el ejercicio de la profesión de político le permita mantener un nivel aceptable de asimilación de conocimientos como para ser un buen informático, pero… cosas veredes.

Lo que realmente me preocupa, me molesta y me alarma es que algunos “Informáticos Políticos” quieren mediatizar las decisiones de los “Informáticos apolíticos”, es decir, aquellos que nos metimos a esto sin pensar que nos iban a juzgar por el uso de una u otra herramienta,. Aquellos que pensamos que esto de los ordenadores es una Ciencia y no una Política, Filosofía o Movimiento cultural.

No, no nos importa que para muchos sea una Política, una Filosofía o un Movimiento cultural mientras que a los demás no les importe que para nosotros esto es una ciencia que se convierte en nuestra profesión. Profesión que disfrutamos cuarenta horas a la semana (si tenemos suerte) pagadas y otras tantas de regalo, por motivos varios. Algunos incluso más, pues también es nuestro hobby.

En mi caso, es una decisión romántica, pues para mí la informática es una pasión, pero también es una profesión. Una profesión que quiero, que respeto y que adoro, al margen de éticas, políticas u otras zarandajas de “Informáticos políticos”, “informáticos éticos” o “informáticos cools”.

Saludos Malignos!

***************************************************************************************
Artículo Publicado en Windows TI Magazine 134
***************************************************************************************

Cruzando Puentes

***************************************************************************************
Artículo publicado en Windows TI Magazine 133 May'08
***************************************************************************************

Allá por el año 2006 comenzó el proyecto Bug Hunting para mejorar la seguridad de los principales proyectos Open Source. Este proyecto estaba destinado a ayudar a encontrar fallos en el código que pudieran provocar agujeros de seguridad. Este proyecto venía a relevar el fallido intento, años antes, que realizó, el ahora empleado de Microsoft Crispin Cowan con Sardonix. Se contrató para este proyecto a la empresa Coverity y Andrew Morton, uno de los principales responsables del kenel de Linux dijo esto sobre el proyecto: “Coverity’s static source code analysis has proven to be an effective step towards furthering the quality and security of Linux”. Es decir, que el trabajo que se estaba realizando en Coverity analizando el código había demostrado ser un paso adelante hacia la calidad y la seguridad de Linux.

En el mes de Octubre, es decir, diez meses después de comenzar el proyecto, Ben Chelf, responsable técnico de Coverity, sacaba sus conclusiones en un bonito artículo titulado “Insecurity in Open Source” en el que decía varias cosas interesantes como: “But when software security and quality really matter—like crossing the Atlantic on a jet airliner—trust me, you want to fly proprietary”, es decir, que si vas a cruzar el Atlántico en un avión, tú quieres que el avión vuele con software propietario. No, no era una alabanza a Microsoft o algo por el estilo, sino una queja a la forma de realizar software en algunos de los proyectos de la comunidad Open Source. Para mejorar deben seguirse las mejores prácticas de desarrollo, probadas ya como buenas, que muchas empresas de software propietario utilizan. Mejorar los procesos de testing, de ingeniería de desarrollo y conseguir mejores productos.

Este año, el que ponía la queja era Negroponte, padre del proyecto de OLPC (One Laptop per child) quién se quejaba de la falta ingeniería en el desarrollo Open Source de Sugar, el software educativo que planea utilizar para enseñar a los chicos, del que se lamentaba porque "grew amorphously and didn't have a software architect who did it in a crisp way." Es decir, que el proyecto crecía amorfamente sin que tuviera un arquitecto de software que decidiera de forma clara y cristalina cual es el camino a seguir.

El 13 de Mayo, Luciano Bello, argentino y mantenedor de Debian, con el que tuve el gusto de compartir “güiscola”, charlas, cachondeos y asiento trasero en su coche “Rojo Debian” desvelaba un fallo producido en el paquete OpenSSL que distribuía Debian. Este paquete había sido modificado con el objetivo de quitar un warning del compilador. Para solucionarlo un técnico comentó una línea de código que le daba un mensaje de aviso. Esa línea fue quitada en el paquete OpenSSL que distribuía Debian, y por tanto todas las distribuciones basadas en Debian, pero no se reintegró al proyecto original, dónde algunos programadores podrían haber detectado el fallo.

El fallito provocado al comentar esa línea en cuestión provocó que todas las claves que se generarán estuvieran dentro de un rango muy pequeño, que además se pudieran descubrir las claves privadas a partir de las claves públicas, y alguna que otra cosilla. El revuelo mundial ha sido de órdago a la grande pues a nivel mundial hay que cambiar las claves generadas durante los últimos casi dos años por ese software.
¿Todo esto quiere decir que el que un producto sea Open Source es menos inseguro o simplemente peor? No, y he tenido muchas veces esta misma charla con muchos técnicos de esos que merece la pena quitarse el sombrero ante ellos. No importa si es Open Source o de código no abierto, lo que importa es lo que se haga con él. Los procesos de ingeniería, los ciclos de vida, las fases de creación de un software robusto.

Para ello, hay que dejar un poco a parte la buena voluntad, que siempre queda bien, y que tomen los mandos los ingenieros, los arquitectos, los profesionales. Yo cuando cruzo por un puente quiero que lo haya hecho un ingeniero, no una persona con buena voluntad:

“Sí, te has caído y te has partido la crisma y dos piernas, pero es que el que construyó este puente lo hizo con buena voluntad y con mucho espíritu de colaborar y cambiar el mundo… así que… ¡No te quejes!”

Visto lo visto, habrá que saber que puentes se deben coger y que puentes no, pues cuando lo que quiero es que mi empresa lleve los camiones por la carretera me importa poco si el constructor tenía buena voluntad o lo hizo por un buen pellizco de dinero, lo que me importa es que mis camiones pasen.

***************************************************************************************
Artículo publicado en Windows TI Magazine 133 May'08
***************************************************************************************

No Lusers 46: Random

***************************************************************************************
Publicada en Windows TI Magazine Nº 133 May'08
***************************************************************************************




***************************************************************************************
Publicada en Windows TI Magazine Nº 133 May'08
***************************************************************************************

No Lusers 44: UAC

***************************************************************************************
Publicado en Windows TI Magazine Mayo 2008
***************************************************************************************




***************************************************************************************
Publicado en Windows TI Magazine Mayo 2008
***************************************************************************************

Te vas a quedar sin sitio en Barna!

Hola vosotros!!

Esta mañana eran 207 los registrados para el Asegúr@IT II en Barcelona así que si piensas venir date prisa porque creo que ya estamos en zona límite de plazas. Además la noche antes recordad que tenemos la quedada, aún está por decididr el lugar y la hora, y, aunque tengo alguna sugerencia enviada por email de los lugares y el plan que montar, cualquier idéa aportéis será tomada en consideración.

Agenda y Registro para AsegúraIT II

Quiero dar las gracias a Hispasec que se ha sumado al apoyo del evento con la promoción, y especialmente a Windows TI Magazine que nos regalará la revista del mes a todos los asistentes (gracias Carles y Aurora!) a S21Sec que David, María y todos sus compañeros siempre están dispuestos a colaborar en cualquiera de estas inciativas, por supuesto a Palako, que va a tomarse un día libre para bajar desde Londres a estar con nosotros, a Pablo Catalina de S21Sec por animarse tan rápidamente, a mi querido Silverhack por estar siempre preocupado en mejorar la charla de forense y como no, al equipo de Technet, que dirán lo que quieran de Spectra, pero tiene algunos profesionales de cojones.

Nos vemos, nunca mejor dicho, en los bares...de Barna!

Saludos Malignos

El camino a seguir

***************************************************************************************
Artículo Publicado en Windows TI Magazine Mar'08
***************************************************************************************
Allá por hace muchos años, un yo distinto del mi actual, se subía por primera vez en un escenario delante de más de 500 personas para participar en el evento presentación de Windows XP. Nunca olvidaré aquel evento por varias cuestiones. La primera es porque iba ataviado de traje y corbata, con el pelo corto y afeitadito. La segunda es porque me había dejado los calcetines en Madrid así que di la charla a lo Julio Iglesias. Fue un comienzo divertido que me ayudó a formarme como persona y profesional.

Años después, ya experimentado y curtido en mil batallas, tuve como compañero de viaje a otros cantamañanas, cantatardeceres o cantanocheceres, que a cualquier hora nos ponemos a dar una charla sobre un escenario. Allá por el año 2004, ya en plena campaña de la famosa TCI (Trustworthy Computing Iniciative) empezamos a contar los planes de Microsoft en todos los eventos. El famoso Roadmap.

Ese roadmap era un futurible, un vendrá un haremos y un se cumplirá. En aquel entonces resultaba curioso ver las caras de la gente cuando le hablabas de 2008, 2009, 2010 e incluso 2011. “Claro, claro, y por el camino seguro que no pasa nada”.

