The Information Systems and Computer Applications examination covers material that is usually taught in an introductory college-level business information systems course.

Systems Computers U.S.A. Inc.

Cómo configurar correctamente la seguridad en nuestro router

+TAG 

 

 

Este será un artículo que dedicaremos a mostrar cómo configurar correctamente la seguridad de nuestro router ADSL inalámbrico, esa cajita que nos instaló nuestro proveedor de internet cuando contratamos el servicio, o que compramos para tener WiFi; y, que habitualmente muchos dejan tal y como fue instalada, sin pensar que, mantenerla en esas condiciones es lo mismo que dejar la puerta de nuestra casa abierta, solo que en este caso se trata de nuestra puerta virtual.

Para empezar y antes de adentrarnos en la seguridad en routers, comenzaremos por explicar qué cosa es un router ADSL inalámbrico o enrutador ADSL inalámbrico. Este equipo es el que permite que los paquetes de datos procedentes o con destino a la red sean correctamente encaminados desde y hacia los ordenadores conectados, ya sea mediante cable o de manera inalámbrica

Este es un equipo que por lo general, realiza varias funciones.

  • Modem ADSL: modula las señales enviadas desde red local para que puedan transmitirse por la la línea ADSL hacia la red (internet) y demodula las señales recibidas desde esta, para que los equipos de la red local puedan interpretarlas.
  • Puerta de enlace: es la salida hacia internet de la red local.
  • Enrutador: dirige los paquetes procedentes de internet hacia el equipo destinatario en la red local y viceversa. La identificación de origen y destino la realiza de acuerdo a las direcciones IP correspondientes.
  • Punto de acceso inalámbrico y switch: permite la comunicación inalámbrica con los equipos de la red local, actuando como punto de acceso, incorporando además, por lo regular, un switch con 2 o 4 puertos de red.

Configuración del router por defecto

seguridad en routers

Los proveedores de servicios de internet (ISP) instalan los router con una configuración predeterminada en la que están fijados los parámetros que garantizan la conectividad y el servicio, pero con un número muy limitado de opciones de seguridad previamente configuradas.

Habitualmente la configuración de seguridad está basada solamente en una clave de acceso inalámbrica, que utiliza un sistema de cifrado WEP. Desafortunadamente, este sistema de cifrado es fácil de descifrar y para ello existen numerosas herramientas disponibles en la red. Además, el nombre de usuario y contraseña de administración que traen por defecto los equipos es además básico y predecible.

¿Qué necesitamos tener para empezar la configuración?

Antes de comenzar, debemos asegurarnos de contar con los elementos necesarios para acometer el trabajo:

  • Manual de Usuario del router que vamos a configurar, ya sea en versión impresa o electrónica. Es necesario asegurarse de que se corresponde exactamente con la marca y modelo del equipo. En la mayoría de los casos, el ISP entrega junto con elrouter una versión impresa resumida del manual, no obstante, también está disponibles para descarga en el sitio del fabricante y/o en el del ISP.
  • Cable de red: normalmente el ISP entrega un cable junto con el equipo, pero cualquier cable normal de red nos puede servir.
  • Un ordenador, preferiblemente uno portátil, por contar estos tanto con red inalámbrica como cableada.

Configurando nuestro router

Ya entrando en materia, comenzaremos por decir que los routers ADSL inalámbricos se configuran mediante una interfaz de administración web contenida en el firmware del equipo. Para acceder a esta interfaz, solamente se requiere un ordenador conectado alrouter y un navegador web.

Aunque la conexión del ordenador al router puede realizarse tanto de manera inalámbrica como por cable, por razones de comodidad recomendamos que se realice de manera cableada. Por otra parte, es necesario que las preferencias de conexión de red del navegador web, esté configurado “Sin proxy” durante todo el proceso.

seguridad en routers

Conectando el ordenador al router vía LAN

Comenzaremos conectando el cable de red en nuestro ordenador y luego conectamos el otro extremo en uno de los puertos de red del router. No deben desconectar el cable WAN, usualmente el conector está identificado en color amarillo. Cualquiera de los puertos de red restantes puede ser utilizado.

seguridad en routers

Una vez conectado el cable de red, comprobaremos que la conexión de red está funcionando correctamente. Para ello debemos deshabilitar la red inalámbrica en nuestro ordenador y proceder a abrir cualquier página en nuestro navegador. Si la página se abre normalmente, es que la conexión LAN está correctamente establecida, con lo que podemos comenzar a trabajar.

seguridad en routers

Accediendo a la interfaz de administración

El primer paso será buscar en el manual de usuario cuál es la dirección que debemos teclear en el navegador para acceder a la interfaz de administración del router, así como el nombre de usuario y contraseña a utilizar. Generalmente es 192.168.1.1 o bien 192.168.1.254, así como el usuario y contraseña de acceso suele ser “admin” en ambos casos (sin comillas), de todas formas, atención a lo que dice el manual de usuario de su equipo.

