So long, and thanks for all the XP, Windows

El clásico fondo "star wars: episode I" del Windows XP

El clásico fondo “star wars: episode I” del Windows XP

Hoy 8 de abril de 2014, oficialmente y si no pagas más por un soporte extendido, Windows XP pasa a mejor vida, aunque, para desgracia de muchos, siga siendo el sistema operativo de escritorio que se encuentren al llegar al trabajo o al encender el ordenador de casa.

Y es que a día de hoy Windows XP no está preparado para aguantar todo el malware que circula por Internet. Si a esto le añadimos que los fabricantes de software, no ya sólo Microsoft, sino Oracle con su Java, Adobe con su Flash, o cualquier otro que desarrolle software comúnmente usado en PCs de escritorio, van a ir dejando -si no lo han hecho ya- de sacar versiones actualizadas de sus productos para Windows XP, la probabilidad de que te lleves una sorpresa en forma de malware con tu Windows XP tiende a 1.

Si bien las mafias especializadas en Internet se van a poner las botas, los desarrolladores de soluciones de seguridad, antivirus, cortafuegos y demás productos van a mejorar sus cuentas de resultados, porque, por algún oscuro motivo, las empresas, gobiernos, y particulares, prefieren gastarse millonadas en desinfectante en vez de cortar el problema en su origen y se quedan en Windows XP.

Sinceramente, cualquier CIO que decida no migrar a día de hoy de Windows XP a un 7 o-lo-que-venga o probar con otros sistemas operativos, debería ser despedido. Fulminantemente. Y no vale la excusa de “que nos ha pillado el toro”, o “hay que renovar todo el parque informático”, o “la aplicación ultra-crítica-de-negocio no soporta otra cosa que no sea Internet Explorer 6”. Porque el propio fabricante lleva avisando años del “migra o muere”, porque a día de hoy los costes de un ordenador -sin teclado, ni monitor- es ridículo, y porque no deberías tener una aplicación crítica de negocio tan dependiente de una tecnología que además caduca.

A disfrutar del próximo zero-day...que (posiblemente) nunca sea parcheado en Windows XP. Al negocio de la seguridad esto le viene siempre muy bien.

 

Bloqueando ataques continuos con fail2ban y denyhosts

Una de las cosas que uno puede hacer con su conexión a Internet es montarse un servidor de acceso remoto para conectarse a casa desde cualquier parte del mundo IP. Sin embargo, abrir servicios a Internet expone a tu equipo a las inclemencias propias de la red como son ataques remotos. Salvo errores muy críticos en los programas que se ejecutan, y manteniendo el equipo actualizado, llegar a colarse en tu máquina por un exploit es difícil, pero eso no quita que a diario puedas recibir continuos intentos de acceso no autorizados, sobre todo desde máquinas zombies de una botnet.

Esto es justo lo que le pasa a mi servidor SSH, cuyos registros de acceso fallidos están rebosando de intentos:

Apr 23 02:20:52 teroknor sshd[31336]: Invalid user noah from 217.126.56.236
Apr 23 02:20:52 teroknor sshd[31336]: pam_unix(ssh:auth): check pass; user unknown
Apr 23 02:20:52 teroknor sshd[31336]: pam_unix(ssh:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=236.red-217-126-56.staticip.rima-tde.net
Apr 23 02:20:54 teroknor sshd[31336]: Failed password for invalid user noah from 217.126.56.236 port 17228 ssh2
Apr 23 02:20:56 teroknor sshd[31339]: Invalid user joseph from 217.126.56.236
Apr 23 02:20:56 teroknor sshd[31339]: pam_unix(ssh:auth): check pass; user unknown
Apr 23 02:20:56 teroknor sshd[31339]: pam_unix(ssh:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=236.red-217-126-56.staticip.rima-tde.net

Una solución muy fácil de instalar en el equipo es un sistema de prevención de intrusión o HIPS basado en analizar periódicamente los registros de acceso con dos programas: denyhosts y fail2ban.

Continue reading

Cuando se caen los DNS, Telefónica censura

La alegría con que la gente se apresura a afirmar que Telefónica está censurando páginas dedicadas al intercambio de enlaces p2p es cuanto menos curiosa. Ciñéndonos un poco a los hechos, hace una hora he visto en el feed de Meneame que Telefónica censura Internet. En la entrada original, cuentan cómo no pueden acceder desde las ADSL de Telefónica a ciertas páginas. Afirma además que “terra aun no las capa.”

Veamos, si Terra lo único que es, bueno, era, un revendedor de ADSL de Telefónica y usa su infraestructura. Yo, como cliente de Terra voy a comprobar si tiran esas páginas. Aparentemente, el DNS falla. ¿Censura? Nada más lejos de la realidad. Lo que está pasando es que algún servidor DNS está caído. O bien los de Telefónica o bien alguno a los que se sincroniza. Si nos ponemos a mirar un poco más damos enseguida con el problema.

Continue reading

Ahorrando cables con Power Over Ethernet

Las vacaciones de Navidad sirven entre otras cosas para poderse dedicar a arreglar problemillas y hacer chapuzas que uno tiene pendientes por casa. En mi caso, tocaba entre otras cosas buscar una ubicación mejor para mi punto de acceso para que llegue a todos los rincones de la casa y sin que tuviera las caídas de señal que sufro de vez en cuando, hasta donde ningún AP haya llegado antes. El caso es que tras conectarle el cable de red más largo que tenía y un alargador para el transformador, me puse a moverlo. Al final acabó bastante lejos de su antigua ubicación, con un alargador y encima conectado “fuera” del SAI de protección eléctrica.

WAPPOE12 Elementos

Para colmo, tanto cable y alargador pone a mi madre de los nervios, así que tocaba buscar una solución para eliminar cables. Recordando las enseñanzas de la carrera, en una optativa de segundo ciclo comentaban todas las distintas tecnologías para conectividad local y una de ellas es el Power Over Ethernet, una solución para llevar alimentación eléctrica por el mismo cable de datos de las redes de área local ethernet. Por desgracia aún no hay mucho producto en el mercado, pero Linksys, fabricante de mi punto de acceso tiene un pequeño kit para precisamente hacer lo que quería hacer: eliminar el cable eléctrico y poder volver a tener todos los cacharros detrás de la protección del SAI.

Continue reading

Pasó el fin de los días

Y contra todo pronóstico, el mundo parece que no acabó ayer.

Lo que sí que acabó ayer fue 6Bone e IPv6 pasa oficialmente a producción y en IPv6Day, una wiki montada para el evento nos lo contaban. Es una página interesante ya que cuenta con documentación y enlaces a sitios y servicios IPv6 y merece la pena perder un poco de tiempo viendo las posibilidades del v6 -y no hablamos coches.

Para el común de los mortales que tenga conexión a Internet en casa v4, se puede solicitar a un tunnel broker de forma totalmente gratuita la asignación de un rango de direcciones v6 y la creación de un túnel 6to4 para poder acceder a sitios versión 6. Telefónica I+D tiene montado un portal, que aunque no actualiza muy a menudo, tiene un broker gratuito y con instrucciones de instalación para los sistemas operativos más comunes, que incluye a los de Redmond y distribuciones Linux.