¿Qué íbamos a decir nosotros? Aquello parecía más un acto de fe que algo demostrable, así que nada, a lo nuestro. El caso es que el discursito que llevábamos era algo así como: En el 2006 (año fiscal americano, es decir, Julio 2006-Junio 2007, llegará por fin la versión Longhorn de clientes, al año siguiente, es decir, el 2007-2008 llegará el Service Pack 1 y la versión Longhorn de servidores, al año siguiente, el 2008-2009 llegará la “Minor Release” de Longhorn cliente, es decir, una evolución del sistema operativo que seguramente se llamará R2 y el SP1 del Longhorn Server. Para el 2009-2010 llegará el SP2 del cliente y el R2 del server, para el 2010-2011 llegará el lanzamiento del nuevo sistema operativo cliente, en aquel entonces sin nombre código tan siguiera, es decir, una “Mayor Release” y para el server…

Largo lo fiamos, largo. Sin embargo salió el Vista en el 2006-2007 y un año después, en el 2007-2008 la compañía ha puesto en circulación el Service Pack 1 (a fecha de hoy mi portátil ya lo corre con placer y alegría para mí). En la parte de servidores la cosa va por el estilo, Windows Server 2008 está ya listo para llegar a los servidores de los clientes y se espera que para el año que viene esté ya el Service Pack 1.

Al mismo tiempo, la planificación no ha parado, así, en el 2006-2007, en la famosa sala EMO que tiene Microsoft Ibérica en Madrid, se pueden ver las maquetas diseñadas para lo que se espera sea el nuevo sistema operativo. Sí, ese del que se publicó el nombre código nada más alcanzarse las primeras versiones RTM de Vista, el famoso Vienna. No solo la maqueta de Vienna se puede ver en la sala EMO, los que asistieron al stand de Microsoft en el SIMO de Noviembre de 2006 pudieron asistir a la demostración de lo que sería el nuevo interfaz.

Todo este enorme trabajo de planificación es una autentica obra de arte de ingeniería ya que hacer un sistema operativo, en los años actuales, no son cuatro amigos tirando código. Ya el propio Linus Torvalds hablaba de la complejidad de los sistemas operativos a principio del año 2007 en Australia dónde remarcaba que “Hoy en día no hay soluciones sencillas a problemas sencillos en los sistemas operativos”.

Lo más curioso es como, tras alcanzar Vienna el Milestone 1 de su ciclo de vida, y tras ser enseñado en una charla con su nombre de Windows 7, todos los técnicoless agoreros han caído en su propio proceso mental de autocomplacencia endogámica y han querido ver un proceso de fracaso de Vista o un carpetazo a todo el ciclo de desarrollo de Vista. Para ellos lo que ha pasado es que ha llegado alguien en Microsoft y ha dicho:

“Oye Paco, deja de tirar líneas con Vista que no se vende bien, pa’mañana me sacas otro sistema operativo, pero este más bonito, con muchos renos y muchos colores y no te olvides de que las ventanas vibren como un flan que eso tiene mucho tirón. Ah, y ya que estamos, aprended a ponerme algún cubo leñe, que parece mentira que no sepáis!”

Pues va a ser que no amigos. Vista tiene ya un porcentaje de cuota de mercado muy considerable, con casi 100 millones de copias vendidas en el mundo, con unos resultados en seguridad inmejorables en la historia de los sistemas operativos modernos y, ahora, para regocijo de todos, ha salido un Service Pack que lo mejora y viene “papa” Windows Server 2008, el sistema servidor que mejor se integra con Vista.

Tú dirás lo que quieras, pero si eres de esos que has hecho un downgrade a XP, permíteme que te de el más sentido pésame por haberte dejado arrastrar por “las malas lenguas”.

***************************************************************************************
Artículo Publicado en Windows TI Magazine Mar'08
***************************************************************************************

La vida sigue igual

***************************************************************************************
Artículo Publicado en Windows TI Magazine Feb'08
***************************************************************************************
Bill se va, nos deja, como el desodorante, a nuestra suerte. Atrás queda la imagen del niño prodigio que vemos en las primeras fotos de Spectra, la imagen del bandido que muchos han querido ponerle, o la foto del tartazo en Bruselas. Muchos intentan tirar por tierra lo que un chaval, sin la carrera terminada, se atrevió siquiera a soñar: levantar Spectra. Crear una compañía que no solo se hizo su hueco sino que llegó a “gobernar” casi la totalidad de los PC. Primero con el DOS y luego con la llegada de las ventanas.

Bill se va dejando una gran empresa y Windows Vista, un sistema operativo cuyos detractores no dejan de intentar impedir lo que saben que acabará sucediendo, es decir, que la calidad del mismo acabe imponiéndose. Hoy ya sobrepasa el 15 % de cuota de mercado mundial y con la salida del SP1 muchos detractores, encontrando un clavo ardiente al que agarrarse, dirán: “antes no, pero ahora sí que va bien”. En fin…como siempre.

Bill se va, dejando a Java controlado. Después de parecer que iba a ser imposible luchar contra él, Microsoft se supo revolver, supo comenzar desde atrás, aprender de sus errores y crear Visual Studio .NET, siendo hoy en día una de las plataformas más extendidas a nivel mundial.

Bill se va, pero ha sabido colocar a Windows Mobile en el mercado de los dispositivos móviles profesionales qué, gracias a su integración con la plataforma de desarrollo Visual Studio .NET se está convirtiendo en la elección preferida de la mayoría de empresas.

Bill se va, pero otros vienen. El sistema operativo de servidor Windows Server 2008. Este año es su año. Este año viene, cargado de nuevas funcionalidades, de servicios integrados. Tendrá, al igual que Windows Vista, que luchar duramente con un sistema operativo del que todos están muy satisfechos: Windows Server 2003. Es difícil encontrar a alguien que diga que no le gusta el Directorio Activo, las GPOs o las herramientas de Gestión de Windows Server 2003. Es difícil no reconocer el valor de los Internet Information Services 6.0 que cuatro años después de su lanzamiento se encuentran como el servidor Web más usado en el selecto grupo de empresas de la Fortune 1000.

Bill se va, pero deja también en su legado Windows Server 2008, con los nuevos sistemas de virtualización, con los nuevos servicios de Terminal, con nuevas herramientas en la gestión de la seguridad o con nuevas versiones como Server Core, pensado para montar roles en servidores sin, ni tan siquiera, el entorno gráfico. Vendrá con la Power Shell, para gozo de administradores de redes amantes de scripts.

Bill se va, dejando un acuerdo con Novell que sorprendió a propios y extraños, pero tan sutil y bien elaborado que es digno de ser estudiado en los mejores masters de dirección de negocios y que le ha permitido aplacar uno de los focos que más peligraban en la empresa, el uso de puestos de trabajos Linux, antes, si quiera, de que empezara a ser una amenaza. Controlando la entrada de qué versión de Linux iba a colarse en sus entornos mediante un trato preferencial hacia Suse y asegurándose su parte en el negocio.

Bill se va y en el camino muchos de sus competidores han caído, quitando de en medio, cosas que parecían imposibles, como Word Perfect y los productos Lotus en los entornos ofimáticos, los sistemas Lotus Domino/Notes se han visto arrinconados hasta casi la extinción, los sistemas UNIX han ido reduciendo su cuota en los sistemas intermedios hasta casi desaparecer, Solaris, HP-UX, True64, y otros sistemas UNIX dejaron de ser considerados competencia real y Borland perdió toda su fuerza en la lucha por los entornos de desarrollo, siendo hoy una cosa más que anecdótica. En otros entornos MacOS ha estado controlado, teniendo hoy en día una cuota en ordenadores personales inferior al 2.5 % y llegando a colarse Windows hasta en entornos de trabajo históricos de Mac. De muchas otras empresas sus nombres no quedarán para historia de la informática

Bill se va, pero… ¿Se quedarán cosas en el tintero? Bastantes, pero eso es bueno para todos los usuarios. Se queda el departamento de consumo luchando con XBOX 360, Zune y Surface peleando en una industria cada vez más competitiva, se quedan los servicios de Internet de MSN luchando con una potente Google (Webeater) que ya se ha convertido en un autentico agujero negro de Internet que se come cualquier nueva idea que empieza a surgir.

Bill se va, dejando admiradores y detractores, pero… con una buena renta para la jubilación. No tenemos que preocuparnos, otros vendrán, así que, como decía una de las más famosas canciones de nuestro más internacional cantante pre Operación Triunfo, el famoso Julito Catedrales, La vida Sigue Igual….na, na, na, nana, nana, na, na, na.