Si los datos que aportamos son los correctos, entonces ya estamos dentro de la interfaz web de administración de nuestro router. La misma difiere entre las distintas marcas y modelos de equipos existentes en el mercado, pero por lo regular mantienen ciertas similitudes en cuanto a la forma de presentar los datos y los nombres de las opciones del menú. Si en lo adelante, la opción a utilizar que mencionamos no aparece exactamente así en su equipo, debe buscar una con nombre similar o de igual significado. No se preocupe demasiado, la mayor parte de las veces, cada pantalla de menú que se le muestre va acompañada de una ayuda visual para auxiliarlo en el proceso.

Guardar una copia de seguridad de la configuración del router

En la mayoría de los routers, tenemos la opción de realizar copias de seguridad de la configuración y además restaurar hacia el equipo las configuraciones previamente guardadas. Al hacer clic sobre la opción guardar copia de la configuración actual (que es uno de los nombres bajo los que puede aparecer), se nos mostrará una ventana con un navegador de archivos para que seleccionemos la carpeta donde vamos a realizar la salva.

Durante el tiempo que dure la realización de la copia no debemos desconectar ni manipular el router o el ordenador. Este proceso se realiza bastante rápido, pero en ocasiones, dependiendo del tipo de conexión utilizada, es posible que demore un poco más.

Frecuentemente en esta misma pantalla de configuración encontramos la opción de restaurar el equipo a una configuración previamente guardada. En caso de que durante la modificación de los parámetros de seguridad este deje de conectarse correctamente a internet o nos bloquee completamente el acceso a él, deberemos hacer uso de esta opción para regresar al equipo al estado original en que se encontraba.

seguridad en routers

Cambiar la contraseña de administración y mejorar la seguridad

El cambio de la contraseña de administración de nuestro equipo es el primer y más importante paso a tomar para incrementar la seguridad de nuestra red. Usualmente existe una opción dentro del menú relacionada con la administración de credenciales, como por ejemplo “establecer contraseña“. Para realizar el cambio debemos suministrar primero la contraseña actual y después introducir dos veces la nueva contraseña.

seguridad en routers

Este es un buen momento para anotar en un lugar seguro la nueva contraseña de administración establecida, que será la que necesitaremos de ahora en adelante para acceder a la interfaz de configuración. Favor de tomar nota de que esta contraseña NO es la utilizada como clave de acceso a la red inalámbrica.

Una vez realizados estos cambios, debemos pinchar en el botón correspondiente para hacerlos permanentes. Esta opción puede aparecer como “Aplicar”, “Guardar” o “Salvar”. Al realizar esta acción, puede mostrarse una barra de progreso. Durante este proceso y hasta tanto la barra no llegue al final, deberemos abstenernos de manipular el router o el ordenador.

Al concluir, automáticamente nuestro navegador nos deberá mostrar nuevamente la ventana para introducir las credenciales. El nombre de usuario no ha sufrido cambios, por lo que será el mismo que aparece en el manual de usuario y que utilizamos anteriormente, mientras que la contraseña es la nueva que acabamos de establecer.

Cambiar el nombre SSID de la red

El SSID es el acrónimo de service set identifier y se refiere al nombre que identifica a nuestra red inalámbrica. En ocasiones los ISPs asignan SSIDs a los routers relacionados con su propio nombre, por ejemplo, en España, los routers instalados por la compañía ONO tienen como SSID un nombre que comienza por “ONO” seguido de otros 4 caracteres alfanuméricos.

Para cambiar el SSID o nombre de la red inalámbrica deben acceder a alguna opción del menú principal que indique datos de red inalámbrica, por ejemplo en mi router Netgearsería: “configuración inalámbrica” .Una vez hecho clic sobre esta opción en el menú se les mostrarán datos o información de la red que pueden cambiar, específicamente el SSID o nombre que identifica a la red inalámbrica.

seguridad en routers

Lo único que tenemos que hacer es escribir el nuevo nombre que hemos seleccionado, teniendo la precaución de no utilizar caracteres extraños que luego dificulten mucho su escritura en dispositivos móviles con teclados táctiles en pantalla.

Cambiar el sistema de cifrado y la clave de acceso

En la misma pantalla también deben aparecer las opciones de sistemas de cifrado a utilizar. Usualmente, WEP es el sistema predeterminado en la mayoría de los routers, pero como comentamos anteriormente, es el sistema más frágil de todos. Una opción es cambiarlo por el de mayor grado de complejidad, que resulta ser WPA-PSK [TKIP] + WPA2-PSK [AES]. Para ello solo marcaremos con el ratón esa opción y a continuación la pantalla nos debe mostrar la posibilidad de introducir una clave de acceso.

seguridad en routers

Esta clave de acceso será la que utilizaremos para autenticar cualquier equipo en la red inalámbrica. Es necesario señalar que algunos dispositivos muy antiguos no son capaces de manejar el sistema de cifrado WPA-PSK [TKIP] + WPA2-PSK [AES]. Si tuvieras equipos con esa limitación deberás decidir entre no conectarlos a la red o utilizar un sistema de cifrado menos seguro.

seguridad en routers

Una vez realizados estos cambios, debemos volver a pinchar en el botón correspondiente para hacerlos permanentes, esta opción puede aparecer como “Aplicar”, “Guardar” o “Salvar”.

