La exageración de la amenaza rusa con el fin de forzar el desembolso de nuevos fondos para la Defensa y asustar a los contibuyentes lo suficiente como para que estén dispuestos a solventarlos acaba de alcanzar proporciones grotescas. Gavin Williamson, quien encabeza el Ministerio de Defensa británico, acaba de acusar a Rusia de espiar en la infraestructura del Reino Unido como parte de los posibles planes para crear un "caos total" en el país que podría "causar miles y miles y miles de muertes". Agregó que Moscú parecía tener la intención de sembrar pánico y lastimar a Gran Bretaña.

 

Es posible y aun probable que Rusia realmente esté espiando a Gran Bretaña. Un riesgo específico son cuatro conexiones eléctricas submarinas con el continente, y otras cuatro conexiones submarinas para las importaciones de gas que, según Williamson, los rusos han estado investigando. El año pasado 17 aviones de patrulla marítima pertenecientes a aliados de la OTAN se desplegaron en Escocia fuera de las fechas habituales de ejercicios de la organización multinacional. Desde que el Reino Unido - incomprensiblemente - dio de baja las aeronaves Nimrod de la RAF, se quedó sin aviones de vigilancia marítima propios. Los submarinos rusos se encuentran a sus anchas en el Mar del Norte y en otras aguas próximas a las islas británicas.

 

De espiar a planear crear el caos total y causar "miles y miles y miles de muertes" hay una gran diferencia. Los rusos no ignoran la existencia de la OTAN y de la cantidad de países miembros de la misma dispuestos a defender la integridad de cada estado de Europa Occidental. Sin ir más lejos Francia es un país militarmente poderoso y un claro aliado militar de los ingleses. Es una verdad de Perogrullo pero repentinamente parece necesario aclararlo.

 

Los funcionarios rusos no desaprovecharon la oportunidad de ridiculizar a Williamson a quien acusaron de querer llamar la atención sobre su propia personalidad. Efectivamente Williamson aspira asumir el liderazgo de los Tories y eso podría haber motivado sus dichos. Los líderes moscovitas continuaron contragolpeando con dureza diciendo que si es el Estado Mayor de Gran Bretaña el que le informa (a Williamson) esas tonterías, entonces debería comenzar a pensar no en formas de aumentar el presupuesto de defensa, sino en buscar la aptitud profesional de los planificadores militares británicos, con un énfasis especial en los exámenes médicos. Los términos de la respuesta rusa fueron extremadamente duros pero también el jefe de la Defensa británica fue demasiado lejos. 

 

 

En estos meses de ventas de temporada alta por vacaciones y verano, nuestra área comercial se ve perjudicada porque Almacén no cuenta con ciertos productos que son indispensables para incrementar las ventas.

 

En este sentido, es importante que Logística y Almacenes trabajen de una manera más ordenada y puedan planificar mejor sus compras. Analizando la situación se puede ver que no cuentan con un Plan de compras, el mismo que debe ser desarrollado por las áreas involucradas y aprobado por Gerencias.

 

¿Cómo ayudaría un plan de compras a la organización? Se podría definir qué se necesita, cuándo se necesita y cuanto, además del importe que se tiene para el desembolso inmediato o en partes.

 

Puedo comentar los inconvenientes que tenemos por la falta de una adecuada programación de compras:

 

 

 

Nuestro artículo LLUEVEN ALERTAS SOBRE EL ESTADO DE LA DEFENSA BRITÁNICA (geoestrategia.webnode.es/news/llueven-alertas-sobre-el-estado-de-la-defensa-britanica/) tuvo una aceptación interesante entre nuestros lectores, varios de los cuales nos hicieron llegar sus comentarios al respecto. Nos gustaría responder a algunos de ellos. Alguien sugirió, no sin fundamento, que para los británicos sus Fuerzas Armnadas son a la vez parte de su representación internacional, razón por la cual no van a dejar descuidado ese emblema de poder al que consideran primordial.

 

Ante esa afirmación nos volvimos a plantear la viabilidad de los programas de equipamiento para la defensa del Reino Unido. Volvamos a hacer el raconto de lo que hay en curso: se está terminando el segundo y último de los portaaviones de la Clase Queen Elizabeth; se están construyendo los submarinos de ataque de la Clase Astute; se están construyendo las fragatas Type 26; está programado construir fragatas Type 31; está programado adquirir aviones de vigilancia marítima P-8 Poseidon; se están adquiriendo cuatro buques tanques MARS, que se construyen en Corea del Sur; está programada la fabricación de blindados Ajax; está programado adquirir más aviones F-35; se debe solucionar los muy serios problemas de propulsión de los destructores Type 45; se están construyendo los SSBN Dreadnouht (el costo total de diseñar, construir y operar estas naves a lo largo de toda su vida útil ascendería a 100 mil millones de libras); etc.