***************************************************************************************
Artículo Publicado en Windows TI Magazine Feb'08
***************************************************************************************

29.500

***************************************************************************************
Artículo publicado en Windows TI Magazine Ene'08: 29.500
***************************************************************************************

No salió el 29.500, o espero que no saliera porque si no me voy a tirar de los pelos por no haber comprado este número en la lotería de Navidad. Supongo que quedaría muy repartido el premio, que la Bruja de Oro vendería muchos premios, algo normal cuando se es la administración que más lotería vende (que me lo sé yo que me lo ha dicho mi profesora de estadística, que para más datos se llama doña Angustias), tampoco habrá sacado de pobres a la gran mayoría, y, supongo, que todos os quedasteis cerca, a un número del segundo, o del tercero, o de la pedrea, o…. Mejor no pensarlo, al fin y al cabo, sólo es dinero… ¿quién lo quiere pudiendo pedir salud, amor y ..? Bueno, al lio.

Ese numerito, es el que ISO puso, como muchos ya sabréis, a ECMA-376, el famoso OOXML y, también estaréis al tanto, de que en la votación de septiembre de 2007, no se aprobó el estándar,… por una serie de comentarios. Curiosamente, algo que no había pasado nunca en los procesos de estandarización, y eso lo dicen los que saben de esto, todos los que votaron en contra aportaron exactamente los mismos comentarios. ¿Los mismos comentarios? Sí, los mismos. Vaya, la verdad debe ser tan evidente ¿cierto? que todos han encontrado los mismos comentarios….mmm…aquí algo huele raro… o cómo dirían los fantásticos Martes y 13 que rebautizaron a mi pueblo como “La ciudad de la empanadilla”… aquí huele a muerto… y no va a ser OOXML. Anda, que curioso, y escritos con las mismas frases y expresiones. ¡Magia!

A pesar del ruido que se ha hecho aportando tantos comentarios, los responsables de los procesos de estandarización han clasificado los comentarios y han aplicado el comando DISTINCT, es decir, que cada uno de esos comentarios sea único. Curiosamente, el número medio de comentarios ha sido el mismo que la media de los que se vienen teniendo. Sí, en el proceso de PDF también ha existido la misma media de comentarios. 1 por cada 6 páginas del estándar.

Esto es porque ISO está para estandarizar y hacer cosas pensando en el avance de la tecnología. A pesar de que muchos deseen que, al más puro estilo NBA se cuelgue la camiseta de los formatos de documentos ofimáticos porque ISO 26300 le parezca único e insuperable como base, pivot o alero, los comités de estandarización están para ofertar alternativas accesibles para todos. Así, cuando se dice NO, no vale, hay que decir NO, por este problema técnico y este otro problema técnico, de tal forma, que si el comité que lo presenta, en este caso el TC45 de ECMA (recordemos que OOXML es ya un estándar abierto –ECMA376- por mucho que algunos quieran negarlo) y no Microsoft, al igual que en el caso de ODF fue OASIS y no IBM ni SUN, da una correcta respuesta técnica a los comentarios recibidos, hay que decir SÍ.

Sí, tendrán que decir Sí. Si en la reunión técnica se da respuesta a todos los comentarios no “se vale” el decir “Joooo, noooo”. No, en ese caso hay que decir Sí. Esa reunión es la BRM (Ballot Resolution Meeting). Y para esa reunión tooooodos, sí, absolutamente toooodos los comentarios NO técnicos han sido ignorados.

ECMA-376 está trabajando y duro en dar las respuestas que demandaron los comités de estandarización de los países que votaron y votarán en la BRM y, anunciaron a principios de diciembre que ya habían dado respuesta a más del 50% de los comentarios sugeridos. Así, entre otras cosas… ECMA-376 ha decidido aceptar el uso de fechas según el estándar ISO-8601. Bien, eso quiere decir que un comentario desaparece en la BRM.

Como este ejemplo tendremos los demás comentarios, como el “lio con las semanas”. ¿Mira que considerar ECMA-376 que las semanas comienzan en domingo o en lunes? Nada, nada, como deseaban los comentaristas ECMA-376 propone opciones que definirán cual es el primer día de la semana, y cuando es fin de semana.

O con la definición del leguaje del documento, en el que ECMA-376 usaba un conjunto de valores enteros para identificar el lenguaje aplicado a las diferentes regiones en un documento. Nada, nada, a partir de ahora, como se pedía, ECMA-376 propondrá que los “language tags” especificados deberán considerar una práctica internacional reconocida para representar lenguajes, la IETF BCP 47. IETF BCP 47 es una Best Current Practic de documentos que incorpora el uso de ISO 639 para lenguajes, ISO 15924 para scripts, e ISO 3166 para regiones. Todos contentos, pues con esta propuesta se responde directamente a recomendaciones de cuerpos de normalización de muchos países. Así que…¿borramos otro comentario?

Al final, gracias a todos los comentarios, OOXML será mucho mejor estándar. Todos estarán contentos pues habrán resuelto sus críticas. Además como será tan bueno gracias a las aportaciones de los comentaristas… ¿Quién no querría usarlo? Al final, el 29.500 va a ser un número con mucha fortuna… ¿para quién?

***************************************************************************************
Referencias:
3.520, 3.521 ..... y 3.522: El Mejor OpenXML
OpenXML: ECMA responde ya a 2/3 de los comentarios remitidos
***************************************************************************************

El maletín de la Piquer

***************************************************************************************
Artículo Publicado en Windows TI Magazine Noviembre de 2007
***************************************************************************************

En mi barrio llamábamos “el aplausos” a aquel tipo que nervioso y exaltado nos contaba con pelos y señales la noticia que todos sabíamos desde dos días antes. “¿Sabéis que “la pecas” se lio con “el pitufo”? Acto que todos consagramos con un caluroso aplauso resaltado con nuestra porte más digna y seria al tiempo que le vitoreábamos “bravo, “enterao”, ¡tú sí que estás al día macho!” Así que, para emular a nuestro protagonista de barrio y ganarnos vuestros aplausos, el abuelo y yo os informamos de que ¡Hamilton no ganó el campeonato del mundo de Fórmula 1! Lo que nos sorprende es que Fernando Alonso tampoco, pero… ¿por qué sonreía en el Podio brasileño?

Y es que estamos necesitados de aplausos, de vuestro cariño, de vuestro amor, de vuestro… vale, ya os hacéis una idea de lo que necesitamos. Y es que, como siempre en estas fechas a finales de año, los “productores” nos obligan a cumplir una gira que ríete tú de la de los triunfitos el año que todos fuimos la Rosa de España. Sí, “cantando” por las tierras de esta Ibérica Península nuestros grandes “fracasos” y arrastrando un baúl tan pesado como el de la Piquer, pero lleno de todo tipo de friki-gadgets electrónicos que hacen las delicias de los controles en trenes, aerportuertos y costas deportivas. Todo para lucirnos con la Gira Technet, rebautizada al más puro estilo Show Business como “Live Technology Tour”. 9 ciudades, 9 shows con las mallas ajustadas luciendo los encantos que nos han generado la pléyade de productos que hemos conocido gracias al “spam” para … bueno, para ya sabéis que.

En todas ellas buscamos al cuarto componente del grupo, ya que, de momento somos tres y nos falta un batería, para lo cual se ha habilitado el Factor TI, un concurso para seleccionarte a ti, que no te quiere nadie. Vente, haz el casting con nosotros, ponte las mallas, y gánate una XBOX o un teléfono HTC.

El cachon….digo… la gira comenzó a finales de Octubre llevándonos a un Vigo y una Zaragoza que como siempre nos acogieron... ¡¡Bastante que nos acogieron!! Ahora en Noviembre y Diciembre, mientras las empresas españolas se devanan los sesos para cerrar el Excel, o la aplicación presupuestaria de turno, y lograr ajustar los pocos euralios que se tienen para gastar en el, siempre “derrochador”, departamento IT, durante el año que viene, nosotros nos pulimos los últimos ahorros acerándonos a las ciudades a degustar lo que nos queda de la gira: Murcia (verduritas) y Valencia (paella) a finales de Noviembre. Tenerife (Papas arrugas) y Las Palmas (Sama) en el mes de Diciembre. Valladolid (Corderaco), Sevilla (torta de camarones) y Bilbao (tortilla de bacalao) con la cuesta de Enero.

Por el medio tocan las paradas habituales. Hay que visitar el SIMO en Noviembre para ver a las señoritas que alegremente nos muestran virtuosas las múltiples y diversas funcionalidades de sus grandes y novedosos productos en todos los coloridos stands. Vale, también hay señoritos, aunque como los imanes, el abuelo y yo nos sentimos atraídos únicamente por los polos opuestos. Este año, pararemos de nuevo a currar, al igual que el año pasado en el que nos tocó jugar con el Windows Vista, y haremos coincidir el Security Day (7 de Noviembre) con la feria, entregando como regalo a los asistentes, además del gadget tecnológico de turno (que nosotros nos sabemos cuál es pero no podemos desvelarlo aún) una entrada para ver el SIMO.