Configurar la lista de acceso por tarjeta inalámbrica

La configuración de la lista de acceso por tarjeta inalámbrica también es conocida comoanclaje por dirección MAC. La configuración de este parámetro crea un listado de las direcciones MAC de los equipos autorizados a conectarse a nuestra red, de manera tal que cualquier otro equipo que lo intente, aún cuando logre descubrir nuestra clave de acceso correcta, será rechazado por el router.

Podemos encontrar esta opción en alguna pestaña o ventana cuyo título sea “Configuración inalámbrica avanzada” o “Seguridad inalámbrica”, puede variar un poco pero generalmente los fabricantes ponen nombres similares.

seguridad en routers

El sistema nos solicitará las direcciones MAC de los dispositivos que autorizamos a conectarse a la red, debemos introducirlas de una en una.

Para saber tu dirección MAC en Windows debes abrir el menú inicio y escribir ejecutar, se te abrirá una pequeña ventana en la cual debes escribir cmd y presionar Enter, ahí se te abrirá una ventana con fondo negro llamada terminal o consola, en ella escribes lo siguiente:
ipconfig

Es conveniente aclarar que cuando esta opción está activada, cada vez que necesitemos conectar un nuevo equipo a la red, deberemos acceder a la interfaz de administración y agregar la dirección MAC del mismo.

Desactivar la emisión SSID

La emisión SSID es la función que mantiene al router radiando constantemente el nombre SSID del equipo. O sea, que cualquiera con un tableta, laptop o celular detectará que existe una red inalámbrica cerca, la nuestra. Es aconsejable esconder nuestra red desactivando la emisión del SSID.

Pueden ocultar (o mostrar luego si lo desean) su red mediante una opción que distinguirán claramente, generalmente ubicada en el apartado de “Seguridad inalámbrica” (o similar), pueden ver mediante la imagen anterior cómo sería en un Netgear. Simplemente descarquen la opción “Activar emisión SSID” o “Emisión SSID”.

seguridad en routers

Desactivar la emisión SSID tiene una desventaja; cuando necesites conectarte, tus equipos deberán tener configurado de antemano el acceso a tu red y en el caso de que necesites conectar un nuevo equipo, entonces tendrás que teclear el nombre SSID de la red oculta para que se conecte a la misma. En cualquier caso, es un detalle a tener en cuenta.

Conclusiones

Con esto hemos concluido la configuración de los parámetros de seguridad de nuestrorouter ADSL inalámbrico, ahora solo nos resta volver a probar que el mismo funciona correctamente y que nuestros equipos se conectan y navegan por la red sin problema alguno. Una vez realizadas las pruebas y comprobado que todo funciona sin problemas, nos quedaría guardar la nueva configuración.


Heartbleed y certificados SSL: por qué hay que renovarlos y por qué no se está haciendo bien . Genbeta by Guillermo Julián

 
Heartbleed

A estas alturas ya es imposible que no hayáis oído hablar de Heartbleed. Después del descubrimiento de uno de los fallos de seguridad más importantes en la historia de Internet, las empresas y startups han tomado las medidas necesarias para corregirlo y mitigar daños, incluyendo avisar a los usuarios para que cambien sus contraseñas.

Entre las medidas para mitigar los daños se encuentra la revocación y renovación de los certificados SSL. Recordemos que en HTTPS (y demás conexiones SSL/TLS) esos certificados sirven para cifrar las comunicaciones y asegurarte de la identidad del servidor. Si un atacante obtiene la clave privada podría escuchar y descifrar el tráfico que creemos seguro.

Tras la revelación, se generó una discusión sobre si se podían filtrar las claves SSL con este ataque. No había pruebas determinantes de que se pudiese. Cloudflare, una empresa de servicios para sitios web (CDNs, seguridad, estadísticas…) y una de las primeras en conocer el fallo – 12 días antes de su publicación -, argumentó que era extremadamente difícil que esas claves se filtrasen salvo que se hubiese reiniciado el servidor hace poco.En su blog tenéis los detalles técnicos de su teoría.

Sin embargo, se ha demostrado que, al contrario de lo que proponía Cloudflare, sí se pueden filtrar esas claves. De hecho, las pruebas de concepto no son especialmente complicadas ni costosas.

Revocar los certificados no es un camino de rosas

Netcraft - SSL reissues

Si antes ya era urgente cambiar los certificados, ahora lo es más. Por desgracia, este proceso está lejos de ser perfecto.

El primer problema es la propia infraestructura. Los procedimientos no están pensados para revocaciones a gran escala de tantos certificados, y se especula que incluso podrían fallar y caerse en algún caso.

Además, los navegadores gestionan mal la revocación de certificados. En el momento en el que Facebook (por ejemplo) dice que su certificado SSL está revocado, se publica su número de serie en las listas CRL y en los servidores OCSP. La teoría es que los navegadores se conecten a estos sitios para comprobar qué certificados han dejado de ser válidos.

