L’home dibuixat

puppet és un entorn per a l'automatització de les tasques d'administració de sistemes. Està format per tres entorns:

• Un llenguatge de programació declaratiu per a expressar les configuracions de sistemes.
• Un entorn client/servidor per a la distribució
• Una biblioteca per a la realització de les configuracions

La filosofia de puppet és oferir un llenguatge de programació que permet definir les relacions existents entre els servidors, els serveis oferts i els objectes que formen aquests serveis. Al contrari d'altres plantejaments d'administració, on es detalla com obtenir una configuració determinada per a facilitar un servei, amb Puppet els usuaris indiquen la configuració que volen obtenir, amb un nivell d'abstracció, i és la responsabilitat de Puppet realitzar les tasques necessàries per obtenir la configuració o bé indicar a l'usuari la informació necessària per a la solució dels problemes detectats.

For instance, take a typical Apache web server deployment. Puppet allows one to encapsulate all of the primitives necessary for successful deployment into one reusable object, and that object can even be abstracted to support multiple apache versions. Here's how a simple apache definition might look for a Debian server (Debian uses apache for 1.x versions and apache2 for 2.x versions):

define apache(version, conf, user, group) {
    # abstract across apache1 and apache2
    $name = $version ? {
        1 => "apache",
        2 => "apache2",
    }
    package{ $name:
        install => true,
    }

    file { "$conf":
        user   => "$user",
        group  => "$group",
        source => "$conf",
    }

    # we want the service to restart if the config file changes
    # or if the package gets upgraded
    service { "$name":
        running  => true,
        requires => [file["$conf"], package["$name"]],
    }
}

Now, with this configuration, one can easily set multiple servers up to run different versions of apache. The key benefit here is that the information necessary to run apache correctly is separated from the decision to do so on a given host. For example:

# import our apache definition file
import "apache"

node server1 {
    # use a locally-available config file
    apache {
        version => 1,
        conf  => "/nfs/configs/apache/server1.conf",
        user  => "www-data",
        group => "www-data",
    }
}

node server2 {
    # use a config that we pull from elsewhere
    apache {
        version => 2,
        conf    => "http://configserver/configs/server2/httpd.conf"
        user    => "www-data",
        group   => "www-data",
    }
}

Notice that our node configuration only specifies 1) that a given server is running Apache, and 2) the information necessary to differentiate this instance of apache from another instance. If a given detail is going to be the same for all apache instances (such as the fact that the service should be running and that it should be restarted if the configuration file changes), then that detail does not have to be specified every time an Apache instance is configured.

puppet dóna suport a sistemes POSIX (Linux, OpenBSD, Solaris…). Hi ha una pàgina amb totes les versions a les que es dóna suport.

[docs4beto] WordPress Exploit Scanner, un plugin per a WordPress que permet determinar si la nostra instal·lació ha rebut atacs i s'ha infectat per tal d'utilitzar-la com plataforma per la distribució d'SPAM i similars.

Comprar el llibre

La importància dels tallafocs és ben evident per a qualsevol tipus de xarxa. Les eines disponibles a Linux són prou potents i versàtils per a ser utilitzades en moltíssimes situacions i la prova és el creixent nombre de xarxes on el nivell de seguretat externa està basada en la utilització d'aquest sistema operatiu.

Aquest llibre ve a ser una introducció per a les persones que no tenen una gran experiència amb la implementació i/o disseny de xarxes que es connecten a Internet tot utilitzant un sistema Linux com passarel·la.

Durant els 14 capítols i 2 apèndixs trobem ben detallada la informació necessària per a resoldre aquest problema: hem de connectar a Internet una xarxa d'ordinadors amb un nombre arbitrari d'estacions clients i dos servidors. La connexió la farem amb una estació Linux.

Un aspecte ben tractat al llibre és la separació de les línies de protecció, tant a nivell de xarxa com de transport i d'aplicació. En tots els casos s'explica el necessari per a l'activació de l'auditoria i la protecció de contra la suplantació.