Este año el Security Day lo dedicaremos a las Estafas en Internet, en el que intentaremos dar a los asistentes algunos ejemplos lo más vistosos y divertidos posibles para, como dice la campaña creada por las iluminadas mentes de los publicistas, “Catch the Kinki”. Ha sido necesario un duro periodo de aprendizaje en el que, filtros antispam desactivados, hemos salido a Internet a apostar en todos los casinos a los que nos invitaron con la recuperada fortuna del cuádruplemente difunto rey de Nigeria, hemos aceptado, tal y como siempre soñamos, trabajos de altos beneficios y poco esfuerzo, moviendo dinero en cuentas bancarias de amigos de nombres curiosos y empresas extrañas y, como cobayas de laboratorio, probamos sobre nosotros, productos que nos prometían un lucimiento magnífico embutidos en las mallas.

Tras el SIMO, del que como siempre saldremos con las manos llenas de regalos y enormes bolsas repletas de panfletos “subversivos” que buscan trastocar el encaje de bolillos que has realizado con el presupuesto del año que viene…y alguna que otra foto con las señoritas de la feria, volveremos a hacer las maletas, esta vez, para asistir, del 12 al 16 de Noviembre, como buenos alumnos empollones gafotas, al IT Forum en Barcelona. Allí esperamos escuchar a alguno que de verdad sepa algo de tecnología pues cada vez resulta más complicado encontrarlos entre la maraña blogosférica de técnicoless.

Así que ya sabes, nos vemos en los bares.

Chema Alonso & José “el abuelo” Parada

El colorado del verano

***************************************************************************************
Artículo publicado en Windows TI Magazine Oct'07: El colorado del Verano
***************************************************************************************

Ya ha pasado el tiempo estival del verano y ha sido un periodo especialmente movidito en el mundo de los servidores web en Internet. Este periodo es momento de visitar las playas de nuestras costas para poder practicar el inglés, el italiano, el francés y el alemán. Relajarnos leyendo esa novela de mil páginas que teníamos aparcada y dormir. Dormir hasta tarde, dormir la siesta y dormir la fiesta de la noche anterior.

Pero desde que existen los servicios direct push para el correo electrónico, los lectores RSS y las conexiones a Internet están disponibles hasta en el chiringuito de la salmonelosis de 12 gambas a 12 euralios es casi imposible abstraerse de lo que pasa en el mundo.

¿Tú has conseguido desconectar? Entonces tendrás que informarte de todo lo que ha pasado.

Resultados Fortune 1000 Webservers Survey

Durante este periodo se han hecho públicas las estadísticas sobre los servidores de la fortune 1000 en la que IIS sigue manteniendo la mayoría absoluta con un 55%, como desearía todo buen gobierno, manteniéndola desde enero de 2003.
[Spectra Web Wars]

Resultados Netcraft

En los resultados mensuales de Netcraft del mes de Septiembre, dónde Apache había mantenido una mayoría aplastante con casi el 70 % de cuota en su momento más álgido, los resultados en los servidores web activos dejan al servidor de código abierto con un 47,78% y a IIS con un 36,63%, llevando la distancia a poco más de 11 puntos, siendo ésta la más corta DE LA HISTORIA. Dicen las “malas lenguas” que esto es debido a las desdeñosas bloggers de los servicios de Spaces, pero después de años viviendo en muchos casos los Apaches de los hosting gratuitos para los www.frutos-secos-de-mi-barrio.com no es momento de hacer estas lecturas. ¿o sí?
[¿Caida Imparable de Apache?]

Sección Sucesos

Pero no solo ha habido datos de servidores web, también hemos tenido sección de sucesos. Así la web del ministerio de la vivienda se veía atacada por un defacement que dejaba su desactualizado gestor de contenidos Mambo en evidencia.
[No House?, I hack]

También se caían durante un fin de semana los servidores de WGA para autenticar las instalaciones de Windows Vista que dejaban a unas 12.000 instalaciones con necesidad de revalidarse.

Mientras tanto, los servidores de las comunidades Ubuntu eran hackeados. Este ataque tuvo cierta gracia pues en las explicaciones, los servidores que corrían resultaron ser de la distribución Linux Debian y como causas se dieron: 1)La total desactualización de todo el software que no se había parcheado porque 2) había un problema con el driver de la tarjeta de red con los nuevos kernels. Todo un poema. Bueno, 3) tampoco tenían política de seguridad de contraseñas y se logaban en remoto con la cuenta de administración sin cifrado alguno.
[Master en Gestión de Sistemas Ubuntu]

Como diversión tuvimos los servidores de información de Gentoo Linux que ante el descubrimiento de un bug, se decidió tirarlos abajo mientras que el que tenía que parchearlo regresaba de unas conferencias. Vamos, ver para creer. Los servidores estuvieron abajo más de diez días.
[Qué gente!]

A todo esto se decidía en España a finales del mes de Julio el apoyo o no a la aprobación de OOXML como estándar ISO. Al final en España el comité de Aenor votó abstenerse, pero el circo mediático que se montó en la web fue muy al más puro estilo Groucho Marx.
[ECMA 376 - OOXML - Spectra Office]

Y Linux ganando a Windows

A principios de septiembre se generó una cadena de información y posts en blogs porque unas estadísticas realizadas sobre treinta y tres millones de ordenadores utilizados para navegar por más de cinco mil sitios web mostraban que Linux había superado a Windows…. Bueno, realmente fue a Windows 98. Las cuotas de ambos eran del 1.34 % pero ciertas comunidades Linux se felicitaban por el éxito….aunque la cuota se la quitase Windows Vista a Windows 98, no dejaba de ser un éxito para algunos verse por delante casi diez años después.
[Linux Supera a Windows][Windows 98 vuelve a superar a Linux]

Y al final del verano regresó el Sol

Y es que, para cuando parecía que el sol se iba, apareció SUN Microsystems para anunciar un acuerdo en el que, después de llevar mucho tiempo soportándolo sus servidores, se decidía a vender Windows Server 2003 en OEM. De momento solo en las versiones x64, para que no se diga, que hay muchas malas lenguas por ahí sueltas.
[Al Sol que más calienta]

¿Y tú no has estado atento a este verano? Bueno, al menos estarás más sano mentalmente que los que no hemos desconectado. Este verano, no solo los “guiris” se han puesto colorados.

Cansancio por Carles del Collado

****************************************************************************************
Carles del Collado es editor de Windows TI Magazine en España, es un tipo con ese raro sentido del humor digno al más puro estilo Eugenio, serio, con flema y duro, me encanta. Mes a mes me pego mis parrafadas en la sección de Firmas de su revista mientras él, entre muchas cosas, se curra un editorial. Este que ha escrito en la revista del mes de Octubre, me ha sacado una sonrisa y creo que merece que lo leáis y que además esté en El Lado del Mal. Saludos Malignos!

PD: Yo le hubiera titulado directamente Analistas de Salsa Rosa. jeje.
****************************************************************************************
Cansancio

Hará un par de años, a los empleados de Microsoft se les hacía tan insoportable ser asediados en las celebraciones y reuniones con amigos que la compañía fue advertida de que muchos evitaban decir que trabajaban en Microsoft. Era cosa de ver un empleado, y caer sobre él toda la mala prensa, las quejas, las peticiones de software gratis, y por qué no, de una consola. Está claro que hay cosas que un empleado puede hacer y entre ellas no está –por lo general– ir consiguiendo consolas ni copias de Windows, pero tampoco tienen por qué aguantar los problemas particulares de cada una de las instalaciones de los amigos de sus amigos con la pretensión de que alguien que no sea de soporte tenga ni los conocimientos ni las ganas de ir haciendo de help desk de cualquiera, con el sambenito de ser culpable de forma invariable.

Puesto que era inevitable y casi conveniente que los empleados de la casa tuvieran vida social, y a ser posible, satisfactoria, se les ocurrió la idea de dar a cada uno de ellos unas cuantas tarjetas que –en casos desesperados– podían sacarles de un apuro. Se trataba de vales por los cuales los poseedores podían hacer una llamada al centro de soporte de Microsoft de forma gratuita. Era una forma resultona de quitarse de encima al pesado y de paso, descubrir por casualidad que el amigo tenía el XP pirata y que seguro se merecía todo lo que le pasase.

Las cosas habrán mejorado en este aspecto. Pero hay una cosa para que los vales no sirven, que es evitar los análisis felices que cualquiera (normalmente indocumentado) hace sobre las ventas de Windows Vista, o acerca del imparable avance de Firefox, o del fin de Microsoft como compañía ante la amenaza real e inmediata de Ubuntu.