 

La mayoría de estos programas tiene retrasos y - sobre todo - excedieron el presupuesto original. En algunos casos la calidad de los productos es más que cuestionable, tal como es el caso de los ya mencionados destructores antiaéreos Type 45. Algunos de los programas no están en poder de la industria bélica británica, tal es el caso de los F-35. En ese caso la caída de la libra frente al dolar complicará aún más el presupuesto de Defensa británico.

 

Se está estudiando un programa de recortes que en la práctica ya comenzó como lo demuestra la venta del portahelicópteros y buque de asalto anfibio HMS Ocean a Brasil. La oposición interna a esos recorte es grande y el discurso del jefe del Estado Mayor General del Ejército Británico, el General Nick Carter, al que aludimos en el artículo arriba mencionado así lo demuestra. El General Carter puso énfasis en la amenaza rusa y tal como nos lo hicieron notar nuestros lectores, esa amenaza es real. Sin embargo otro lector nos hizo notar que el imperialismo ruso siempre tuvo una esfera geográfica bastante circunscripta. Estamos de acuerdo con eso, como mínimo hay que admitir que Gran Bretaña nunca estuvo entre los territorios en peligro, al menos no por ahora.

 

Sea como fuere el Ejército Británico no está dispuesto a otro recorte de personal que lo pondría prácticamente en su piso histórico de cantidad de efectivos, aunque hoy por hoy el número de efectivos es un parámetro menos significativo que en otras épocas. Por otra parte la Marina Real no puede sufrir otro recorte de personal, ya le faltan tripulantes para cubrir las dotaciones de todos sus buques. Tal vez se resigne a perder el resto de sus buques de asalto anfibio y algunas fragatas Type 23 pero ya se alzan voces que confirman lo que afirmamos desde hace tiempo: no hay escoltas suficientes para el portaaviones Queen Elizabeth. De hecho los portaaviones Clase Queen Elizabeth no tienen otra capacidad anfibia que la que pueden proporcionar sus helicópteros, algunos de los cuales también están en la lista de posibles recortes.

 

La mancha roja en el presupuesto de defensa del Reino Unido debe ser reducida a menos que se quiera llevar a Gran Bretaña a la bancarrota. No alcanzará con vender algunos buques usados, dar de baja algunos helicópteros y fusiona tropas de élite. La prueba está en que hoy el parlamentario británico John Woodcock usó su cuenta de Twitter para expresar la duda de que se pueda construir el séptimo submarino de ataque de la Clase Astute. La razón aducida fue la falta de fondos. A la octava nave de la clase ni la mencionó.

 

 

Otra vulnerabilidad relacionada con la Inclusión Local de Archivos (y no necesariamente sólo con la misma) es la de los Permisos Inseguros.

 

Supongamos que tenemos un directorio denominado "administrador" con un subdirectorio denominado "protegido". Dentro de "administrador" tenemos "ver_datos.php" y dentro de "protegido" tenemos un archivo .htaccess y el archivo "datos.txt":

 

/administrador/

/administrador/ver_datos.php

/administrador/protegido/

/administrador/protegido/.htaccess

/administrador/protegido/datos.txt

 

El archivo .htaccess es el siguiente:

 

AuthType Basic

AuthName "área restringida"

AuthUserFile /xampp/.htpasswd

require valid-user

 

Por su parte "ver_datos.php" es como sigue:

 

<?php

readfile('protegido/datos.txt');

?>

 

Si un usuario quiere ver "datos.txt" tipeando los siguiente el la barra de direcciones del navegador no podrá acceder al archivo sin una combinación de usuario/contraseña:

 

https://127.0.0.1/administrador/protegido/datos.txt

 

Sin embargo si tipea lo siguiente:

 

https://127.0.0.1/administrador/ver_datos.php

 

el contenido de "datos.txt" quedará expuesto. Las restricciones de .htaccess no se imponen a "ver_datos.php". Es muy importante tener claro este concepto, en caso contrario se podría estar exponiendo información sensible lo cual en algunos países es ilegal en sí mismo, además de constituir una vulnerabilidad. Hay muchos programadores que desconocen esta particularidad y sin embargo a los piratas informáticos no se les pasa por alto tan fácilmente.

