Blog

LA EMPRESA: HABLANDO SE ENTIENDE LA GENTE

08.01.2018 19:22
En el artículo anterior señalaba la importancia de la comunicación escrita en una organización que conlleva que un equipo de trabajo esté bien informado, facilitándole el trabajo de grupo y fomentando las buenas relaciones laborales.
 
También debemos señalar que hay situaciones en las que es necesario utilizar la comunicación verbal, hay situaciones delicadas que deben ser tratadas oportuna y directamente con el personal o en reuniones que permitan aclarar las dudas y rumores generados por mala información.
 
Frente a eventuales malentendidos entre dos empleados que ocupen el mismo nivel dentro de una empresa y que requieran de aclaraciones, es conveniente reunir a ambas personas. Eso les permitirá aclarar de una manera más personal las situaciones generadas por la falla en la comunicación o la desinformación. Para eso deberá buscarse el momento más oportuno y si no es posible la conversación frente a frente se pueden utilizar medios como el teléfono celular, Skype o similares.
 
En todos los casos para este tipo de charlas y aclaraciones se debe crear un ambiente propicio, saber entender y escuchar a fin de superar las diferencias, crear acciones para limar las posibles asperezas, mejorar la comunicación y por ende mejorar el desarrollo laboral. Hablando se entiende la gente.
 
Artículos relacionados:

VULNERABILIDADES DE APLICACIONES WEB: VALIDACIÓN SÓLO DEL LADO DEL CLIENTE

08.01.2018 08:35
Cualquier validación de entrada de datos que se efectúe sólo de lado del cliente puede ser burlada por un atacante. 
 
Veamos el siguiente ejemplo de archivo .html con la validación de tipo de dato ingresado por el usuario proporcionada por HTML5. El navegador rechazará cualquier dato ingresado que no tenga el formato de una dirección de correo electrónico. Hay formas mucho más complejas de validar en el navegador: 
 
<html>
<form action="direccion.php" method="post">
  Ingrese su dirección de correo electrónico:<br>
  <input type="email" name="correo"><br>
  <input type="submit" value="Enviar">
</form>
</html>
 
siendo "direccion.php": 
 
<?php 
$correo = $_POST['correo'];
echo $correo;
?> 
 
Cualquier hacker podrá cliquear en la opción "Inspeccionar elemento" del navegador, cambiar el tipo de input de "email" a "text" e ingresar en el formulario "<h1>inyección HTML</h1>", logrando perpetrar el ataque. 
 
Todo lo que sea validado del lado del cliente puede ser burlado con mayor o menor facilidad con esta y/o otras técnicas. ¡Tener en cuenta que esto también vale para contraseñas y captchas validados sólo del lado del cliente!
 
La validación del lado del cliente es útil para lograr una mejor experiencia del usuario ya que los errores en el tipo de datos ingresados se resuelven rápidamente en el navegador. El peligro es que el programador termine conformándose con esa validación tan fácil de burlar. Por otra parte en un prueba dinámica manual, por ejemplo, los fallos de seguridad pueden pasar desapercibidos precisamente por esa validación hecha en el navegador.
 
Desde el punto de vista de la Seguridad Informática la omisión de la validación del lado del servidor puede tener consecuencias muy graves. 
 
Para el ejemplo de arriba, "direccion.php" debería ser:
 
<?php 
$correo = $_POST['correo'];
echo strip_tags($correo);
?> 
 
Lo invitamos a hacernos llegar sus comentarios, dudas y/o inquietudes a nuestra dirección de contacto: luis_lavric@hotmail.com. ¡Muchas gracias! 

 

LA EMPRESA: LA IMPORTANCIA DE LOS DOCUMENTOS FORMALES

06.01.2018 17:00
En nuestro artículo anterior sobre las comunicaciones en el ámbito laboral comentamos las ventajas y desventajas del uso de smartphones  provistos por las empresas a sus empleados. Entre las desventajas debemos agregar una: la falta de una constancia formal (escrita) del contenido de los mensajes intercambiados entre los miembros de una firma.
 