Estoy convencido de que muchos empleados de Microsoft han elaborado una técnica para poder evadirse de hacer de evangelistas ante audiencias tan condicionadas, pero admito que me ha llegado el turno. Estoy harto. Harto de tener que justificar la estrategia de Microsoft, harto de dar cifras sobre penetraciones de mercado, de ventas, de base instalada, de descubrir ante tanto usuario pelado el vasto mundo de los entornos empresariales y de lo que gira alrededor de él, etcétera. Porque tal audiencia, cuando les dices que Windows Vista vendió en cinco semanas más que toda la base instalada de Mac, lo niegan. Y tanto aseguran amar el modo carácter y la línea de mandatos (signo evidente de que eres un geek de los buenos) como a la vez el último interfaz gráfico.

Se trata de un estadio más hacia la santidad. No hay duda. Después de habernos convertido en “el solucionador” de problemas informáticos de familia, amigos y otros varios, ahora además nos las tenemos que ver con analistas del salsa rosa de las tic que rezuman las informaciones de los mass media, que repiten clichés sobre el desastre que se nos avecina, desprendiendo satisfacción –la del ignorante– como si en esta guerra él tuviera acciones y su éxito personal y profesional estuviera ligado a eso.

Artículo en Site Original: Cansancio

LDAP Injection & Blind LDAP Injection

Aprovechando que he madrugado he terminado de postear el artículo que he publicado en Windows TI Magazine este mes de Octubre sobre LDAP Injection & Blind LDAP Injection. La primera parte del mismo está dedicada a LDAP Injection, la segunda parte a Blind LDAP Injection y la tercera a las pruebas de las inyecciones propuestas por Sacha Faust sobre un árbol ADAM y otro árbol OpenLDAP. El índice es el siguiente:

Índice:
-------
LDAP Injection & Blind LDAP Injection (Parte I de III)
LDAP Injection & Blind LDAP Injection (Parte II de III)
LDAP Injection & Blind LDAP Injection (Parte III de III)

Autores: Chema Alonso, Rodolfo Bordón, Antonio Guzmán, Marta Beltran.

Agradecimientos: A RoMaNSoFt por enseñarme a reducir el charset; Mandigo, Dani Kachail y Pedro Laguna por enviarme el solucionario del RetoHacking 4 (que haré y harán públicos) y permitirme aprender de ellos; y a Carles del Collado de Windows Ti Magazine por dejarme publicar el artículo fuera de tiempo. ¡Gracias!

LDAP Injection & Blind LDAP Injection (Parte III de III)

********************************************************
Índice:
LDAP Injection & Blind LDAP Injection (Parte I de III)
LDAP Injection & Blind LDAP Injection (Parte II de III)
LDAP Injection & Blind LDAP Injection (Parte III de III)
********************************************************

En este parte del artículo simplemente se han probado las inyecciones descritas por Sacha Faust en su documento "LDAP Injection" sobre entornos ADAM y OpenLDAP.

LDAP Injection con ADAM de Microsoft

Para realizar todas las pruebas de las cadenas a inyectar hemos utilizado la herramienta LDAP Browser que permite conectarse a distintos árboles LDAP y una cliente web creado con el componente IPWorksASP.LDAP de la empresa /n Software, para realizar las pruebas de ejecución de filtros. En la imagen 1 se muestra la estructura que hemos creado de ejemplo en ADAM.

Imagen: Estructura del árbol LDAP creado en ADAM
Supongamos ahora que la aplicación web utiliza una consulta con el siguiente filtro: (cn=Impresora_1). Al lanzar esta consulta se obtiene 1 objeto, como se puede ver en la imagen siguiente:

Imagen: Se obtiene un objeto de respuesta con el filtro (cn=Impresora_1)
Lo deseable por un atacante que realice una inyección sería poder acceder a toda la información mediante la inclusión una consulta que nos devolviera todas las impresoras, en un supuesto ataque. En el ejemplo, vemos cual debería ser el resultado a obtener con una consulta siguiendo la RFC 4515 sobre ADAM: (|(cn=Impresora_1)(cn=Impresora*))

Imagen: Todas las impresoras
Sin embargo, como se puede apreciar, para construir ese filtro, necesitaríamos inyectar un operador y un paréntesis al principio. En el ejemplo, la inyección no “parece” ser muy útil pues se está realizando en ambas condicionantes sobre cn, pero ese filtro sólo está creado para ilustrar la necesidad de inyectar código antes del filtro y en el medio del filtro. Si probamos la inyección propuesta por Sacha Faust en ADAM: (cn=Impresora_1)(|(cn=Impresora*))

Imagen: Inyección sin resultados
Como se puede apreciar en la captura, en la última prueba, la inyección no produce ningún error, pero a diferencia de las pruebas que realiza Sacha Faust con SunOne Directory Server 5.0, el servidor ADAM no devuelve más datos. Es decir, sólo devuelve los datos del primer filtro completo y el resto de la cadena es ignorado.

LDAP Injection con OpenLDAP

Para realizar las pruebas de inyección en OpenLDAP hemos utilizado el árbol que ofrece de pruebas el propio proyecto OpenLPAD.org cuya estructura es la siguiente:

Imagen: Estructura del árbol LDAP en OpenLDAP
Sobre esta estructura ejecutamos una consulta para buscar a un usuario obteniendo un único objeto como resultado: (uid=kurt)

Imagen: Al ejecutar el filtro (uid=kurt) obtenemos un único resultado
Si quisiéramos ampliar el número de resultados, siguiendo la RFC 4515 deberíamos ejecutar una consulta en la que inyectáramos un operador OR y un filtro que incluyera a todos los resultados, como se puede ver en la siguiente imagen: (|(uid=kurt)(uid=*))

Imagen: Todos los usuarios
Si realizamos la inyección tal y como propone Sacha Faust en su documento sobre LDAP obtendríamos los siguientes resultados: (uid=kurt)(|(uid=*))

Imagen: Inyección OpenLDAP. Se ignora el segundo filtro.
Como puede apreciarse en la captura, el servidor OpenLDAP ha ignorado el segundo filtro y solo ha devuelto un usuario, de igual forma que realizaba ADAM.

********************************************************
Índice:
LDAP Injection & Blind LDAP Injection (Parte I de III)
LDAP Injection & Blind LDAP Injection (Parte II de III)
LDAP Injection & Blind LDAP Injection (Parte III de III)
********************************************************

LDAP Injection & Blind LDAP Injection (Parte II de III)

********************************************************
Índice:
LDAP Injection & Blind LDAP Injection (Parte I de III)
LDAP Injection & Blind LDAP Injection (Parte II de III)
LDAP Injection & Blind LDAP Injection (Parte III de III)
********************************************************

Blind LDAP Injection

Una de las evoluciones de las inyecciones de comandos son las acciones a ciegas; los ataques “Blind”. Es común encontrarse ya documentados los ataques Blind SQL Injection, pero de los ataques Blind LDAP Injection sin embargo no se ha hablado nada aún. ¿Es posible realizar un ataque a ciegas para extraer información de un árbol LDAP? La respuesta, obviamente, es Sí.

El entorno para realizar un ataque a ciegas suele ser una aplicación web que cumple dos características:

- La aplicación no muestra los resultados obtenidos de la consulta realiza al árbol LDAP.

- El uso de los resultados produce cambios en la respuesta http que el cliente recibe.

Para realizar un ataque a ciegas necesitamos poder crear la lógica para extraer información cambiando los resultados obtenidos con el filtro LDAP y observando los cambios en las respuestas http.

Blind LDAP Injection en un entorno “AND”

En esta situación tenemos una consulta generada en el lado del servidor del siguiente tipo:

(&(atributo1=valor1)(atributo2=valor2))

Para realizar la inyección deberemos tener en cuenta que en un entrono AND tenemos un parámetro fijo que nos va a mediatizar. El entorno ideal es que el atributo1 sea lo más general posible, por ejemplo objectClass, o cn, con lo que podremos seleccionar casi cualquier objeto del árbol. Después deberemos aplicarle un valor que sea True, es decir, que siempre seleccione objetos para tenerlo fijado a valor true y utilizar como segundo atributo uno conocido que también nos garantice que sea True.

Supongamos la siguiente consulta LDAP:

(&(objectClass=Impresoras)(impresoraTipo=Epson*))
que se lanza para saber si en el almacén de una empresa hay impresoras Epson de tal manera que el programador, si recibe algún objeto, simplemente pinta en la página web un icono de una impresora Epson.

