Categoría: Actualidad

Qué hacer frente a un ataque DDoS

El truco más usado por los criminales informáticos hoy en día para poner un website fuera de servicio es el DDoS (Distributed Denial of Service), que consiste en hacer que una o varias botnets ataquen a un webserver hasta que lo hagan caer. Este es un ataque de fuerza bruta, que no explota ninguna vulnerabilidad de un website, no hay nada que parchar en el server o en el router que evite un DDoS ya que es el atacante al frende de las botnets quien tiene todo el control.

Cómo poder hace frente a este tipo de ataques que ha sido efectivo contra websites tan importantes como los de la CIA, WordPress.com y los de las tarjetas de crédito Mastercard y Visa. Lo primero que necesitamos es la colaboración de nuestro ISP (siempre y cuando éste disponga de suficiente ancho de banda y un personal técnico de soporte 24/7 que nos ayude a bloquear ciertas rutas), pero si este no puede ayudarnos hay dos caminos. El primero consiste en tener nuestro propio data center con varias conexiones a diversos ISPs y hacer nosotros mismos nuesto ruteo BGP, esto lamentablemente sólo lo pueden hacer gigantes de Internet como Amazon, Google o Facebook, para el resto de empresas nuestra única alterniva es buscar los servicios de una empresa que nos ayude a filtrar el tráfico de las botnets.

Aunque hay bastante oferta de empresas de seguridad que se dedican a proteger websites contra DDoS, he encontrado tres a lo largo de mi ejercicio profesional que tienen un buen servicio a precios bastante aceptables, los cuales son:

Estos servicios de protección contra DDoS básicamente son grandes agregadores de ancho de banda que aceptan todo nuestro tráfico y luego filtran el tráfico proveniente de las botnets y redirigen a nuestro server sólo el tráfico válido. Por lo general la mecánica es siempre la misma apuntamos nuestro DNS a alguno de dichos servicios y les proveemos a ellos de una IP a la cual dirigir el tráfico limpio.

Los tiempos de respuesta de dichas empresas son bastante buenos, por lo general nuestro website si es atacado puede estar de vuelta en una hora o dos luego de contratado el servicio.

Una alternativa mucho más costosa es usar algún servicio de cloud computing como Amazon o RackSpace, el problema con ellos es que deberemos pagar por los picos en el tráfico a nuestro servidor, lo cual puede resultar en grander pérdidas económicas aunque la disponibilidad del website estará siempre garantizada.

Espero que esta información haya sido de utilidad para otros sysadmin que tienen que lidiar con ataques DDoS, que debido a grupos como Anonymous se están popularizando ultimamente.

Publicado el por volkan68 1

Santiago Niño: No es ético rescatar un banco, pero es necesario

En una nueva entrevista a Santiago Niño Becerra, el economísta español al cual este blog le ha dedicado varios post, ha dado unas declaraciones sorprendetes, aquí sus palabras textuales:

"Es procedente económicamente, yo ya no digo ético, por que la ética, o sea. ¿Es procedente económicamente que una persona contribuya a salvar a un banco, con sus impuestos? Porque en el fondo sus sus impuestos. A ver. Desde una perspectiva puramente lógica la respuesta es que no. Un baco es una empresa y se ha equivocado, que apechugue con sus consecuencias. Lo que pasa es que un banco a pesar de ser una sociedad anónima, no es una empresa cualquiera. Quiebra una empresa que fabrica sillas y no pasa nada. Quiebra un banco y puede haber un desastre."

Al menos en esta parte de las declaraciones Santiago Niño confunde conceptos, el problema no es que quiebre un banco cualquiera, el problema es que quiebre un banco que tiene depósitos por varios millones de millones de dólares de dinero que pertenece a fondos de retiro, ahorros de personas comunes y corrientes, etc. El problema no es que se debe salvar a un banco por el hecho de serlo, o porque sea un tipo especial de empresa. Se cometió un error garrafal cuando se permitó la consolidación en megabancos que son muy grandes para dejarlos quebrar (too big to fail).

Claro, cuando se dipone de inmensas cantidades de dinero para jugar a la especulación cuando el mercado está en expansión, las ganancias son muchas, pero cuando se tiene ese tamaño fabuloso en unas condiciones de un mercado que se contrae cada vez más resulta una grave desventaja. Eso es precisamente lo que están experimentando todos los bancos (tanto europeos como americanos) en estos momentos, el desapalancamiento financiero que están forzados a realizar personas y empresas, hace que el negocio de los bancos se vaporice y que mucho del dinero prestado esté en riesgo de perderse en muchos casos por completo.

¿Cuál es la salida?, pues ciertamente no es endeudar más a los estados para salvar a los bancos que jugaron a ser Dios, como está ocurriendo con Grecia, Irlanda, Portugal y España. La salida parte por intervenir los bancos, declararlos en quiebra, liquidar activos, devolver el dinero a los ahorristas y comenzar a cobrar las deudas que sean cobrables. Los accionistas de los bancos deben de asumir la pérdida total, como ocurre en toda empresa privada.