En todo tipo de empresas, sin lugar a dudas, la comunicación escrita es de suma importancia; ante clientes externos el mantener un buen nivel de comunicación ayuda al desarrollo de las operaciones empresarias; del mismo modo un correcto flujo de información entre empleados contribuye al mejor desempeño de sus funciones y mejora el clima laboral.
 
Existen diferentes tipos de documentos escritos y formales que se generan cuando se necesita dejar constancia de algo: contratos, actas, memorándums, informes, cotizaciones, presupuestos, etc. A nivel moderno y quizá de una manera más informal están el correo electrónico, el whatsapp, los blogs, las páginas sociales, etc. De acuerdo a las circunstancias se elige el medio más conveniente para comunicar.
 
Si las organizaciones tienen establecidos los canales para informar determinados hechos, el mensaje va a llegar de una manera correcta y los empleados se verán beneficiados con información oportuna y de la fuente adecuada. Igualmente sería mejor establecer en qué casos se utilizará un memorándum y en cuáles el correo electrónico.
 
Con una buena comunicación escrita y enviada oportunamente a los trabajadores se logra un mejor ambiente de trabajo; se difunde mejor las funciones de cada trabajador;  se involucra de manera masiva al personal que sentirá que forman parte de la organización; se puede dar a conocer nuevas disposiciones y sobretodo se evitan las confusiones. "Verba volant, scrīpta manent" (Las palabras vuelan, lo escrito queda).
 
Artículo relacionado:
 

EL PROGRAMA DE LOS SSBN BRITÁNICOS CLASE DREADNOUGHT

06.01.2018 10:47
Está previsto que la clase Dreadnought esté compuesta por cuatro submarinos de misiles balísticos portadores de ojivas nucleares (SSBN). Con la misma se pretende reemplazar a los SSBN clase Vanguard que entraron en servicio en La Royal Navy en la década de 1990 con una vida útil prevista de 25 años, lo que significa que ya fue superada. 
 
La decisión final de comprometerse con el programa Successor (cuyo nombre fue cambiado a Dreadnought) se aprobó el 18 de julio de 2016 y la construcción comenzó a fines de 2016 en el astillero Barrow-in-Furness operado por BAE Systems Maritime - Submarines. Se espera que el primer submarino entre en servicio en 2028. 
 
Desde el punto de vista estratégico militar el programa de la Clase Dreadnought es un desatino total. Un país - del que se presume que no podría repeler una invasión rusa desde el mar ni con sus medios navales ni con su ejército - planea construir cuatro de estas naves a un costo estrafalario. La Roya Navy debe hacer reparaciones y/o modificaciones mayores a la totalidad de sus seis destructores Type 45, debe reemplazar sus fragatas Type 23, debe adquirir aviones F-35B para sus portaaviones, etc., etc..
 
Desde el punto de vista moral la proliferación de armas nucleares y el obsceno costo de las mismas son aún más condenables. De hecho el programa genera un fuerte rechazo interno en el Reino Unido. Además los submarinos británicos tienen un historial de accidentes francamente alarmante. Sin ir más lejos, en junio del 2016 un misil Trident aparentemente defectuoso disparado por un submarino de la Clase Vanguard contra un blanco naval ficticio en la costa oeste de África voló con rumbo a los Estados Unidos de Norteamérica. El acontecimiento fue mantenido en secreto por el gobierno del Reino Unido para no dañar la credibilidad del programa de reemplazo de los submarinos Clase Vanguard.
 
Finalmente desde el punto de vista de los costos el programa podría llevar las finanzas del sector de Defensa británico a la bancarrota total. Para el colmo el poder de negociación del gobierno de Londres es bastante reducido: la legislación británica permite que una única empresa pueda proporcionar la capacidad especializada utilizada por las Fuerzas Armadas del Reino Unido. Es implica que el 48% de los contratos del sector de defensa británico están en manos de una sola empresa. Esa empresa es la tercer empresa de Defensa más grande del mundo. Es la misma que construyó los seis muy problemáticos destructores Type 45 (tipo 45).
 