En la práctica, sólo Internet Explorer y Opera lo gestionan bien y muestran un aviso al usuario diciendo que el certificado se ha revocado. Chrome y Firefox ignoran en muchos casos esas listas si el sitio web no tiene certificados de validación extendida (EV).

En Chrome se pueden volver a activar las comprobaciones en Ajustes: hay que pulsar el enlace “Ajustes avanzados” y, en la sección HTTPS/SSL, pulsar en “Comprobar certificados revocados”. En Firefox, por desgracia, las listas CRL ya no están soportadas en las últimas versiones y no se pueden volver a activar (o no he encontrado la forma de hacerlo).

Otro problema es que no se están siguiendo los procedimientos todo lo bien que deberían seguirseSegún Netcraft, además de fallos en los nombres u otros detalles en los nuevos certificados, muchos administradores no están revocando sus certificados, sino simplemente renovándolos. Esto abre la puerta a que un atacante siga usando sin problemas un certificado ya comprometido.

En total, sólo unos 30.000 sitios web habrían renovado sus certificados de los 500.000 que estarían afectados según las estimaciones de Netcraft. Habrá que estar atentos a esas revocaciones y ser precavidos a la hora de conectarnos a redes en las que no confiemos del todo. Dicho de otra forma: tenemos Heartbleed para rato.


La noticia Heartbleed y certificados SSL: por qué hay que renovarlos y por qué no se está haciendo bien fue publicada originalmente en Genbeta por Guillermo Julián.


¿Qué es EMV, y por qué es un tema candente?

 

Quizás las conozcas por nombres diversos: EMV (Europay MasterCard Visa), tarjetas con chip integrado, o simplemente tarjetas inteligentes. Pero como sea que las llames, son un tema candente en lo que respecta a fraudes de tarjetas de crédito. Algunos no están familiarizados con esta tecnología, y otros la conocen sólo como algo frustrante al viajar. En esta publicación explicaremos la diferencia entre este tipo de tarjetas y las habituales, y por qué son un foco de discusión luego de la fuga de datos de Target.

¿La quieres con cinta magnética o chip?

La tecnología de banda magnética a la que estamos tan habituados tiene alrededor de 40 años. Sus primeras versiones funcionaban como la cinta de los casetes de audio: almacenaban datos en un revestimiento de óxido de hierro contenido en una tira de plástico anexada a la tarjeta, que luego era pasada por un lector. Poco ha cambiado de esta tecnología desde sus comienzos, y hay pocos instrumentos con los que proteger estas tarjetas de un uso fraudulento.

En tanto, el uso de tarjetas con chip se hizo frecuente para transacciones de crédito y débito a principios de 1990. Tres compañías se unieron para implementar estos servicios: Europay, Mastercard y Visa (de ahí su nombre). En vez de almacenar los datos con tecnología magnética, tienen un chip unido a la tarjeta. Esta es la tecnología por defecto en algunos países del mundo, y los sistemas de pago con lectores de tarjetas comienzan a hacerse menos comunes.

Lo distintivo es que cuentan con un microprocesador unido a ellas, que actúa como una pequeña computadora. Se accede de forma interactiva a los datos del chip, el cual requiere de respuestas específicas de un lector para poder revelar su información.Esto hace que, para los cibercriminales, la réplica de estas tarjetas sea significativamente más dificultosa y costosa.

Los datos específicos pueden variar un poco: cada una tiene un chip y un código PIN, por lo que para llevar a cabo un pago será necesario leer la información bancaria y luego ingresar el código correspondiente. Esto evidencia que los usuarios proveen dos mecanismos de autenticaciónalgo que el usuario tiene (la tarjeta) y algo que el usuario conoce (el código PIN).

El proceso de compra es similar al utilizado con tarjetas de débito, excepto que no será deslizada por un lector, sino que será ingresada dentro de él. Algunos plásticos contienen además una banda magnética para llevar a cabo transacciones en lugares que no dispongan de esta tecnología, y en algunos casos no se requiere el código PIN, sino sólo la firma.

¿Cómo ayudan a prevenir el fraude?

Mientras una tecnología se mantenga más tiempo sin cambios, los cibercriminales tendrán más oportunidades de encontrar una forma de vulnerarla. Esto es justamente lo que sucedió con las tarjetas con banda magnética: cuatro décadas fueron suficientes para que entiendan y aprendan cómo robar la información que contienen, lo que representa una gran cantidad de fraudes. En la reciente fuga de datos de Target, esto se llevó a cabo gracias a malware que recuperaba de la memoria RAM la información de las tarjetas de crédito ingresadas en los dispositivos donde se efectuaban los pagos, y finalmente se la distribuía al criminal.

Esta técnica evidenció que aunque los vendedores tuvieran los datos cifrados en sus discos y aunque la información se transmitiera por Internet, no estaba protegida. Cabe destacar que si bien el uso de cifrado disminuye significativamente el tiempo durante el cual los datos están en riesgo, algunos atacantes utilizan malware diseñado paraaprovechar el pequeño tiempo donde se encuentran expuestos.