Para que no digan que estoy tomando fuera de contexto las palabras de Santiago Niño Becerra, aquí les dejo el video completo de la entrevista realizada en La 2, el pasado 16 de junio:

 

 

 

Publicado el por volkan68 1

¿Qué pasa con la seguridad de la web?

El día de ayer Anonymous Perú (Piratas de la Red), atacó varias páginas web de instituciones del gobierno peruano, tal vez el ataques que más preocupación ha causado fue el lanzado contra el website de la Policía Nacional, específicamente el de las Aguilas Negras (la sección de la Policía Nacional que vigila los bancos), pudiendo hacerse con la base de datos de todos sus miembros y publicandola en su website. Los datos publicados por Piratas de la Red incluyen los nombres, el grado, el Carnet de Identidad Policial (CIP), el horario y ubicación de las entidades bancarias que custodian los oficiles en la ciudad de Lima. Al parecer el hecho de que la información no esté consolidada fue lo que libró que la identidad de todos los miembros de las Aguilas Negras en el interior del país sea revelada de igual forma.

Anonymous ya había anunciado a principios de esta semana un ataque a los websites de los gobiernos de Perú y Chile llamado "Operation Andes Libre Peru/Chile", video que tuvo repercución en los medios de comunicación masiva, sin embargo el video del viernes último que anunciaba una segunda fase de ataques tuvo menos recepción en los medios, aquí el video anunciando la segunda fase de ataques para el día de ayer Sábado 25 de junio de 2011:

 

 

Pero el problema de seguridad no sólo es de las webs peruanas, el día miercoles pasado (22 de junio 2011) en el periódico británico The Guardian, se informaba que el repositorio de plugins del popular CMS WordPress había sido comprometido y varios populares plugins entre ellos AddThis, WPtouch y W3 Total Cache, habían sido reemplazados por versiones que contenían backdoors que permitirían a los crackers tener acceso a los servidores que hostearan los websites. En abril de este año el servicio WordPress.com fue comprometido y los atacantes tuvieron acceso a las modificaciones del código fuente hechas para acomodar las funcionalidades sociales de dicho website, así como a las claves API de aquellos usuarios que integraron Twitter/Facebooks con sus blogs. Pero al menos la gente de WordPress.org actuo proactivamente y removió los plugin infectados y está obligando a todos los desarrolladores a cambiar sus passwords.

Pero tal vez el caso más espectacular de falla de seguridad de la semana que terminó fue el hecho de que durante 4 horas el servicio de almacenamiento en la nube Dropbox, permitió que sus usuarios se loguearan sin validar passwords, lo cual permitía a cualquier persona tener acceso a cualquier cuenta de Dropbox con sólo saber el nombre de usuario. Lo cual indica de que si se va a utilizar un servicio en la nube es mejor encriptar nuestros documentos ya que no se puede confiar en la seguridad de los proveedores de servicio.

Y también en la semana que pasó un ataque a Bitcoin (la moneda criptográfica de la red, que algunos legisladores tratan de prohibir), hizo que la cotización de dicha moneda cayera de 17 dólares por Bitcoin a apenas unos centavos en cuestion de minutos. Todo por el simple hecho de que la base de datos en el disco que contenía la billetera digital de los usuarios en el agente de intercambio de monedas MtGox  no estaba encriptada.

Bueno, uno puede entender que haya cierto interés en hackear a WordPress.org y poder accesar a literalmente millones de hosts en Internet para lanzar ataques DDoS o simplemente hacer Phishing, en el caso de Bitcoin el interés monetario es obvio se sustrajeron varios millones de dólares; pero en el caso de las Aguilas Negras, que sentido tiene exponer la vida de policias y sus familias por el sólo hecho de que protegen a instituciones bancarias, no que "Anonymous somos todos".

Lo que me sorprende es que hasta ahora la Policía Nacional no haya contactado a GoDaddy, la compañía que hostea la página web de Piratas de la Red para demandar la inmediata suspención de dicho hosting por violar claramente los términos del contrato de servicio y por otro lado contactar a Name.com, para exigir revele la identidad de quien ha comprado el dominio. En lo personal creo que la persona que ha lanzado este ataque contra la Policía Nacional del Perú y revelado la identidad de los agentes del orden es una persona joven, aún en sus veinte años, muy emocional y cree que este tipo de actitudes lo vuelven "cool", y no se ha dado cuenta de que al hacer esto está exponiendo a las familias de dichos agentes del orden a ser secuestradas. Además creo que debe haberle contado a algunos amigos su hazaña (así que comenzar a buscar en el twitter por pistas no sería una mala idea), me parece que es un miembro de la clase media alta (tiene acceso a una tarjeta de crédito) y puede estar en Lima o el extranjero.