Artículo relacionado:
 

VULNERABILIDADES DE APLICACIONES WEB: VERB TAMPERING

05.01.2018 21:08
Esta vulnerabilidad, supuestamente muy bien conocida pero que nadie se atreve a dejar de mencionar, permite eludir (hacer el "bypass" de) la necesidad de ingresar una combinación de usuario/contraseña pedidos por - por ejemplo - un archivo .htacces. En rigor la vulnerabilidad se origina en un error de configuaración, o en un concepto erróneo de cómo se manejan algunas restricciones.
 
Supongamos un servidor Apache con el siguiente archivo .htaccess:
 
AuthName "Restricted Area"
AuthType Basic
AuthUserFile /xampp/.htpasswd
<Limit GET>
require valid-user
</Limit>
 
El contenido del .htaccess de arriba implica que cuando se mande una solicitud de HTTP (HTTP request) con el verbo GET, será necesario autenticarse para acceder al archivo de destino. Lo que lamentablemente algunas personas ignoran es que el verdadero significado de <Limit GET> es que la autenticación será requerida SOLAMENTE cuando la solicitud sea enviada con el verbo GET. Si, por ejemplo, se envía la solicitud con el verbo POST, se accederá al archivo deseado sin necesidad de ingresar la combinación usuario/contraseña. El pirata informático simplemente interceptará el request (se puede usar algún otro método en lugar de la interceptación) y cambiará el verbo de la solicitud, burlando la necesidad de autenticarse. No tiene sentido entonces, al menos en este caso, usar el <Limit VERBO>, mucho menos con un solo verbo. 
 
Lo invitamos a hacernos llegar sus comentarios, dudas y/o inquietudes a nuestra dirección de contacto: luis_lavric@hotmail.com. ¡Muchas gracias! 
 

VULNERABILIDADES DE APLICACIONES WEB: FALTA DE NEUTRALIZACIÓN DE CRLF

04.01.2018 21:10
La inadecuada neutralización de las secuencias de caracteres que marcan el retorno de carro y el cambio de línea (en inglés "Carriage Return" y "Line Feed - CRLF) puede ser aprovechada para atacar aplicaciones web con diversas consecuencias.
 
Si una aplicación vulnerable acepta al final de alguno de sus registros datos ingresados por el usuario (o simplemente controlables por él) sin neutralizar CRLF, el atacante podría inyectar algo similar a esto:
 
Cualquier texto usual de registro+dato ingresado o controlable por el usuario<CR><LF>ERROR GRAVE: ES IMPOSIBLE GUARDAR INFORMACIÓN EN BASE DE DATOS
 
siendo "<CR><LF>ERROR .... DATOS" parte de lo ingresado por el usuario.
 
El ataque podría hacer perder muchísimo tiempo al administrador, que   trataría de entender por qué se generó la línea: 
 
ERROR GRAVE: ES IMPOSIBLE GUARDAR INFORMACIÓN EN BASE DE DATOS
 
La línea con el texto usual de registro estaría completa y la siguiente - aparentemente independiente de la misma - parecería una alerta muy seria generada por la aplicación. Mientras el administrador estaría ocupado analizando el mensaje, el atacante podría aprovechar su distracción haciendo algo más grave.  
 
Como enseñamos a defender, no a atacar, hemos dado un ejemplo bastante "benigno" de ataque, los hay mucho peores.
 
Una de las formas de prevenir la inyección de CRLF es la siguiente. Damos el ejemplo para el lenguaje PHP, el lector lo adaptará fácilmente al de su interés:
 
<?php
$registar = $_GET["registrar"];
$eliminar = array("\n", "\r","%0d", "%0D", "%0a", "%0A");
$listo = str_replace($eliminar, "", $registrar);
?>
 
Si agrega echo delante de $listo podrá ver el resultado. Los retornos de carro y los cambios de línea habrán sido eliminados.
 

LA EMPRESA: EL USO DE TELÉFONOS CELULARES PROVISTOS POR LA MISMA

04.01.2018 06:41
Hoy en día el uso de la tecnología mediante los celulares es muy común en la vida diaria, se cuenta con acceso a internet, uso del chat, aplicaciones, correo electrónico y mucho más;  por lo tanto muchas empresas ponen a disposición de sus empleados equipos modernos, de media o alta gama que faciliten la comunicación, el monitoreo y desenvolvimiento de labores.
 
