La pulseada por dinero fresco para la Defensa de Gran Bretaña todavía no tiene ningún ganador pero los fondos adicionales para sostener los megaproyectos y las grandes compras en el extranjero no aparecen ni hay señales positivas en tal sentido.

 

Quienes presionan para obtener más dinero sacan a la luz acontecimientos pasados desconocidos con la esperanza de poner de su lado al contribuyente británico. Así trascendió que en agosto del 2017  el barreminas Clase Hunt HMS Cattistock fue desplegado para escoltar a dos submarinos rusos de la clase Kilo y un remolcador de apoyo a través del Canal de la Mancha. Pasaron cinco meses de ese hecho que repentinamente se filtró con afirmaciones tales como que un "barco de plástico reforzado con vidrio" fue el encargado de la escolta. Al parecer los dos submarinos y el barco de apoyo no estaban operativos en ese momento y eso es algo que probablemente la Inteligencia británica no ignoraba. El barreminas podía cumplir bien la misión encomendada y de hecho lo hizo.

 

De todos modos el panorama de las finanzas de la Defensa británica está pasando de rojo a rojo oscuro. La National Audit Office (Oficina Nacional de Auditoría o NAO por sus siglas en inglés) británica puso cifras a lo que en nuestros portal venimos diciendo hace tiempo: que Gran Bretaña intenta abarcar mucho más de lo que puede. El titular de la NAO, Amyas Morse, afirmo que "en la actualidad, la brecha de asequibilidad oscila entre un mínimo de £ 4,9 mil millones a £ 20,8 mil millones si se materializan los riesgos financieros y no se logran ahorros ambiciosos". La última cifra representa aproximadamente 30 mil millones de dólares. Remarcamos que ese es el máximo déficit potencial estimado, no el gasto.

 

En esas circunstancias el temor de que se recorte drásticamente el número de Royal Marines y de que se decida prescindir de los restantes buques de asalto anfibio de la Royal Navy crece entre los mandos británicos. Los Royal Marines no sólo son la punta de lanza de cualquier operación anfibia británica, también son el semillero para fuerzas de élite como el SAS. Como vemos empiezan a entenderse las presiones para salvarlos. El tema es que el Ministro de Finanzas británico es Philip Hammond. A él le dedicamos un artículo completo hace ya cinco años y medio:

 

geoestrategia.webnode.es/news/el-maravilloso-mundo-de-philip-hammond/

 

Que el lector juzgue por sí mismo.  

 

 

En inglés esta vulnerabilidad suele recibir el nombre de "Privilege chaining" (Encadenamiento de privilegios) aunque sería más correcto llamarla "Combinación descuidada de privilegios". El problema se presenta cuando los roles y/o privilegios se combinan de modo que permitan a alguien realizar acciones inseguras.

 

Clarificamos con un ejemplo. El archivo "frente.html" es como sigue:

 

<html>

<h1>Combinación descuidada de privilegios</h1>

<form action="atras.php" method="post">

    Usuario: <input type="text" name="usuario" value="">

    Contrasena: <input type="password" name="clave" value="">

    <input type="submit">

</form>

</html> 

 

siendo "atras.php":

 

<?php

$usuario = $_POST['usuario'];

$clave = $_POST['clave'];

if (($username == 'Guillermo') && ($clave == '%#compu1234HT')){

$rol = "administrador";

}elseif (($usuario == 'Catalina') && ($clave == 'trabajoZxcY$8')){

$rol = "colaborador";

}elseif (($usuario == 'Javier') && ($clave == 'carroViejo44&&')){

$rol = "usuario";

}else{

$rol = "invitado";

}

 

if (($rol =="usuario") || ($rol =="invitado")){

header('Location: frente.php');

exit;

}

?>

 

<html>

<h1>Cambio de contraseñas</h1>

<form action="cambio.php" method="post">

    Usuario: <input type="text" name="nombre" value="">

    Contrasena: <input type="password" name="acceso" value="">

    Confirmar ctsna.: <input type="password" name="verificar" value=""> 

<input type="submit">

</form>

</html>

 

y finalmente cambio.php es:

 

<?php

$nombre = $_POST['nombre'];

$acceso = $_POST['acceso'];

$verificar = $_POST['verificar'];

if ($acceso == $verificar) {

echo "La contraseña de $nombre ha sido cambiada a $acceso exitosamente";

}

?>

 

Como vemos, Catalina, que es colaboradora del sitio, de ser necesario puede cambiar contraseñas y eso está bien. El problema es que como no se verifica su rol al momento de cambiarlas hay un "encadenamiento de privilegios" y si Catalina conociera la vulnerabilidad, de querer hacerlo podría cambiar la clave de acceso del administrador. Sólo debería conocer el nombre de usuario del mismo que demasiado a menudo es Admin, admin, Administrador, administrador...  