Són especialment interessants els quatre capítols dedicada a l'eina psad (Port Scan Attack Detector), amb tots els detalls sobre la seva instal·lació i configuració. Amb psad podem esbrinar si la nostra xarxa està rebent un escaneig de ports, primer pas per a la realització d'un atac extern.

Finalment, trobem un apartat de com preparar les respostes davant els atacs tot utilitzant fwsnort, una eina que converteix les regles de detecció de l'snort en la seva equivalència de regles del tallafocs iptables. L'aspecte pràctic el trobem en l'anàlisi de com fwsnort és d'ajuda en la prevenció d'atacs específics ben reals.

Com he indicat anteriorment, aquest és un llibre pràctic per a aquells que no tenen experiència prèvia. En aquest punt és important que doni informació sobre com l'iptables enregistra la informació. Així, amb la utilització d'eines com Gnuplot i AfterGlow l'autor ens mostra com podem representar gràficament el tràfic que passa pel tallafocs i com interpretar allò que veiem.

Aquest punt, que sovint s'ignora, es fonamental: no es pot protegir adequadament una xarxa si abans no la coneixem.

Malicious Code 2008, enquesta feta per BT sobre el codi malèvol realitzada entre l'1 de febrer i el 25 de març d'enguany a 278 responsables d'informàtica a organitzacions d'arreu del món amb l'objectiu de recollir les tendències, visions i estratègies actuals i futures per a la protecció de les xarxes informàtiques de l'atac del codi malèvol.

El vídeo amb el comiat de la Mònica López com a dona del temps de TV3.

Avui divendres és la data límit per incloure el teu nom dins del DVD que s'enviarà a la superfície de la Lluna amb el Lunar Reconnaissance Orbiter de la NASA. Serà un DVD similar al que no fa massa es va enviar a Mart.

La quadratura del cercle: aprofitar-se dels pegats per identificar les vulnerabilitats de seguretat i generar exploits per atacar les còpies del programa on encara no s'ha aplicat el pegat: "Automatic Patch-Based Exploit Generation is Possible: Techniques and Implications":

The automatic patch-based exploit generation problem is: given a program P and a patched version of the program P′, automatically generate an exploit for the potentially unknown vulnerability present in P but fixed in P′.

In this paper, we propose techniques for automatic patch-based exploit generation, and show that our techniques can automatically generate exploits for 5 Microsoft programs based upon patches provided via Windows Update.

Although our techniques may not work in all cases, a fundamental tenet of security is to conservatively estimate the capabilities of attackers. Thus, our results indicate that automatic patch-based exploit generation should be considered practical. One important security implication of our results is that current patch distribution schemes which stagger patch distribution over long time periods, such as Windows Update, may allow attackers who receive the patch first to compromise the significant fraction of vulnerable hosts who have not yet received the patch.

Amb força retard… fa ben bé tres mesos que vaig enviar el kit amb la mostra d'ADN per participar al projecte Genographic, finalment la pàgina web mostra els resultats de l'anàlisi per determinar el viatge genètic que m'ha portat fins aquí:

Els resultats indiquen que pertanyo al halogrup J2, originat ara fa 60.000 anys a l'Àfrica. Els altres membres del meu grup són actualment presents a l'àrea Mediterrània: l'orient mitjà, el nord d'Àfrica i Etiòpia; aproximadament el 20% dels nadius del sud d'Itàlia també són membres d'aquest grup. És també un grup habitual entre els jueus (un 30% dels mateixos el comparteixen amb mi).

El halogrup J va participar en la revolució neolítica i se'l considera com l'inventor de les ciutats i de l'agricultura.

Els ancestres directes identificats són un grup d'uns 10.000 individus conegut com M168, que va viure a l'Àfrica i és el grup que va iniciar la colonització de la resta de continents, sent els ancestres de tots els humans nascuts fora del continent on es va originar l'espècie.