 

Publicado el por volkan68 0

Santiago Niño Becerra: En el futuro sólo hay probreza

He encontrado una reciente y muy buena entrevista al economista español Santiago Niño Becerra, en el cuál explica la actual coyuntura histórica de cambio de modelo (paradigma) económico en que se encuentra nuestro mundo globalizado. A lo largo de la entrevista Santiago Niño es claro en afirmar que desde finales de la Segunda Guerra Mundial, el modelo keynesiano de basar el bienestar de la sociedad en un incremento contínuo del PIB y estimular el consumo para garantizar el crecimiento, se ha agotado. Básicamente por una limitación física, el modelo keynesiano asumía la existencia de recursos infinitos y de precio muy bajo, en el siglo XXI ya sabemos que los recursos no son infinitos y como consecuencia de un aumento de la población, la competencia por estos recursos finitos ha hecho que sus precios aumenten.

Santiago Niño es claro a lo largo de la entrevista y dice que el futuro requiere un cambio en la mentalidad de las personas, que el volver al modelo anterior es imposible y que bajo nuestra óptica actual, en el futuro la mayor parte de la población se sentirá empobrecida, porque el crédito barato y fácil se terminó y cada vez se requerirá menos trabajadores ya que el aumento de la productividad que es una consecuencia del progreso tecnológico así lo impone, incluso llega a decir que habrá seres humanos que estarán jubilados desde que nacen porque nunca podran encontrar un trabajo en toda su vida.

Los que leen este blog sabrán que he criticado a Santiago Niño Becerra cuando lo merece y he mostrado mi concordancia con sus puntos de vista cuando así lo considero, en este caso puedo decir que concuerdo con su diagnóstico y conclusiones al 100%.

Aquí la entrevista en cuestion que espero sea de su agrado:

 

 

 

Publicado el por volkan68 0

La razón que explica porque las acciones de los bancos están cayendo

Hace ya más de un año publiqué un post titulado "Con estadísticas no es tan difícil ser profeta", en dicho post comentaba lo que diversas fuentes decían sobre el inminente reseteo de las hipotecas option ARM (es decir las hipotecas de interés variable), donde el 61% de este tipo de hipotecas se encontraba en default (moroso en el pago). De acuerdo a fuentes bien informadas el reseteo (renegociación de los intereses) de dichas hipotecas comenzaría a mediados del 2010 y se extendería hasta finales del 2012, eso explica porque los precios de las casas a pesar de los insentivos que ha dado el gobierno a través de créditos de impuesto a quienes compran una primera casa no haya ayudado mucho a revertir la situación y por el contrario, todos aquellos que compraron casa ultimamente quien sabe pronto enfrentaran el mismo problema de quienes ahora deben estratégicamente abandonar sus casas ya que el costo de la hipoteca está muy por encima del precio del mercado.

El día de hoy en un interesante post en el blog Inner Workings, hay unos gráficos que revelan lo dramático de la situación de los bonos respaldados por hipotecas AAA, es decir no subprime, sino la gente que en teoría es 100% confiable. De acuerdo al siguiente gráfico el valor de dichos bonos que muchos bancos usan como colateral está cayendo como piedra en los últimos días:

Esto se explica por varias razones, una de ellas es que muy pocas personas pueden comprar una casa. ¿Por qué?, porque los ingresos están congelados en términos reales desde el 2006, la gente balanceaba sus presupuestos en base a crédito, pero eso ya ha terminado y por lo tanto el poder adquisitivo y la confianza de los consumidores ha caído. Por otro lado la alta tasa de desempleo hace que los salarios continúen en los actuales niveles, ya que hay una gran cantidad de mano de obra esperando por un trabajo con lo cual no hay esperanzas de que los ingresos reales de los trabajadores aumenten en los próximos años. Dado que la presión deflacionaria en el mercado inmobiliario continúa, habrá más hipotecas que valgan mucho más que la propiedad que las respalda lo cual hará que muchas más personas abandonen dichas casas. Esto hara que los precios continuen cayendo y los bonos que tienen como respaldo dichos prestamos continuaran su depreciación.

Ahora que ya el gobierno y la FED (QE1, QE2, estimulos) han agotado todas sus municiones y el problema permanece incólume, la única alternativa que le quedará al gobierno es hacer lo que debió haber hecho desde un primer momento, intervenir los bancos. Liquidar los activos, devolverle el dinero a los ahorristas y que sean los accionistas de los bancos los que asuman las pérdidas. Estos bancos zombies seguiran matando la economía, si es que el gobierno no hace lo que la ley dice cuando un banco es insolvente y el pretexto de Too Big To Fail, cada vez parece menos válido.

Publicado el por volkan68 0