Entonces, el uso de tarjetas EMV no mitiga los ataques utilizando malware que recupere los datos de la memoria RAM, porque no todas las transacciones requieren la presencia física de una tarjeta de crédito. Que los cibercriminales no cuenten con un plástico limita mucho la utilidad que puedan darle; no obstante, hay formas de utilizar estas tarjetas inteligentes de forma no presencial, y esta táctica ha sido la elegida por ellos durante años.

La mayoría de los casos de fraude en países que utilizan esta tecnología son transacciones no presenciales, como por ejemplo compras en línea, donde el chip no puede ser utilizado para validación. Algunos comercios, por ejemplo los de Canadá, han encontrado una forma de combatir esto, requiriendo que los usuarios de las tarjetas inicien sesión en su cuenta bancaria en vez de proveer de información financiera directamente a los vendedores.

La implementación importa

Como podemos observar en el caso de las restricciones de Canadá, la forma en que los comercios implementan el EMV hará una gran diferencia respecto a cómo esta tecnología reducirá el fraude. Idealmente se busca que:

  • Una tarjeta con chip no tenga banda magnética
  • Haya un número de intentos muy limitado para ingresar el código PIN
  • Una firma nunca sea aceptada a cambio de un código PIN
  • Se establezcan medidas de seguridad adicionales para asegurar las compras no presenciales

En todo lo relativo a seguridad y privacidad, la meta es hacer que el acceso a nuestros datos sea prohibitivamente dificultoso o complicado para nuestros adversarios. Si bien migrar de la tecnología de tarjetas con banda magnética hacia aquellas con chip no terminaría con el fraude bancario, sería un paso hacia la dirección correcta y nos encaminaría hacia mejores medidas de seguridad en transacciones con tarjetas de crédito.

Créditos imagen: ©DennisSylvesterHurd/Flickr 

El post ¿Qué es EMV, y por qué es un tema candente? aparece primero en We Live Security en Español.

 
 

Gentoo Hardened

 
Security Art Work by Joel Sevilleja 

En este post voy a hablar sobre una distribución, que por alguna misteriosa razón que no llego a entender, no suele ser utilizada. Hablo por supuesto, de Gentoo en su modalidad “Hardened”.

(N.d.A: Los siguientes párrafos evangelizan hacen una introducción a Gentoo, por lo que si el lector ya la conoce, puede saltar directamente a Gentoo Hardened)

Gentoo es una distribución rolling-release (lo que quiere decir que la distribución se actualiza continuamente con nuevas funcionalidades, además de para solucionar bugs). No obstante, su mayor característica es que los “paquetes” han de ser compilados por el usuario con una herramienta llamada “emerge”, que forma parte del sistema Portage.

Seguramente, el lector debe estar pensando que compilarse los propios paquetes es una pérdida de tiempo y que mejor gastar una Ubuntu / Debian / CentOS que ya te lo dan todo hecho. Pero, estamos en el año 2014 y si bien a comienzos del año 2000 la instalación de un sistema de escritorio podía durar una semana, con una máquina moderna podemos tener un sistema funcional en una noche, siempre y cuando sepamos lo que estamos haciendo. Y fíjense que estoy hablando de un sistema de escritorio, donde suele haber mayor cantidad software (y de mayor tamaño), que en un servidor.

Utilizar Gentoo tiene una serie de ventajas, de las que destacan las siguientes:

  • El sistema es mucho más flexible: se puede mezclar software de distintas ramas (Gentoo dispone de dos ramas: testing y estable) sin problemas, ya que todo se compila y se enlaza a medida, con una granularidad definida por el usuario, y no por los mantenedores de la distribución.
  • Gentoo soporta varias ramas de cada paquete, y no se centra en mantener la última versión ofrecida por el desarrollador. Por ejemplo, ahora mismo Gentoo soporta PHP en sus versiones 5.3, 5.4, 5.5 y 5.6 (este último hard-masked), y dentro de cada rama, soporta varias sub-versiones, como por ejemplo PHP 5.5.7, 5.5.9 y 5.5.10.
  • El software se compila para las características de la máquina. Basta con introducir la variable CFLAGS con el valor “-march=native -O2 -pipe” en el fichero/etc/portage/make.conf y GCC hará todo el trabajo por nosotros, optimizando incluso para la cantidad de líneas de caché de las que dispongamos.
  • El sistema portage define las “USE FLAGS”, que no son más que banderas que activan o desactivan características del software. Por ejemplo, mi sistema puede no tener un dispositivo Bluetooth. Entonces, ¿bajo qué lógica tengo que instalar dependencias de Bluetooth?
  • Si alguien desarrolla un parche para un software que añade alguna característica que necesito o veo atractiva, en la mayoría de distribuciones debo bajarme los fuentes, compilarlos e instalarlos a mano, haciendo que con el tiempo, el sistema de ficheros esté lleno de basura porque esos ficheros no están bajo el control del gestor de paquetes de turno. En Gentoo basta con dejar caer el parche en “/etc/portage/patches/
 
 

Semi-Synchronous Replication at Facebook

 After intensive testing and hack, we started using Semi-Synchronous MySQL Replication at Facebook production environments. Semi-Synchronous Replication itself was ready since MySQL 5.5 (GA was released 3.5 years ago!), but I’m pretty sure not many people have used in production so far. Here are summary of our objective, enhancements and usage patterns. If you want to hear more in depth, please feel free to ask me at Percona Live this week.