 

El archivo "ver_datos.php" debería ser algo así:

 

<?php

$usuario = $_POST['usuario'];

$clave = $_POST['clave'];

if (($usuario == 'Juan') && ($clave == '12345')){

header('Location: ver_datos.php');

} else {

die;

}

?>

 

Hemos simplificado el archivo para facilitar su comprensión, obviamente el nombre de usuario y la clave deberían proceder de una base de datos y no estar incrustadas en "ver_datos.php", porque en caso contrario nuevamente estaríamos exponiendo información sensible, lo cual - insistimos - no sólo podría ser ilegal, sino que es una vulnerabilidad de proporciones.

 

 

Con referencia al tema de comunicación con el exterior, en esta oportunidad me refiero básicamente a los proveedores de una empresa y a la relación comercial que se mantiene y que debe beneficiar a ambas partes.

 

Ya se trate de una organización grande o pequeña, la comunicación con el proveedor está basada en compromisos contractuales y el respeto entre las partes.

 

A continuación algunos puntos que podríamos tomar en cuenta para hacer de la gestión de compras un proceso más eficiente:

 

 

Artículos relacionados:

geoestrategia.webnode.es/news/la-empresa-el-uso-de-telefonos-celulares-provistos-por-la-misma/

geoestrategia.webnode.es/news/la-empresa-la-importancia-de-los-documentos-formales/

geoestrategia.webnode.es/news/la-empresa-hablando-se-entiende-la-gente/

geoestrategia.webnode.es/news/la-empresa-para-ser-un-buen-lider-hay-que-saber-escuchar/

geoestrategia.webnode.es/news/la-empresa-las-quejas-de-los-clientes-son-una-oportunidad-de-mejorar/

geoestrategia.webnode.es/news/la-empresa-como-capacitar-para-canalizar-las-quejas/

geoestrategia.webnode.es/news/la-empresa-un-caso-concreto-de-canalizacion-de-quejas/

geoestrategia.webnode.es/news/la-empresa-la-comunicacion-con-el-exterior/

 

 

El cuarto submarino de la clase Astute, el Audacious, completó su primera inmersión. La prueba tuvo lugar durante la semana pasada en la dársena de la empresa constructora, BAE Systems, en las instalaciones de la compañía en Barrow-in-Furness. La operación permitió probar muchos de los sistemas de a bordo y la seguridad y estabilidad de la nave. Está previsto que el submarino deje Barrow a fines de este año para iniciar las primeras pruebas en el mar. 

 

Está previsto que los submarinos de esta clase sean siete u ocho. Cuentan con propulsión nuclear y pueden dar la vuelta al mundo sumergidos, produciendo el oxígeno necesario para la tripulación a partir del agua del mar.

 

El reactor que lleva a bordo la clase Astute es el PWR2, diseñado para los submarinos clase Vanguard. El desplazamiento en inmersión de las unidades de la clase Vanguard es de 15.900 toneladas, contra las 7.400 de las naves clase Astute. Al parecer el uso del PWR2 contribuyó a reducir costos pero trajo algunos problemas. Por lo pronto la gran potencia del reactor no se traduce en una velocidad de avance proporcionalmente mayor.

 

Recordemos además que ya en marzo del 2008, el programa de la clase Astute estaba excedido de presupuesto en un 48 por ciento y con un retraso de 47 meses. En noviembre de 2009, debido a nuevos retrasos causados por una a serie de cuestiones técnicas y otras, las demoras llegaron a un total de 57 meses y a un costo 53 por ciento superior al presupuestado. 

 

 

Cuando tenemos que habilitar la posibilidad de que un usuario suba archivos a un sitio web, debemos ser extremadamente cautelosos. El ejemplo utilizado con mayor frecuencia es el del abuso de la funcionalidad de subir imágenes. Veamos un caso extremdamente burdo:

 

<html>

    <body>

        <form method="post" action="" enctype="multipart/form-data" >

            <label for="file">Archivo:</label>

            <input type="file" name="archivo" id="file1" /> 

            <br />

            <input type="submit" name="submit" value="Enviar" />

        </form>

    </body>

</html>

<?php

if(isset($_POST['submit'])) {

    if ($_FILES["archivo"]["error"] > 0) {

        echo "Error: " . $_FILES["archivo"]["error"] . "<br />";

    } else {

        echo "Subido: " . $_FILES["archivo"]["name"] . "<br />";

        echo "Tipo: " . $_FILES["archivo"]["type"] . "<br />";

        echo "Tamaño: " . ($_FILES["archivo"]["size"] / 1024) . " Kb<br />";

        echo "Guardado en: " . $_FILES["archivo"]["tmp_name"] . "<br/>";

    }

}

 