Está claro que lo más que conseguiremos tras la inyección es ver o no el icono de la impresora. Bien, pues a ello. Fijemos la respuesta positiva tal y como hemos dicho, realizando una inyección del siguiente tipo:

(&(objectClass=*)(objectClass=*))(&(objectClass=void)(impresoraTipo=Epson*))

Lo que está puesto en negrita sería la inyección que introduciría el atacante. Esta inyección debe devolver siempre algún objeto luego, en el ejemplo planteado, en la respuesta http veríamos un icono de la impresora. A partir de ahí podríamos extraer los tipos de objectClass que tenemos en nuestro árbol LDAP.

Reconocimiento de clases de objetos de un árbol LDAP

Sabiendo que el filtro (objectClass=*) siempre devuelve algún objeto deberíamos centrarnos en el segundo filtro realizando un recorrido de la siguiente forma:

(&(objectClass=*)(objectClass=users))(&(objectClass=foo)(impresoraTipo=Epson*))
(&(objectClass=*)(objectClass=personas))(&(objectClass=foo)(impresoraTipo=Epson*))
(&(objectClass=*)(objectClass=usuarios))(&(objectClass=foo)(impresoraTipo=Epson*))
(&(objectClass=*)(objectClass=logins))(&(objectClass=foo)(impresoraTipo=Epson*))
(&(objectClass=*)(objectClass=…))(&(objectClass=foo)(impresoraTipo=Epson*))

De tal forma que todas aquellas inyecciones que devolvieran el icono de la impresora en la página web serían respuestas afirmativas que nos indicarían la existencia de ese tipo de objetos.

Otra forma más eficiente sería realizando un barrido en el espectro del alfabeto de posibles valores utilizando una búsqueda con comodines, para ello realizaríamos un árbol que comenzaría por todas las letras del abecedario, de la siguiente forma:

(&(objectClass=*)(objectClass=a*))(&(objectClass=foo)(impresoraTipo=Epson*))
(&(objectClass=*)(objectClass=b*))(&(objectClass=foo)(impresoraTipo=Epson*))
…
(&(objectClass=*)(objectClass=z*))(&(objectClass=foo)(impresoraTipo=Epson*))

De tal manera que seguiríamos desplegando el árbol de aquellas que hubieran dado una respuesta positiva.

(&(objectClass=*)(objectClass=aa*))(&(objectClass=foo)(impresoraTipo=Epson*))
(&(objectClass=*)(objectClass=ab*))(&(objectClass=foo)(impresoraTipo=Epson*))
…
(&(objectClass=*)(objectClass=az*))(&(objectClass=foo)(impresoraTipo=Epson*))
(&(objectClass=*)(objectClass=ba*))(&(objectClass=foo)(impresoraTipo=Epson*))
(&(objectClass=*)(objectClass=bb*))(&(objectClass=foo)(impresoraTipo=Epson*))
…

Y así sucesivamente con lo que, desplegando siempre las positivas podríamos llegar a saber el nombre de todos los objetcClass de un sistema.

Imagen: Árbol de despliegue.Se profundizará en todas las respuestas positivas (color verde)
Este mecanismo no solo funciona para objectClass sino que sería válido para cualquier atributo que un objeto compartiera con el atributo fijo. Una vez sacados los objectClass, podríamos proceder a realizar el mismo recorrido para extraer la información de ellos, por ejemplo, si queremos extraer los nombres de todos los usuarios de un sistema, bastaría con realizar el barrido con la siguiente inyección:

(&(objectClass=user)(uid=a*))(&(objectClass=foo)(impresoraTipo=Epson*))
(&(objectClass=user)(uid=b*))(&(objectClass=foo)(impresoraTipo=Epson*))
…
(&(objectClass=user)(uid=z*))(&(objectClass=foo)(impresoraTipo=Epson*))

Este método obliga a hacer un recorrido en amplitud por un árbol cuya posibilidad de expandirse en cada nodo siempre es igual al alfabeto completo. Se puede reducir este alfabeto realizando un recorrido para averiguar que caracteres no están siendo utilizados en ninguna posición en ningún objeto utilizando un recorrido de la siguiente forma:

(&(objectClass=user)(uid=*a*))(&(objectClass=foo)(impresoraTipo=Epson*))
(&(objectClass=user)(uid=*b*))(&(objectClass=foo)(impresoraTipo=Epson*))
…
(&(objectClass=user)(uid=*z*))(&(objectClass=foo)(impresoraTipo=Epson*))

De esta forma se puede excluir del alfabeto a aquellos caracteres que no hayan devuelto un resultado positivo tras este primer recorrido. Si desearamos buscar un único valor, podríamos realizar una búsqueda binaria de cada uno de los caracteres utilizando los operadores realionales <= o >= para reducir el número de peticiones.

Blind LDAP Injection en un entorno “OR”

En esta situación tenemos una consulta generada en el lado del servidor del siguiente tipo:

(|(atributo1=valor1)(atributo2=valor2))
En este entorno la lógica que debemos utilizar es al contrario. En lugar de fijar el valor del primer filtro a un valor siempre cierto deberemos fijarlo a un valor siempre falso y a partir de ahí, extraer la información, es decir, realizaríamos una inyección de la siguiente forma:

(|(objectClass=void)(objectClass=void))(&(objectClass=void)(impresoraTipo=Epson*))

Con esta inyección obtendremos el valor negativo de referencia. En el ejemplo planteado de las impresoras disponibles deberemos obtener un resultado sin el icono de la impresora. Luego podremos inferir la información cuando sea verdadero el segundo filtro.

(|(objectClass=void)(objectClass=users))(&(objectClass=void)(impresoraTipo=Epson*))
(|(objectClass=void)(objectClass=personas))(&(objectClass=void)(impresoraTipo=Epson*))
(|(objectClass=void)(objectClass=usuarios))(&(objectClass=void)(impresoraTipo=Epson*))
(|(objectClass=void)(objectClass=logins))(&(objectClass=void)(impresoraTipo=Epson*))
(|(objectClass=void)(objectClass=…))(&(objectClass=void)(impresoraTipo=Epson*))

De igual forma que en el ejemplo con el operador AND podríamos extraer toda la información del árbol LDAP utilizando los comodines.

Conclusiones

LDAP es una tecnología en expansión cuya implantación en los sistemas de directorio y meta directorio la hacen cada día más popular. Los entornos Intranet realizan uso intensivo de esta tecnología para ofrecer sistemas de Single Sing-On e incluso es común encontrar entornos LDAP en los servicios de Internet.

Esta popularidad hace que sea necesario incluir las pruebas anteriores dentro de los procesos de auditoría de seguridad de las aplicaciones web. Las pruebas de inyecciones de auditoría que se estaban realizando hoy en día, siguiendo la documentación existente, son de poca ayuda pues en los entornos más comunes como ADAM u OpenLDAP no funcionan.

La solución para proteger las aplicaciones frente a este tipo de inyecciones es, como en otros entornos de explotación, filtrar los parámetros enviados desde el cliente. En este caso filtrar operadores, paréntesis y comodines para que nunca un atacante sea capaz de inyectar lógica dentro de nuestra aplicación.

********************************************************
Índice:
LDAP Injection & Blind LDAP Injection (Parte I de III)
LDAP Injection & Blind LDAP Injection (Parte II de III)
LDAP Injection & Blind LDAP Injection (Parte III de III)
********************************************************

LDAP Injection & Blind LDAP Injection (Parte I de III)

********************************************************
Índice:
LDAP Injection & Blind LDAP Injection (Parte I de III)
LDAP Injection & Blind LDAP Injection (Parte II de III)
LDAP Injection & Blind LDAP Injection (Parte III de III)
********************************************************

Las técnicas de inyección de código se han utilizado para saltarse las restricciones de seguridad de las aplicaciones y sistemas, y, para logar este objetivo, se han especializado para afectar las distintas tecnologías. Una de las "últimas" en estudiarse han sido las técnicas de Inyección LDAP. De éstas la primera referencia que encontramos es la que nos ofrece Sacha Faust, de la empresa SPI Dynamics en su documento “LDAP Injection". El resto de artículos que se han publicado hacen siempre referencia a este mismo documento, convirtiéndolo casi en la única fuente documentada y pública de este tipo de técnicas. La mayoría de las publicaciones que hay sobre este tema referencian una y otra vez los mismos ejemplos publicados por Sacha Faust y las que no lo hacen aportan poco en el estudio de este problema.

LDAP

LDAP (lLightweight Directory Access Protocol) es un protocolo de acceso “ligero” a un directorio de servicios sobre TCP/IP. Inicialmente nació como una forma de consultar las bases de datos jerarquizadas de información en los árboles X.500 pero con el tiempo cobró entidad propia y hoy en día el directorio de información es un árbol LDAP. Con sus propias estructuras y documentos que formalizan esta tecnología. La versión actual está documentada por la RCF 4511, de Junio de 2006. El protocolo de acceso LDAP se utiliza para consultar y modificar los objetos almacenados.