Objective / Why Semisync?

  The objective of the Semi-Synchronous Replication is simple — Master Failover without data loss, without full durability.

 First, let me describe why the objective is difficult without semisync.

 There are a couple of fast slave promotion (master failover) solutions. My own MHA covers both fully automated and semi-automated MySQL failover solution. Fully automated means both failure detection and slave promotion are done automatically. Semi automated means failure detection is not done but slave promotion is done by one command. Time to detect failure is approximately 10 seconds, and actual failover is taking around 5 to 20 seconds, depending on what you are doing during failover (i.e. forcing power off of the crashed master will take at least a few seconds). Total downtime can be less than 30 seconds, if failover works correctly. I’m using term “Fast Failover” in this post, which includes both automated and semi-automated master failover.
 In MySQL 5.6, GTID based failover is also possible. Oracle’s official tool mysqlfailover automates MySQL master failover using GTID. The latest version of MHA also supports GTID.

 Both mysqlfailover and MHA rely on MySQL replication. MySQL replication is asynchronous. So there is a very serious disadvantage — potential data loss risk on master failover. If you use normal MySQL replication and do automated master failover with MHA/mysqlfailover, you can do failover quickly (a few seconds with MHA), but you always have risks of losing recently committed data.

 
 If you don’t want to take any risk of losing data, you can’t do fast master failover with normal MySQL replication. You have to do the following steps in case of master failure.

- Always set fully durable settings on master. By fully durable I mean setting innodb_flush_log_at_trx_commit=1 and sync_binlog=1.
- On master crash, wait for a while (10~30 minutes) until the crashed master recovers. Recovery takes long time because it involves OS reboot, storage and filesystem recovery, and InnoDB crash recovery.
- If the crashed master recovers, you can continue services without losing any data. Since all data exist on the master, slaves can continue replication. BTW official 5.6 had a bug causing all slaves broken in this scenario, but this bug was fixed in 5.6.17.
- If the crashed master doesn’t recover (H/W failure etc), you need to promote one of slaves to a new master. There is a risk of losing some data but you don’t have any other choice.

 This “safer” approach has two issues.
- Longer downtime. This is because you have to wait for master’s recovery.
- You can’t eliminate risks of losing data. If master is dead and never recovers, your risk of losing data is the same as doing fast failover.

 So, in bad cases, you have to suffer from both longer down time and losing data.

 Semi-Synchronous Replication is helpful to prevent from losing data.

 If you do not care about data loss risk, there is no reason to use Semi-Synchronous replication. You can use normal MySQL replication and do fast failover with mysqlfailover or MHA. Facebook is one of the companies to care about data loss risk with MySQL, so that’s why we were interested in Semi-Synchronous replication a lot.
 
 Semisync replication was originated from Google in 2007. Official MySQL supported from 5.5. Actual implementation algorithm was substantially different from Google’s.

 MySQL Cluster and Galera offers synchronous replication protocol in different ways. I do not cover them in this blog post.

 Semi-Synchronous Replication currently has two types of different algorithms — Normal Semisync and Loss-Less Semisync. Let me explain the differences.

Differences between Normal Semisync and Loss-Less Semisync

 Loss-Less Semisync is a new Semisync feature supported in official MySQL 5.7. Original implementation was done by Zhou Zhenxing as “Enhanced Semisync” project, and also filed as a bug report. Oracle implemented based on his idea, and named Loss-Less semisync for it. So Enhanced Semisync and Loss-Less Semisync have same meanings. I say Loss-Less semisync in this post.

 Normal semisync and loss-less semisync work as below.

1. binlog prepare (doing nothing)
2. innodb prepare (fsync)
3. binlog commit (writing to fscache)
4. binlog commit (fsync)
5. loss-less semisync wait (AFTER_SYNC)
6. innodb commit (releasing row locks, changes are visible to other users)
7. normal semisync wait (AFTER_COMMIT)

 On normal semisync(AFTER_COMMIT), committing to InnoDB is done before waiting for ack from semisync slave, so the committed rows are visible from applications, even though semisync slaves may not have received the data. If master is crashed and none of the slaves received the data, the data is lost but applications may have seen them. This is called phantom reads, and in many cases it’s problematic.

 Loss-less semisync (AFTER_SYNC) avoids the problem. Loss-less semisync commits InnoDB after getting ack from one of semisync slaves. So when committed data is visible from applications, one of the semisync slaves have received that. Phantom read risk is much smaller: if both master and the latest semisync slave are down at the same time, data is lost. But it’s much less likely to happen compared to normal semisync.

 To avoid data loss and phantom reads, Normal Semisync can’t meet your expectations. Using Loss-Less Semisync is needed.