Esto implica que la jornada de trabajo muchas veces no termina cuando uno se retira de la oficina, ya que al portar un  aparato celular otorgado por la empresa para trabajar y que es utilizado también en nuestra  vida privada estamos comprometidos a  contestar y resolver temas en fines de semana, días feriados o vacaciones, es decir se está dispuesto al trabajo durante los siete días de la semana.
 
Estos equipos modernos no sólo facilitan las comunicaciones a nivel laboral y particular, sino que permiten ver el  desarrollo de noticias de la localidad y del mundo.
 
Por otro lado también hay personas que utilizan estos smartphones  de manera adictiva durante la jornada de trabajo, causando distracción en el entorno por múltiples llamadas, por uso excesivo del chat, juegos y otros.
  
En la empresa alimenticia en la que trabajo, en las áreas de producción de alimentos y atención al cliente se adoptó como medida la prohibición del uso de celulares, ya que no es posible atender y hablar con clientes con un celular en la mano, igualmente es cuestión de salubridad.
 
La tecnología usada con buen criterio es de provecho. El abuso, tanto por parte de los usuarios como de las empresas, suele ser pernicioso. En el primer caso el uso de teléfonos móviles puede volverse adictivo y atentar contra un contacto humano cálido y genuino; en el segundo extiende - a veces abusivamente - nuestro horario de trabajo y nos insta a estar constantemente "de guardia".
 

GRAN BRETAÑA NO ESCARMIENTA Y AVANAZA CON EL REEMPLAZO DE LOS VANGUARD

03.01.2018 11:07
 
Por estas horas se hace más fuerte la versión de que Brasil finalmente habría adquirido el portahelicópteros británico HMS Ocean. El precio final sería de 84 millones de libras. Hace apenas tres años la nave fue sometida a tareas de reacondicionamiento y modernización por un monto de 65 millones de libras. Los británicos necesitan cubrir un tremendo déficit en las finanzas del sector de su Defensa. Si es que finalmente se confirman los datos de la transacción, la comparación del costo de la modernización del Ocean con del precio por el que se habría vendido habla por sí sola de la pésima planificación británica.
 
Los proyectos faraónicos están dejando a los británicos sin fondos y sin personal. Los portaaviones Clase Queen Elizabet son costosos y demandan muchos tripulantes, pero los británicos parecen no aprender o simplemente las cifras no les importan. Lockheed Martin acaba de adjudicarse un contrato para proporcionar la integración del "sistema de armas estratégicas" Trident II a bordo de los submarinos clase Columbia y Dreadnought de los Estados Unidos de América y del Reino Unido respectivamente. Los Dreadnought serán el reemplazo de los Vanguard de la Royal Navy. En otras palabras, el programa de los Dreadnought sigue adelante como si el dinero no fuera un problema.
 
Recientemente la Marina Real británcia retiró del servicio dos dragaminas de la clase Hunt. Ahora parece confirmarse la venta del Ocean a Brasil. Los siguientes en la lista podrían ser los buques de asalto anfibio HMS Albion y HMS Bulwark y dos fragatas Type 23. Chile y Brasil ya fueron notificados de que esos cuatro buques podrían quedar disponibles para la venta. En el 2023 los británicos podrían desprenderse de otras tres fragatas tipo 23. Con los seis destructores tipo 45 con problemas de propulsión y con el programa de las fragatas Type 26 retrasado es difícil asegurar que los portaaviones británicos tendrán una escolta adecuada
 
Dos portaaviones casi sin escolta y tres o cuatro SSBN no constituyen una marina de guerra equilibrada. Desde el punto de vista de la Defensa la planificación británica es francamente calamitosa. 
 