Filtros LDAP

Es importante comprender el funcionamiento de los filtros LDAP, para ello, podemos consultar la RFC 4515 de Junio de 2006. En ella se adjunta la definición completa del leguaje de filtros, pero podemos resumirlo en la siguiente estructura:

Filter = ( filtercomp )
Filtercomp = and / or / not / item
And = & filterlist
Or = | filterlist
Not = ! filter
Filterlist = 1*filter
Item = simple / present / substring
Simple = attr filtertype assertionvalue
Filtertype = “=” /”~=”/ “>=” / “<=”
Present = attr = *
Substring = attr “=” [initial] * [final]
Initial = assertionvalue
Final = assertionvalue

Como se puede apreciar un filtro siempre va entre paréntesis. Además se dispone de un conjunto muy reducido de operadores lógicos AND “&”, OR “|” y NOT “!”, los operadores relacionales <=, >=, = y ~= y el comodín * que se utiliza para sustituir por a “uno o varios caracteres”. Así pues, ejemplos de filtros válidos serían:

- (&(!(objectClass=Impresoras))(uid=s*)): En este ejemplo estaríamos buscando todos los objetos que cumplan que no son de la clase Impresoras y cuyo atributo uid tiene un valor que comienza por “s”

- (&(objectClass=user)(uid=*)): Este filtro nos devolvería la lista de todos los objetos de tipo user, tengan el valor que tengan en el atributo uid.

No serían filtros válidos aquellos que no utilicen notación prefija del operador o no utilicen un anidamiento correcto de paréntesis, como por ejemplo:

- ((objectClass=Impresoras)|(nombre=Epson*)): En este ejemplo el operador lógico OR “|” no va correctamente situado.

- ((&(objectClass=Impresora))((nombre=Epson*Color)): En este caso los paréntesis no están bien anidados.

LDAP Injection en aplicaciones Web

Las técnicas de inyección de comandos LDAP en aplicaciones web se basan en los mismos principios que las técnicas de SQL Injection. En una aplicación web el programador, en un determinado punto recoge datos enviados por el usuario que van a ser utilizados para generar una consulta LDAP. En un entorno vulnerable el programador no realiza el filtrado de los parámetros y el atacante aprovecha este fallo de seguridad para poder inyectar código y cambiar el resultado que se obtiene con el filtro.

El ejemplo de vulnerabilidad explicada por Sacha Faust en su documento muestra un entorno en el que se extrae más información mediante la unión de un filtro. Para ello supone un entorno en el que el programador va a generar un filtro simple del tipo (atributo=valor). Entendemos filtro simple como aquel que no lleva un operador. Para ello construye una consulta mediante la concatenación del valor recibido convertido a cadena de caracteres que después ejecuta.

string: filter = "(uid=" + CStr(userName) + ")"

En este entorno, el atacante podría realizar una inyección de código LDAP para acceder a más objetos saltándose las restricciones del programa original. Siguiendo con el ejemplo de Sacha Faust, éste propone que se podría realizar una inyección de la siguiente forma: (some attribute=user input)(|(cn=*)). Para construir esta inyección, utilizando el código vulnerable habría que introducir como parámetro de entrada la siguiente cadena: sfaust)(|(cn=*)

“sfaust” es la entrada de datos esperada por el programa para construir el filtro. Posteriormente, el atacante cierra el paréntesis que introduce el programador y abre un nuevo filtro con el operador lógico OR en el que se pide la devolución de todos los objetos sea cual sea su valor en cn.

Esta inyección, que Sacha Faust prueba sobre un árbol LDAP SunOne Directory Server 5.0 devuelve la suma de los resultados de los dos filtros: (uid=sfaust) y (|(cn=*)). Sin embargo, si nos ceñimos a la definición del lenguaje de creación de filtros marcada por la RFC vemos que esta consulta no es correcta pues los filtros no están siguiendo las normas de anidamiento y notación prefija. Sin embargo, sí podemos tomar la consulta como dos filtros independientes bien formados, aunque en segundo caso no sería necesario añadir el operador lógico OR. Probadas estas consultas sobre árboles ADAM y OpenLDAP vemos que NO devuelven más datos y por lo tanto este sistema de inyecciones NO puede ser utilizado con ellos.

Primeras conclusiones

Tras realizar estas pruebas podemos extraer las siguientes conclusiones:

1.- Para realizar una inyección de código LDAP en una aplicación que trabaje contra ADAM u OpenLDAP es necesario que el filtro original, es decir, el del programador tenga un operador OR o AND. A partir de este punto se pueden realizar inyecciones de código que permitan extraer información o realizar ataques Blind, es decir, a ciegas.

2.- En ese mismo entorno es necesario que la consulta generada tras la inyección esté correctamente anidada en un único par de paréntesis general o bien que el componente permita la ejecución con información que no se va a utilizar a la derecha del filtro.

“AND” LDAP Injection

En este entorno nos encontraríamos con que el programador ha creado una consulta LDAP con un operador AND y uno o los dos parámetros son solicitados al usuario y no está filtrado correctamente en servidor. En el caso de inyecciones en consultas LDAP que lleven el operador AND estamos obligados a utilizar el primer atributo algo válido, pero se pueden utilizar las inyecciones para mediatizar los resultados y por ejemplo, realizar escaladas de privilegios o acceso a otros objetos del árbol LDAP.

En este caso nos encontraríamos con una consulta del siguiente tipo:

(&(atributo1=valor1)(atributo2=valor2))
Ejemplos: Supongamos un entorno en el que se muestra la lista de todos los documentos a los que un usuario del nivel poco privilegiado tiene acceso mediante una consulta que incluye el directorio de documentos en un parámetro inyectable. Es decir, la consulta original es:

(&(directorio=nombre_directorio)(nivel_seguridad=bajo))
Un atacante podría construir una inyección del siguiente modo para poder acceder a los documentos de nivel de seguridad alto.

(&(directorio=almacen)(nivel_seguridad=alto))(|(directorio=almacen)(nivel_seguridad=bajo))
Para conseguir este resultado se habrá inyectado en el nombre del directorio la siguiente cadena: almacen)(nivel_seguridad=alto))(|(directorio=almacen

Como se puede ver, con esa inyección se han formado dos filtros correctamente formados pero los árboles ADAM y OpenLDAP devolverán sólo los resultados del primer filtro con lo que conseguiremos acceder a documentos, en este ejemplo, fuera de nuestra visibilidad incial.

“OR” LDAP Injection

En este entorno nos encontraríamos con que el programador ha creado una consulta LDAP con un operador OR y uno o los dos parámetros son solicitados al usuario:

(|(atributo1=valor1)(atributo2=valor2))
Supongamos en el ejemplo del árbol LDAP que tenemos una consulta inyectable del siguiente tipo: (|(cn=D*)(ou=Groups)) Es decir que devuelve todos los objetos cuyo valor en “cn” comience por “D” o cuyo valor en “ou” sea “Groups”. Al ejecutarla obtenemos:

Imagen: Consulta OR sin inyección
Si esta consulta sufriera una inyección de código en el primer parámetro, podríamos realizar una consulta que nos devolviera la lista de usuarios almacenados. Para ello realizamos la inyección en el primer valor de la siguiente cadena: void)(uid=*))(|(uid=*

Imagen: Lista de usuarios obtenida tras la inyección
Al formarse la consulta LDAP esta quedará construida de la siguiente forma: (|(cn=void)(uid=*))(|(uid=*)(ou=Groups)), permitiendo obtener, como se puede ver en la captura anterior la lista de todos los usuarios del árbol LDAP.

********************************************************
Índice:
LDAP Injection & Blind LDAP Injection (Parte I de III)
LDAP Injection & Blind LDAP Injection (Parte II de III)
LDAP Injection & Blind LDAP Injection (Parte III de III)
********************************************************

Los valores incontables

Aunque sepamos que la seguridad depende de personas, procesos y tecnología, es chulo de vez en cuando poder hacer alguna comparación de seguridad entre distintos sistemas operativos.

Parece evidente, o al menos de uso común, que la unidad que debe ser manejada ha de ser el bug, el fallo de seguridad, el expediente. Y sobre él hacer rondar el resto de medidas, teniendo en cuenta el nivel de criticidad, la facilidad de explotación, el tiempo de exposición al riesgo, el tiempo necesario de abolición del bug, etc…

Para catalogar las vulnerabilidades, bug o fallos de seguridad se utilizan sistemas como el CVSS (Common Vulnerability Scoring System) que determinan un valor de criticidad de los mismos teniendo en cuenta todos los factores citados en el párrafo anterior. Dicho sistema, del cual es posible utilizar una calculadora en la siguiente URL [http://nvd.nist.gov], evalúa cosas como la existencia o no de un exploit público, la necesidad de estar autenticado en el sistema para explotar la vulnerabilidad o el nivel de acceso a datos que se obtiene para así sacar una nota final a cada bug.