 

¡Cuidado, el código fue simplificado para facilitar su comprensión. No use combinaciones usuario/contraseña incrustadas en el programa, mucho menos en texto plano!

 

 

Las vacaciones son necesarias e imprescindibles para mejorar el rendimiento laboral, después de unos días de descanso podemos retomar el trabajo con una mejor actitud y dispuestos a retomar las responsabilidades del día a día.

 

Que el personal esté de acuerdo para que goce de sus vacaciones en determinados meses suele ser difícil. Muchos quieren salir en verano y prácticamente son sólo dos meses y si logran ponerse de acuerdo, muchas veces suceden cambios e imprevistos de fechas. 

 

¿Y ahora qué debe hacer Recursos Humanos para complacer a todo el personal sin perjudicar el desarrollo de la empresa ni a ningún trabajador? 

 

En el mejor de los casos, es necesario  planificar el programa de vacaciones siquiera con seis meses de antelación, de acuerdo a la normativa legal vigente, a la solicitud de los trabajadores y a las normas y necesidades de la empresa. 

 

Veo que es una gestión compleja que está causando malestar dentro de la organización en la que trabajo ya que no se tomaron en cuenta disposiciones de Gerencia y se otorgaron vacaciones a ciertas personas, finalmente algunos se vieron perjudicados porque sus vacaciones fueron suspendidas. Tampoco se tomó en cuenta que quizá este personal ya había planificado sus días de vacaciones. 

 

Si las normas de la organización fueran claras se evitarían estos malos entendidos y Recursos Humanos podría organizar un programa de vacaciones sin mayores complicaciones, también mejoraría el clima laboral si se considera en la medida de lo posible las solicitudes del personal.

 

El ejemplo que daremos no necesarimente se ajustará totalmente al concepto de "archivos altamente comprimidos", pero servirá para ilustrar el riesgo que se corre cuando se da la opción de que el usuario pueda descomprimir archivos ya sea de forma directa o, más probablemente, de manera indirecta. 

 

Para facilitar la comprensión de la vulnerabilidad la ejemplificaremos toscamente con un comando de Windows, el lector podrá idear ejemplos para otros sistemas operativos o desarrollarlos en el lenguaje de programación de la aplicación. Ya dijimos que debería evitarse incluir comandos del sistema operativo (cualquiera que éste sea) en scripts de la aplicación. Además el comando "COMPACT" no ofrece la posibilidad de proteger los archivos comprimidos con contraseña.

 

El archivo "descomprimir.php"  es como sigue:

 

<!DOCTYPE html>

<html>

<head>

  <title>MANEJO INCORRECTO DE ARCHIVOS ALTAMENTE COMPRIMIDOS</title>

</head>

 

<body>

    <form action="descomprimir.php" method="get">

    Ruta y nombre del archivo cuyo contenido desea descomprimir:

    <input type="text" name="archivo" value="">

    <input type="submit">

    </form>

        

<?php

echo shell_exec('COMPACT /U '.$_GET['archivo']);

?>

 

</body>

</html>

 

Como vemos, el comando descomprimirá el archivo especificado. Si el mismo fuera muy grande y estuviera altamente comprimido terminaría ocupando mucho lugar en el disco, dando lugar a un consumo desmedido de recursos. Se puede ver que en "descomprimir.php" no hay restricciones respecto a qué archivos pueden ser descomprimidos, con lo que el riesgo se acrecienta y en algunos casos se podría llegar a una denegación de servicio.

 

En el caso particular que nos ocupa hasta se puede escalar el ataque, pero como enseñamos a defender, no a atacar, sólo lo mencionamos para que el programador o el administrador sean cautelosos, sin dar detalles al respecto.

 

En el ejemplo que dimos dejamos adrede al menos una vulnerabilidad más para que el lector pueda descubrirla por sí mismo.  