VULNERABILIDADES DE APLICACIONES WEB: DELIMITADORES DE PARÁMETROS - UN EJEMPLO DE ATAQUE INGENIOSO

03.01.2018 09:44
Supongamos el siguiente contenido del archivo usuarios.dat que contiene los datos de los usuarios registrados:
 
135409973|Juan|usuario| 
634147881|Marcos|administrador|
455255201|Ana|usuario|
 
El programa que guarda los datos crea un código único para cada usuario, a continuación escribe el delimitador "|", el nombre del usuario, el delimitador "|" y a menos que quien acaba de registrarse sea administrador al final agrega la palabra "usuario" y nuevamente el delimitador "|". El recién registrado no tendrá ningún permiso especial.
 
Ahora bien, si el programa analiza el archivo usuarios.dat de izquierda a derecha, cuenta los parámetros en base al delimitador y se detiene en el tercero entonces es posible crear un nuevo nombre de usuario como el siguiente:
 
Luis|administrador
 
que será guardado por el programa al final de usuarios.dat de la siguiente forma:
 
135409973|Juan|usuario| 
634147881|Marcos|administrador|
455255201|Ana|usuario|
542754992|Luis|administrador|usuario|
 
Como el programa detiene el análisis de los datos de cada usuario en el tercer delimitador, Luis tendrá privilegios de administrador.
 
¡CUIDADO! Basándonos en la presente técnica y combinándola con otra hemos logrado (CON EL EXPRESO PERMISO DE HACERLO) modificar nuestro puntaje en un juego en línea. El programdor y quien analice la seguridad de la aplicación no deberán subestimar la creatividad de los piratas informáticos. Quien escribe este artículo recomienda inisistenetemente coronar cualquier análisis estático y/o dinámico - cuya utilidad no niega - con un test de penetración. ¡No permitamos que el primero en hacerlo sea un hacker!
 

VULNERABILIDADES DE APLICACIONES WEB: ¿CUÁL ES EL ERROR EN ESTA APLICACIÓN? (IV)

03.01.2018 08:21
La vulnerabilidad de la "aplicación" que habíamos presentado con el título "VULNERABILIDADES DE APLICACIONES WEB: ¿CUÁL ES EL ERROR EN ESTA APLICACIÓN? (III)" ( geoestrategia.webnode.es/news/vulnerabilidades-de-aplicaciones-web%3a-¿cual-es-el-error-en-esta-aplicacion-%28iii%29/ ) se hace evidente en el archivo cambio.php:
 
<html>
<h1>Aca se ingresa la nueva clave</h1>
<form action="guardar.php" method="post">
    Usuario: <input type="text" name="nombre" value="">
    Contrasena: <input type="password" name="nueva" value="">
    Confirmar ctsna.: <input type="password" name="reiterar" value=""> 
<input type="submit">
</form>
</html>
 
Se pide un nombre de usuario, pero no se verifica que se trate del mismo que se autenticó. El usuario Juan podría cambiar su contraseña o la de cualquier otra persona cuyo nombre de usuario conociera. Si el Juan conociera el nombre de usuario del administrador el ataque podría devenir en un escalamiento de priviliegios. 
 
La forma más simple de resolver el problema es solicitar el ingreso de la contraseña vieja y verificar que sea la correcta antes de cambiar la clave de acceso. Recordamos que el nombre de ususario y su contraseña nunca deben estar incrustados en el código (hardcoded) y muchísimo menos en texto plano. En el artículo anterior están así para facilitar el planteo del problema y su comprensión. Ante cualquier duda, inquietud y/o sugerencia invitamos a nuestros lectores a escribirnos a nuestra dirección de contacto: luis_lavric@hotmail.com.
 
Artículo relacionado:
 
<< 118 | 119 | 120 | 121 | 122 >>

Etiquetas

  1. portaaviones
  2. Wehrmacht
  3. Luftwaffe
  4. Tempest
  5. blindados
  6. bombarderos
  7. artillería
  8. Brasil
  9. submarinos
  10. RAF
  11. patrulleros
  12. British Army
  13. ejercicios
  14. misiles y cohetes
  15. IMARA
  16. EA
  17. portahelicópteros
  18. clase Queen Elizabeth
  19. F-35
  20. avisos
  21. fragatas
  22. tipo 45
  23. destructores
  24. helicópteros
  25. FAA
  26. Orion P3
  27. COAN
  28. ARA
  29. Royal Navy
  30. Malvinas