$destino = "fotos/" . basename($_FILES['archivo']['name']);

 

if(move_uploaded_file($_FILES['archivo']['tmp_name'], $destino))

{

echo "La foto ha sido subida con éxito";

}

else

{

echo "Hubo un error al subir la foto.";

}

?>

 

Como vemos en el ejemplo de arriba, el archivo pasa desde un lugar de almacenamiento temporario a su destino definitivo sin el menor control del tipo de archivo que se subió. El pirata informático hubiera podido subir una puerta trasera programada en, por ejemplo, PHP sin ninguna dificultad. Otro error posible (y no muy raro de encontrar) es la validación sólo del lado del cliente con, por ejemplo, JavaSript. El pirata informático burlará esa validación con extrema facilidad. 

 

Hay otros problemas asociados a la subida de archivos. Un pirata informático podrá subir un archivo que realmente sea una imagen, pero que estará contaminada con código PHP u otro. Bastará que encuentre una vulnerabilidad de Inclusión Local de Archivo para que pueda ejecutar el código (ver: geoestrategia.webnode.es/news/vulnerabilidades-de-aplicaciones-web-escritura-de-archivos/ - la razón por la que el código se ejecutará será similar al caso de los archivos de texto en la Escritura de Archivos).

 

Un pirata informático también podrá nombrar un archivo .php como archivo de imagen y aprovechar alguna vulnerabilidad del sitio para renombrarlo con su tipo de archivo original.

 

Como se puede observar, cuando se habilita una funcionalidad de subida de archivos se debe tomar una serie de precauciones muy importantes. Lamentablemente los piratas informáticos tienen varias posibilidades para explotar cualquier error que se cometa en la implementación de esta funcionalidad. Aún cuando no hubiera ningún error en la subida de archivos propiamente dicha, otras vunerabilidades en la aplicación perimitirán subir y aprovechar archivos peligrosos. 

 

 

Ya vimos esta vulnerabilidad cuando escribimos sobre INYECCIÓN ESTÁTICA DE CÓDIGO (geoestrategia.webnode.es/news/vulnerabilidades-de-aplicaciones-web-inyeccion-estatica-de-codigo/) aunque la habíamos presentado como una forma de inyección de código PHP. A modo de repaso y con una variante que pretende llamar la atención de los desarrolldores para que no cometan un error que podría ser fatal, volvemos a tocar el tema.

 

El archivo "escribe.php" es el siguiente:

 

<!DOCTYPE html>

<html>

<head>

  <title>Vulnerabilidad de escritura de archivos</title>

</head>

 

<body>

    <p><form action="escribe.php" method="get">

    Texto que desea escribir :<input type="text" name="texto" value="">

    <input type="submit">

    </form>

    <br />

 

<?php 

error_reporting(0);

 

$archivo = 'escrito.txt'; $contenido = $_GET['texto'];

if

(!$handle = fopen($archivo, 'a')){

print

"No se puede abrir ($archivo)";

exit

; } $s=fwrite($handle, $contenido);

echo

"Número de caracteres escritos ".$s."<br>";

if 

($s>0){

echo

"Escribió exitosamente<br>"; }

else

{

echo

"No se pudo escribir";

 } 

?> 

 

<br /><br />

</body>

</html>

 

Escribamos lo siguiente en la barra del navegador:

 

https://127.0.0.1/escribir%20archivo/escribe.php?fw=<%3Fphp+phpinfo%28%29+%3F>

 

Nótese que estamos escribiendo código PHP a un archivo de texto. Sabemos que la sentencia "include" incluye y evalúa el archivo especificado. Lo que a veces se ignora que para que el código sea evaluado, no es necesario que el archivo incluido sea .php. De hecho el código PHP será ejecutado aunque el archivo "escrito.txt" ya contenga texto (veáse que hemos escrito el código, no lo hemos sobrescrito). 

 

Supongamos que el archivo atras.php es vulnerable a la Inclusión Local de Archivos: 

 

<?php

   if ( isset( $_GET['color'] ) ) {

      include( $_GET['color'] . '.txt' );

   }

?>

 

escribiendo lo siguiente en la barra de direcciones del navegador EL CÓDIGO PHP DE ARCHIVO DE TEXTO SERÁ EVALUADO, POR ENDE EJECUTADO:

 

https://127.0.0.1/lfi/atras.php?color=C:\xampp\htdocs\escribir%20archivo\escrito

 

proporcionando al pirata informático información de provecho para escalar su ataque.