 

 

El portaaviones HMS Queen Elizabeth fue aceptado y formalmente puesto en servicio en la Marina Real británica hace menos de dos meses. A mediados del pasado mes de diciembre presentó su primer problema técnico desde que fue aceptado por la RN, una filtración a través de los sellos de los ejes de sus hélices, un problema que bien puede considerarse menor. 

 

Durante el fin de semana pasado la nave sufrió un nuevo percance menor cuando se dispararon los rociadores de incendios en una sección del hangar del buque. El disparo de los rociadores habría sido accidental, posiblemente causado por algún pequeño fallo en el programa de computadora que los controla, de los que habitualmente conocemos por la denominación inglesa de "glitch". Nuevamente estamos frente a un incidente menor pero el agua rociada fue copiosa y habría provocado algunos daños leves en sectores no vitales de la nave.  

 

De todos modos la Marina Real británica se mostró muy reservada y sólo informó que la nave no zarparía hoy como estaba previsto originalmente. El comunicado se emitió mediante la cuenta de Twitter de la Base Naval Portsmouth.

 

El portaaviones HMS Queen Elizabeth inició una serie de pruebas de mar el 26 de junio del 2017. El buque de 70.000 toneladas inició las mismas con unos meses de demora por inconvenientes técnicos. Son las pruebas que debieron seguir realizándose a partir de hoy aunque se presume que esta vez la demora no será larga. La nave fue construida por BAE Systems Surface Ships; el Thales Group y Babcock Marine.

 

Artículo relacionado:

geoestrategia.webnode.es/news/el-portaaviones-hms-queen-elizabeth-presenta-su-primer-problema-tecnico/

 

 

Una vez más el ambiente de trabajo en mi oficina no es el óptimo y algunas veces se torna tenso; es que trabajar entre mujeres es complicado. A veces hay situaciones que podríamos resolver de manera rápida pero por algún motivo terminamos alargándolas.

   

Esta vez sacaron conclusiones sin fundamentos, quizá por algún comentario, generando malestar y hasta consideran presentar cartas de renuncia.

 

Sabemos que la convivencia laboral no es fácil y si a esto suma que la mayor parte del personal sea femenino entonces el ambiente nunca estará tranquilo. Es inevitable que las mujeres demostremos un mal genio y que nos desagrade el look, perfume o gustos de otras y esto muchas veces esto genera comentarios que terminan perjudicando el ambiente laboral. La envidia también juega su papel y las mujeres muchas veces nos dejamos llevar porque queremos el puesto de ella, su sueldo, la simpatía que genera en su entorno. Esto también se hace notorio con el resto del personal femenino que terminan por comentarlo.

 

Creo que no siempre es fácil llevarnos bien con todos, ni tampoco seremos amigas de todos, pero si tratamos con respeto a nuestras compañeras de trabajo y si somos sinceras podremos sobrellevar cualquier situación y trabajar en un ambiente agradable. Una sonrisa gentil y una palabra amable pueden limar muchas asperezas, no cuestan mucho, sólo una pizca de buena voluntad.

 

Por el contrario, usualmente los hombres resultan ser más simples y no se detienen ni se complican como nosotras en determinados temas.

 

 

 

La exageración de la amenaza rusa con el fin de forzar el desembolso de nuevos fondos para la Defensa y asustar a los contibuyentes lo suficiente como para que estén dispuestos a solventarlos acaba de alcanzar proporciones grotescas. Gavin Williamson, quien encabeza el Ministerio de Defensa británico, acaba de acusar a Rusia de espiar en la infraestructura del Reino Unido como parte de los posibles planes para crear un "caos total" en el país que podría "causar miles y miles y miles de muertes". Agregó que Moscú parecía tener la intención de sembrar pánico y lastimar a Gran Bretaña.

 

Es posible y aun probable que Rusia realmente esté espiando a Gran Bretaña. Un riesgo específico son cuatro conexiones eléctricas submarinas con el continente, y otras cuatro conexiones submarinas para las importaciones de gas que, según Williamson, los rusos han estado investigando. El año pasado 17 aviones de patrulla marítima pertenecientes a aliados de la OTAN se desplegaron en Escocia fuera de las fechas habituales de ejercicios de la organización multinacional. Desde que el Reino Unido - incomprensiblemente - dio de baja las aeronaves Nimrod de la RAF, se quedó sin aviones de vigilancia marítima propios. Los submarinos rusos se encuentran a sus anchas en el Mar del Norte y en otras aguas próximas a las islas británicas.