 With Loss-Less Semi-Synchronous replication, committed data should be on one of the slaves, so you can recover from the latest slave. You can always do fast failover here.

Reduced Durability

 When you do fast failover, you can set reduced durable settings on master as well as slaves. Reduced durability means innodb_flush_log_at_trx_commit != 1 and sync_binlog != 1. With Semi-Synchronous replication, you can immediately start failover when master is down. When promoting a slave to the new master, identify the latest slave (highly likely one of the Semi-Synchronous slaves but not guaranteed) and apply differential logs to the new master. Master’s durability does not matter here, because there is no way to access master’s data during failover. So you can safely reduce durability. Reducing durability has a lot of benefits.
- Reducing latency on (group) commit because it doesn’t wait for fsync().
- Reducing IOPS because the number of fsync() calls is significantly reduced: from every commit to every second. Overall disk workloads can be reduced. This is especially helpful if you can’t rely on battery/flash backed write cache.
- Reducing write amplification. Write volume can be reduced a lot, even less than half in some cases. This is important especially when using flash devices, because less write volume increases flash life expectancy.
 

Requirements for Semisync Deployment

 To make Semisync work, you need at least one semisync reader (slave with semisync enabled) within the same (or very close) datacenter as the master. This is for latency. When semisync is enabled, round-trip time(RTT) between master and one of the semisync slaves is added to transaction commit latency. If none of the semisync slave is located within close datacenter, RTT many take tens or hundreds of milliseconds, which means you can commit only 10~100 times from single client. For most environments, this will not work. You need a slave within close datacenter.

 To make fast failover work without data loss, you need to make sure Semi-Synchronous Replication is always enabled. MySQL Semisync has a couple of points where optionally semisync is disabled:
- Exceeding timeout (exceeding rpl_semi_sync_master_timeout milliseconds to get ACK from all of the semisync slaves)
- No semisync slave (can be controlled via rpl_semi_sync_master_wait_no_slave)
- Executing SET GLOBAL rpl_semi_sync_master_enabled=0

 If you want to enable semisync always, you make sure these scenario won’t happen. Set infinite or very long timeout, and have at least two semisync readers.

 

 Facebook Enhancements to Semi-Synchronous Replication

 
 We spent a lot of time for testing Semi-Synchronous replication in 2013. We found some S1 bugs, serious performance problems, and some administration issues. Our MySQL Engineering team and Performance team worked for fixing issues and finally our Operations team deployed Semisync in production.

 Here are our major enhancements.

Backporting Loss-Less Semisync from 5.7

 As described above, Loss-Less Semisync is needed to prevent data loss and phantom reads, so we backported Loss-Less Semisync patch from official MySQL 5.7 to our Facebook MySQL 5.6 branch. It will be merged to WebScaleSQL branch soon.

 Interestingly, when we tested semisync performance, Loss-less semisync gave better throughput than normal semisync, especially when the number of clients is large. Normal semisync caused more mutex contentions, which was alleviated with loss-less semisync. Since Loss-less semisync has better data protection mechanism, we concluded there is no reason to use normal semisync here.

Semisync mysqlbinlog

 Starting from MySQL 5.6, mysqlbinlog supported remote binlog backups, by using –raw and –read-from-remote-server. On remote binlog backups, mysqlbinlog works like a MySQL slave. mysqlbinlog connects to a master, executing BINLOG DUMP command, then receiving binlog events via MySQL replication protocol. This is useful when you want to take backups of the master’s binary logs. Slave’s relay logs and binary logs are not identical to master’s binary logs, so they can’t directly be used as backups of the master’s binary logs.

 We extended mysqlbinlog to speak Semisync protocol. The reason of the enhancement is that we wanted to use “semisync mysqlbinlog” as a replacement of local semisync slaves. We usually run slaves on remote datacenters, and we don’t always need local slaves to serve read requests / redundancy. On the other hand, as described at above “Requirements for Semisync Deployment” section, in practice at least two local semisync readers are needed to make semisync work. We didn’t like to run additional two dedicated slaves per master just for semisync. So we invented semisync mysqlbinlog and use it instead of semisync slaves, as shown in the below figure.

 Compared to semisync slave, semisync mysqlbinlog has a lot of efficiency wins.

- semisync slave has lots of CPU overheads such as query parsing, making optimizer plans. semisync mysqlbinlog does not have such overhead.
- semisync slave writes 2x (relay log and binary log). semisync mysqlbinlog writes binary log only.
- For semisync slave, the way to write to relay log is not efficient. IO thread writes to kernel buffer per each binlog event. For regular auto-committed transactions, it consists of three binlog events (query BEGIN, query body, and commit XID). When using InnoDB only, writing to kernel buffer for every XID event is enough (though it does not cover DDL). By writing to kernel buffer for every XID event, it makes the frequency of kernel buf flush by less than 1/3. semisync mysqlbinlog could easily do such optimizations. We have not done yet, but it is even possible to make mysqlbinlog send back ACK before writing, to a file, and the extension is very easy.
-  Slave causes contention between SQL thread and I/O thread, so IO thread itself slows down, which slows down semisync master throughput too. Semisync binlog does not have such overhead because there is no SQL thread.