El segon grup, el M89, va viure ara fa uns 45.000 anys al nord de l'Àfrica i l'orient mitjà. El tercer grup, el M304, va viure ara fa 15.000 i 10.000 i ja suma milions d'individus. L'últim grup, el M172 va sorgir ara fa 10.000 anys i marca l'expansió i colonització de tot l'arc mediterrani.

Bé, no deixa de ser una curiositat…

El meu ADN és aquest:

Tot just fa una setmana del vot contrari a la reforma de la Constitució Francesa on es declarava les altres llengües diferents del francès que es parlen a França com un "patrimoni de l'estat".

El vot contrari va ser promogut per l'Académie Française que considerava el fer de donar aquest reconeixement com un atac al francès i una denegació de la pròpia existència de França ("il nous paraît que placer les langues régionales de France avant la langue de la République est un défi à la simple logique, un déni de la République, une confusion du principe constitutif de la Nation et de l’objet d'une politique").

Avui l'editorial de Nature, que reprodueix en Marc tot completa, critica amb duresa aquesta intransigència. El títol ja és prou explícit: "La comèdia francesa".

Quelle horreur ! The 40 élite members of the Académie française are jumping out of their fauteuils, incensed that legislation passed by France's National Assembly would put regional languages such as Breton, Occitan, Corse, Alsatian, Catalan and Basque into the constitution as part of the national heritage. The members are particularly outraged that the regional languages would get a mention in the first article of the constitution — which defines France as an "indivisible, lay, democratic and social republic" — ahead of the second article, which designates French as the official language. The academy, created in 1635 to guard the purity of the French language, voted unanimously this month to condemn the move as "defying logic", and being a threat to the nation.

Multilingualism has other practical benefits. French scientists who speak regional languages in addition to the national tongue testify that early bilingualism has helped them go on to master English and other languages. Some even argue that the thought processes involved have helped them to be better and more creative scientists.

Actualització de la guia del NIST Computer Security Incident Handling Guide. Es tracta d'una sèrie de recomanacions, metodologies i millors pràctiques per a l'actuació davant d'un incident de seguretat informàtica (DoS, presència de virus, accés no autoritzat, ús indegut…).

L'objecte del document és ajudar en la identificació de les tasques necessàries a realitzar per la mitigació del risc de patir incidències de seguretat informàtica i la de definir els passos a realitzar davant la constatació de l'existència d'un problema. El document inclou les tasques necessàries per a la detecció, anàlisi, priorització i gestió dels incidents.

Revista IANewsletter, The Newsletter for Information Assurance Technology Professionals. Contingut:

Title: Network Risk Assessment Tool (NRAT)

Overview: We live in an information-centric age where seemingly every aspect of our existence is inextricably dependent on the services of information systems. These systems provide integral support to financial institutions, commercial enterprises, critical infrastructure systems, medical care, public safety, and military operations.

Also Inside:
– Improving the Cyber Incident Damage and Mission Impact Assessment
– Virtual Patching
– NIST NVD & SCAP: Modernizing Security Management
– NIST Publications: Guidance to Improve Information Security
– IATAC Spotlight on Research: Tuskegee University
– IATAC Spotlight on Subject Matter Expert (SME): Faculty Department of Computer Science at Tuskegee University
– Ask the Expert: As Employee 2.0

Divendres serà, oficialment, l'últim dia de Bill Gates a Microsoft. El setmanari Newsweek hi dedica un especial, Microsoft After Gates (and Bill after Microsoft. Un dels articles és especialment interessant de llegir, Return of the '70s Weirdos on es fa una reconstrucció de la famosa foto dels primers empleats de Microsoft:

Una altra de les icones dels primers anys de Microsoft és la foto de Bill Gates en ser detingut per cometre una infracció de tràfic a Albuquerque.

També hi ha qui és el futur a Microsoft: After Bill Gates, five possible futures of Microsoft o bé qui serà el futur Bill Gates.

Un dels moments més interessants que recordo és aquesta història sobre l'origen del Control-Alt-Del:

Get the latest Flash Player to see this player.