 

De espiar a planear crear el caos total y causar "miles y miles y miles de muertes" hay una gran diferencia. Los rusos no ignoran la existencia de la OTAN y de la cantidad de países miembros de la misma dispuestos a defender la integridad de cada estado de Europa Occidental. Sin ir más lejos Francia es un país militarmente poderoso y un claro aliado militar de los ingleses. Es una verdad de Perogrullo pero repentinamente parece necesario aclararlo.

 

Los funcionarios rusos no desaprovecharon la oportunidad de ridiculizar a Williamson a quien acusaron de querer llamar la atención sobre su propia personalidad. Efectivamente Williamson aspira asumir el liderazgo de los Tories y eso podría haber motivado sus dichos. Los líderes moscovitas continuaron contragolpeando con dureza diciendo que si es el Estado Mayor de Gran Bretaña el que le informa (a Williamson) esas tonterías, entonces debería comenzar a pensar no en formas de aumentar el presupuesto de defensa, sino en buscar la aptitud profesional de los planificadores militares británicos, con un énfasis especial en los exámenes médicos. Los términos de la respuesta rusa fueron extremadamente duros pero también el jefe de la Defensa británica fue demasiado lejos. 

 

 

En estos meses de ventas de temporada alta por vacaciones y verano, nuestra área comercial se ve perjudicada porque Almacén no cuenta con ciertos productos que son indispensables para incrementar las ventas.

 

En este sentido, es importante que Logística y Almacenes trabajen de una manera más ordenada y puedan planificar mejor sus compras. Analizando la situación se puede ver que no cuentan con un Plan de compras, el mismo que debe ser desarrollado por las áreas involucradas y aprobado por Gerencias.

 

¿Cómo ayudaría un plan de compras a la organización? Se podría definir qué se necesita, cuándo se necesita y cuanto, además del importe que se tiene para el desembolso inmediato o en partes.

 

Puedo comentar los inconvenientes que tenemos por la falta de una adecuada programación de compras:

 

 

 

Nuestro artículo LLUEVEN ALERTAS SOBRE EL ESTADO DE LA DEFENSA BRITÁNICA (geoestrategia.webnode.es/news/llueven-alertas-sobre-el-estado-de-la-defensa-britanica/) tuvo una aceptación interesante entre nuestros lectores, varios de los cuales nos hicieron llegar sus comentarios al respecto. Nos gustaría responder a algunos de ellos. Alguien sugirió, no sin fundamento, que para los británicos sus Fuerzas Armnadas son a la vez parte de su representación internacional, razón por la cual no van a dejar descuidado ese emblema de poder al que consideran primordial.

 

Ante esa afirmación nos volvimos a plantear la viabilidad de los programas de equipamiento para la defensa del Reino Unido. Volvamos a hacer el raconto de lo que hay en curso: se está terminando el segundo y último de los portaaviones de la Clase Queen Elizabeth; se están construyendo los submarinos de ataque de la Clase Astute; se están construyendo las fragatas Type 26; está programado construir fragatas Type 31; está programado adquirir aviones de vigilancia marítima P-8 Poseidon; se están adquiriendo cuatro buques tanques MARS, que se construyen en Corea del Sur; está programada la fabricación de blindados Ajax; está programado adquirir más aviones F-35; se debe solucionar los muy serios problemas de propulsión de los destructores Type 45; se están construyendo los SSBN Dreadnouht (el costo total de diseñar, construir y operar estas naves a lo largo de toda su vida útil ascendería a 100 mil millones de libras); etc.

 

La mayoría de estos programas tiene retrasos y - sobre todo - excedieron el presupuesto original. En algunos casos la calidad de los productos es más que cuestionable, tal como es el caso de los ya mencionados destructores antiaéreos Type 45. Algunos de los programas no están en poder de la industria bélica británica, tal es el caso de los F-35. En ese caso la caída de la libra frente al dolar complicará aún más el presupuesto de Defensa británico.