 

 

El estado de la Defensa británica se complica día a día. El portaaviones HMS Queen Elizabeth se prepara para lograr cierto grado de operatividad inicial pero muchos advierten sobre los riesgos que eso conlleva. Tanto el programa de los nuevos portaaviones de la Royal Navy (RN) como el de adquisición de los F-35 exceden lo inicialmente presupuestado, con los aviones constituyendo un problema adicional tras la caída de la libra frente al dolar después del Brexit británico.

 

La nueva clase de SSBN Dreadnought, la terminación de la retrasadísima Clase Astute que también excedió ampliamente el presupuesto inicial por no hablar del cronograma, la reparación de los destructoress Type 45, la construcción de las fragatas Type 26 y el programa de las fragatas Type 31, la programada adquisición de los P-8 Poseidon, etc., señalan un planificación terrible, si es que hubo alguna planficación seria. Ya se alzan las primeras voces alertando lo que venimos diciendo hace rato: que el Queen Elizabeth no cuenta con una escolta que pueda garantizar su despliegue en un conflicto mayor.

 

En ese contexto los números de las finanzas de la Defensa no cierran y el gobierno de Theresa May prepara nuevos recortes de personal y armamento: está considerando retrasar una modernización de tanques y vehículos blindados y reducir el número de los nuevos tanques ligeros Ajax (ya el sólo hecho de que se los denomine "tanques" es significativo). Londres considera fusionar unidades de los Royal Marines con tropas paracaidistas, reducir el número de marineros (que ya de por sí no alcanzan para tripular todos los buques de la Royal navy) y desprenderse de más naves "viejas", que son las pocas que demostraron valor operativo real. 

 

En el 2015 el Ministerio de Defensa dijo que recortaría su personal civil de 56,860 a 41,000 empleados para el 2020, pero por ahora esa cifra cayó sólo en 170 personas. Mientras tanto corren rumores de drásticas reducciones en el número de efectivos del British Army (Ejército Británico).

 

El panorama mundial es complejo: con las amenazas de Corea del Norte y el crecimiento militar chino, la región de Asia-Pacífico se convirtió en un hervidero y la Marina Real tiene dos fragatas tipo 23 comprometidas en mantener la presencia militar en la región. La RN también está comprometida en mantener su presencia en el Golfo Pérsico, principalmente con cazaminas, aunque en teoría también mantiene ahí un submarino de ataque en forma permanente.

 

Finalmente está la cuestión rusa y el resurgimiento del imperialismo de histórico de ese país. Los rusos están creando una fuerza expedicionaria poderosa y agresiva, están haciendo grandes avances en materia de guerra electrónica y en el campo de la ciberguerra, en cuestión de misiles de todo tipo y hasta en el campo de la robotización. Esa sea probablemente la mayor preocupación real de los británicos en general. El gobierno de Londres es acusado por muchos ciudadanos del Reino Unido de estar al servicio de los intereses que digitan la política estadounidense desde las sombras y no al servicio del pueblo británico.  

 

En este contexto se espera que hoy el Jefe del Estado Mayor General del Ejército Británico, el General Nick Carter, pida fondos de manera pública para poner al British Army en capacidad de hacer frente a la amenza rusa. Pedir puede pedirlos, el problema es que no hay de dónde sacarlos.

 

 

 

<?php

 

$archivo = $_GET['archivo'];

 

if (file_exists($archivo)) {

    header('Content-Description: File Transfer');

    header('Content-Type: application/octet-stream');

    header('Content-Disposition: attachment; filename="'.basename

 

($archivo).'"');

    header('Expires: 0');

    header('Cache-Control: must-revalidate');

    header('Pragma: public');

    header('Content-Length: ' . filesize($archivo));

    readfile($archivo);

    exit;

}

?>

 

Como el usuario puede elegir descargar cualquier archivo, el pirata informático puede hacerse de código fuente que le será muy útil para escalar su ataque.

 

https://127.0.0.1/directorio/descargas.php?archivo=principal.php

 

Damos un ejemplo MUY SIMPLE de cómo resolver la vulnerabilidad. Sugerimos al lector tomarlo como un mero bosquejo:

 

<?php

 

$archivo = $_GET['archivo'];

 

if (($archivo == 'uno.php') || ($archivo == 'dos.php')){

    header('Content-Description: File Transfer');

    header('Content-Type: application/octet-stream');

    header('Content-Disposition: attachment; filename="'.basename

 

($archivo).'"');

    header('Expires: 0');

    header('Cache-Control: must-revalidate');

    header('Pragma: public');

    header('Content-Length: ' . filesize($archivo));

    readfile($archivo);

    exit;

}

?>

 

Como se puede apreciar, hemos recurrido a una lista blanca.