Una vez definida la unidad “botella de vino” para las vulnerabilidades parece que ya estamos en camino para poder contar… pues no. La cosa se sigue torciendo, el siguiente escollo es ¿qué base de datos utilizamos para evaluar las vulnerabilidades?. Las bases de datos de vulnerabilidades tienen más o menos un conjunto igual de expedientes, es decir, los expedientes más famosos, probados o de más impacto tienen su representación en todas las bases de datos. Es decir, el fallo en el RPC de Windows que dio origen a Blaster está en todas las bases de datos. Por otra parte existe un porcentaje de “votantes indecisos” que tienen su representación en bases de datos como Secunia, Security Focus o Milw0rn y dichos expedientes no aparecen en todas. Podemos encontrarnos con un bug documentado en Secunia, que no aparece en Security Focus y del cual el fabricante no ha dicho nada o viceversa. ¿Qué política de validación de expedientes utilizar?

Una vez definida ya la política de expedientes y la métrica de las vulnerabilidades ya lo tenemos todo hecho, ¿o no? Pues no. Hay que definir exactamente qué es lo que vamos a comparar. Podemos aplicar una comparación como la de la campaña que ha hecho Apple en su publicidad: “Hola soy un PC. Hola soy un MAC”. En ella se comparan 300.000 virus en PC contra 0 en MAC. Se olvidan de decir que comparan los virus de toda la historia del IBM PC (incluido el de Ping Pong) contra la última versión de MacOS (para la que ya hay virus pero como son menos de 10 deben redondear a 0). Sí, es cierto que los datos no son comparables y que en Windows ha habido tradicionalmente muchos más virus, pero seguro que una comparación Windows Vista vs MacOS daría unos resultados menos dispares que 300.000 a 0.

Al hacer esto, en una comparación sobre la seguridad en los sistemas operativos, tenemos el problema con Linux. ¿Qué paquetes deben incluirse a la hora de hacer las comparaciones? Se han intentado realizar configuraciones similares a una distribución de Windows XP o de Windows Vista en lo que se denominan las “Apple to Apple Comparisons”, pero siempre es el caballo de batalla en la disputa.

Jeff Jones hizo un estudio cuidadoso en el que evalúa la seguridad de los sistemas operativos Linux, Windows XP, Red Hat Work Station 4 (aún no había llegado a 6 meses de vida la versión 5), Ubuntu 6.06, Novel Suse Linux Enterprise Desktop 10 y MacOs X 10. Para ello ha comparado las vulnerabilidades con las métricas establecidas para todas las vulnerabilidades y sólo para las de nivel High Severity, también ha intentando hacer un Apple-to-Apple reduciendo todo los sistemas operativos a algo equivalente y lo ha cruzado. Es decir, ha mirado todas las vulnerabilidades para todos los sistemas operativos, todas las vulnerabilidades para todos los sistemas operativos reducidos, vulnerabilidades high severity para todos los sistemas operativos y vulnerabilidades high severtiy para sistemas operativos reducidos.

Al final tras haber realizado todas las mediciones, resulta que el informe no vale. Por dos cosas principalmente: La primera es que gana Windows Vista en todas las gráficas y la segunda es que Jeff Jones trabaja en Micro... Spectra y, por tanto, todo lo que dice debe estar manipulado. Da igual que dé todas las formas de medida, los resultados no valen. Así pues, el último problema en la contabilidad de la seguridad es: ¿Quién lo va a contar?

Conclusión: La seguridad de los sistemas operativos sigue siendo INCONTABLE… “para aquellos a los que no les interese”. Si a ti te interesa puedes acceder al informe completo en la siguiente URL: [http://blogs.csoonline.com/node/371].

Artículo Publicado en Windows TI Magazine Septiembre 2007: Los Valores Incontables.

Se acabó la Liga

***************************************************************Artículo Publicado en Windows TI Magazine nº 122 Julio/Agosto 2007.
***************************************************************

La liga se ha acabado. Pero el mundo del fútbol no se detiene y los despachos seguirán funcionando persiguiendo los tan deseados fichajes de verano. En el mundo Microsoft esta selección de fichajes la hemos podido ver en la construcción de la plantilla de seguridad de la compañía.

El objetivo, tener un plantilla competitiva. En el verano del año 2003, con polémica por medio, Microsoft adquirió GeCad, una compañía rumana que desarrollaba un motor de antivirus. La polémica que se generó fue enorme, pero a día de hoy, a ritmo de una polémica por día en el mundo de la tecnología ya casi ni nos acordamos de ella. La tecnología, la plantilla y los conocimientos se emplearían en construir el Microsoft Anitmalware que viene incluido en Microsoft Forefront Server Security y Microsoft Forefront Client Security, pero también se extendería a otros productos y herramientas como la MSRT (Malicious Software Removal Tool), Windows Live Safety Center o Windows Live OneCare.

En las frías navidades del año 2004, se ficha la compañía Giant, con origen neoyorquino, que tenía tecnología antispyware y que daría lugar a Microsoft Antispyware, aquel producto que duró en fase beta más de un año y que al final recibiría la marca de Windows Defender. Hoy en día es un producto gratutito que viene integrado con Windows Vista.

En el año 2005, después de haber obtenido la tecnología más necesaria para proteger a los clientes, la compañía se centra en los servidores. Sin más retraso, el objetivo es hacerse con los servicios de Sybari, que tiene en sus manos Antigen, un producto capaz de escanear el correo electrónico con hasta 9 motores Antivirus, escanearlos en memoria y pasarelas y hacerlo utilizando un framework común, con lo que no son 9 formas distintas de acceder a los datos para realizar 9 chequeos de antivirus, sino un único acceso a los datos para que sea chequeado por 9 motores. A Microsoft le encaja perfectamente en su política. Eso ayuda a subir la estabilidad de los servidores pues reduce en 9 el número de incidencias posibles. ¡Listo pues! El 8 de Febrero de 2005 se anuncia su adquisición para que aparezca el Microsoft Forefront Server Security para Exchange Server, para SharePoint y para Comunications Server. El 31 de Agosto de 2005 se anuncia la compra de FrontBridge, una compañía especializada en la securización del correo electrónico que aportará tecnología antispam, es decir conocimiento y herramientas para Intelligent Message Filter en Exchange Server 2007 y para Spam Cure en Forefront Security Server.

El 19 de Septiembre se incorpora Alacris, una compañía centrada en la gestión de identidad y en el ciclo de vida de los certificados digitales y smartcards.

En el año 2006 se ha buscado fortificar la gestión de sistemas, para tener una mayor seguridad de la plataforma. El 9 de Febrero se anuncia el fichaje de FutureSoft’s DynaComm i:Filter, tecnología de Filtrado Web que se utilizará en Microsoft Forefront Security Server. El 26 de Abril se anuncia la compra de Assetmetrix, para incluir la tecnología de inventariado y gestión de activos y licencias para incluirla en System Center.

El 18 de Mayo de 2006 se confirma la adquisición de Whale Comunications, una compañía que había desarrollado tecnología de acceso VPN-SSL utilizando Microsoft ISA Server y que sería rebautizada como Microsoft Forefront Intelligent Application Gateway, quizás uno de los productos más llamativos de la gama de seguridad.
Softgrid se presenta el día 17 de Julio con la tecnología de virtualización de aplicaciones gestionada y a la carta, una tecnología necesaria en las grandes compañías y de la que Microsoft carecía. Al día siguiente, el día 18, se hace pública la compra de Wininternals, la compañía de Mark Russinovich, el eterno técnico de Sysinternals, MVP de seguridad durante varios años y famoso por sus trabajos con el kernel de los sistemas Windows y las herramientas Process Monitor, File Monitor... de Sysinternals.

La última incorporación de 2006 fue el 2 de Octubre, la empresa Desktop Standard, con tecnología de optimización en la gestión del puesto de trabajo y que, junto a herramientas de Softgrid, daría lugar al Microsoft Desktop Optimization Pack.

Este año se ha incorporado un último fichaje: la empresa Engyro, que con su tecnología de integración de sistemas de terceros con SMS y MOM han aumentado la potencia de interoperatibilidad de System Center, anunciándose System Center Engyro en el último TechEd en USA.

Con todas estas incorporaciones, Microsoft ha puesto sobre el terreno de juego al equipo Forefront (Server Security, Client Security, ISA Server e IAG) y al equipo System Center (MoM, SMS, Essentials, Engyro) para competir en la complicada liga de los productos de seguridad.

Bies malignos!

PD: Una recopilación más amplia de empresas compradas por Spectra en: Spectra I+D+I