 

Se está estudiando un programa de recortes que en la práctica ya comenzó como lo demuestra la venta del portahelicópteros y buque de asalto anfibio HMS Ocean a Brasil. La oposición interna a esos recorte es grande y el discurso del jefe del Estado Mayor General del Ejército Británico, el General Nick Carter, al que aludimos en el artículo arriba mencionado así lo demuestra. El General Carter puso énfasis en la amenaza rusa y tal como nos lo hicieron notar nuestros lectores, esa amenaza es real. Sin embargo otro lector nos hizo notar que el imperialismo ruso siempre tuvo una esfera geográfica bastante circunscripta. Estamos de acuerdo con eso, como mínimo hay que admitir que Gran Bretaña nunca estuvo entre los territorios en peligro, al menos no por ahora.

 

Sea como fuere el Ejército Británico no está dispuesto a otro recorte de personal que lo pondría prácticamente en su piso histórico de cantidad de efectivos, aunque hoy por hoy el número de efectivos es un parámetro menos significativo que en otras épocas. Por otra parte la Marina Real no puede sufrir otro recorte de personal, ya le faltan tripulantes para cubrir las dotaciones de todos sus buques. Tal vez se resigne a perder el resto de sus buques de asalto anfibio y algunas fragatas Type 23 pero ya se alzan voces que confirman lo que afirmamos desde hace tiempo: no hay escoltas suficientes para el portaaviones Queen Elizabeth. De hecho los portaaviones Clase Queen Elizabeth no tienen otra capacidad anfibia que la que pueden proporcionar sus helicópteros, algunos de los cuales también están en la lista de posibles recortes.

 

La mancha roja en el presupuesto de defensa del Reino Unido debe ser reducida a menos que se quiera llevar a Gran Bretaña a la bancarrota. No alcanzará con vender algunos buques usados, dar de baja algunos helicópteros y fusiona tropas de élite. La prueba está en que hoy el parlamentario británico John Woodcock usó su cuenta de Twitter para expresar la duda de que se pueda construir el séptimo submarino de ataque de la Clase Astute. La razón aducida fue la falta de fondos. A la octava nave de la clase ni la mencionó.

 

 

Otra vulnerabilidad relacionada con la Inclusión Local de Archivos (y no necesariamente sólo con la misma) es la de los Permisos Inseguros.

 

Supongamos que tenemos un directorio denominado "administrador" con un subdirectorio denominado "protegido". Dentro de "administrador" tenemos "ver_datos.php" y dentro de "protegido" tenemos un archivo .htaccess y el archivo "datos.txt":

 

/administrador/

/administrador/ver_datos.php

/administrador/protegido/

/administrador/protegido/.htaccess

/administrador/protegido/datos.txt

 

El archivo .htaccess es el siguiente:

 

AuthType Basic

AuthName "área restringida"

AuthUserFile /xampp/.htpasswd

require valid-user

 

Por su parte "ver_datos.php" es como sigue:

 

<?php

readfile('protegido/datos.txt');

?>

 

Si un usuario quiere ver "datos.txt" tipeando los siguiente el la barra de direcciones del navegador no podrá acceder al archivo sin una combinación de usuario/contraseña:

 

https://127.0.0.1/administrador/protegido/datos.txt

 

Sin embargo si tipea lo siguiente:

 

https://127.0.0.1/administrador/ver_datos.php

 

el contenido de "datos.txt" quedará expuesto. Las restricciones de .htaccess no se imponen a "ver_datos.php". Es muy importante tener claro este concepto, en caso contrario se podría estar exponiendo información sensible lo cual en algunos países es ilegal en sí mismo, además de constituir una vulnerabilidad. Hay muchos programadores que desconocen esta particularidad y sin embargo a los piratas informáticos no se les pasa por alto tan fácilmente.

 

El archivo "ver_datos.php" debería ser algo así:

 

<?php

$usuario = $_POST['usuario'];

$clave = $_POST['clave'];

if (($usuario == 'Juan') && ($clave == '12345')){

header('Location: ver_datos.php');

} else {

die;

}

?>

 

Hemos simplificado el archivo para facilitar su comprensión, obviamente el nombre de usuario y la clave deberían proceder de una base de datos y no estar incrustadas en "ver_datos.php", porque en caso contrario nuevamente estaríamos exponiendo información sensible, lo cual - insistimos - no sólo podría ser ilegal, sino que es una vulnerabilidad de proporciones.