 With mysqlbinlog reader, master failover step becomes a bit tricky. This is because mysqlbinlog is not mysqld process so it doesn’t accept any MySQL command, such as CHANGE MASTER. When doing master failover, it is highly likely that one of local mysqlbinlog has the latest binary log events, and the events should be applied to a new master. New MHA version (0.56) supported the feature.

 In this configuration, mysqlbinlog processes need to be highly available. If all semisync mysqlbinlog processes are down, semisync is stopped or suffering from long wait time.. 

Reducing plugin_lock mutex contention

  Prior to MySQL 5.6.17, there was a performance bug that transaction commit throughput dropped significantly when there were non-semisync many slaves or binlog readers, even if there was only a few semisync readers. On typical deployments, there are two or three semisync readers and multiple non-semisync readers, so performance drop with many non-semisync readers was annoying.
 The performance drop was caused by “plugin_lock” MySQL internal mutex on master. For those who don’t know, semisync is a plugin in MySQL, and it’s not installed by default. The plugin_lock mutex was needed by semisync binlog dump threads only, but actually the mutex was held by all binlog dump threads. We looked into the problem further.
 First we tried replacing plugin_lock mutex with read/write mutex. It actually did not help much. But Linux profiling tools showed that plugin_lock still caused contentions. During profiling, we learned that most/all glibc rw-locks had an internal lock (mutex-like thing) on which threads could stall. The pattern was get lock, get exclusive access to cache line to modify data, release lock. This was relatively expensive for plugin_lock mutex, since it doesn’t do any expensive I/O inside.

 So switching plugin_lock to read/write lock was actually a bad idea. It was needed to remove below plugin related locks as long as possible. There are four major plugin related mutexes in MySQL.
- plugin_lock
- plugin_lock_list
- plugin_unlock
- plugin_unlock_list

 We also noticed that Delegate classes had read/write locks and they caused very hot contentions (especially Binlog_transmit_delegate::lock). The read/write lock protects a list, so probably switching to lock-free list was possible. BTW we noticed that performance schema did not collect mutex statistics on the mutexes on Delegate classes (bug#70577). 

 The real problem was all of the above locks were held not only by semisync binlog readers, but also non-semisync binlog readers.

 Based on the above factors, we concluded removing all plugin mutexes was not easy, then we decided to optimize to hold these locks by semisync binlog readers only, and not holding by non-semisync binlog readers. The below is a benchmark result.

 x-axis was the number of non-semisync binlog readers, y-axis was concurrent INSERT throughput from 100 clients. The number of semisync binlog readers was always 1 to 3. Detailed benchmark conditions were described in a bug report.
 Hopefully our patches were finally merged to 5.6.17 and 5.7 so everybody can get benefits easily.

 With all of the enhancements, we could get pretty good benchmark results with semisync.

 This is a mysqlslap insert benchmark on the master, with one semisync slave/mysqlbinlog running. x-axis is the number of clients, y-axis is the number of inserts on the master. Enhanced means loss-less semisync.
 Normal slave is traditional (non-semisync) slave. Enhanced mysqlbinlog is our semisync usage pattern. As you can see, loss-less semisync beats normal semisync due to internal mutex contention reductions. semisync mysqlbinlog also beats semisync slave because of much less overheads. This shows that loss-less semisync scales pretty well.
  

Conclusion and Future Plans

 After several performance improvements, Semi-Synchronous replication became good enough for us. From performance point of view, I expect that single-threaded application performance will be next low-hanging fruits. On our benchmarks, we got around ~2500 transaction commits per second with semisync (0.4ms per commit). Without semisync, it was easy to get ~10000 transaction commits  per second (0.1ms per commit). Of course semisync adds RTT overhead, but on local datacenter network, RTT is much lower than 0.3ms. I think there is another semisync overhead here, so will revisit this issue and will work with Oracle Replication team and outside experts.


¿Qué pasa cuando tienes que actualizar el sistema… de un satélite a millones de kilómetros de la Tierra?

 
MIDAS Rosetta satélite interfaz terminal ESA

Las actualizaciones de software son inevitables, y a veces un engorro por el que tarde o temprano hay que pasar si siempre las retrasamos. Pero los terminales que actualizamos están en nuestra mano, o encima de una mesa, y raras veces un usuario general actualiza una máquina remota. ¿Y si lo que hay que actualizar es un satélite que está a 655 millones de kilómetros de distancia?

Es el caso del satélite Rosetta, lanzado hace diez años y que en dos meses alcanzará finalmente su destino: el cometa 67P/Churiumov-Guerasimenko. Su misión: aterrizar en el cometa y utilizar (entre otros instrumentos) el sistema MIDAS (Micro-Imaging Dust Analysis System) para analizar la composición del polvo que va dejando el cuerpo celeste a medida que orbita por nuestro sistema solar.

El satélite se encuentra a unos 35 minutos-luz de la Tierra, así que mandarle instrucciones y recibir respuesta supone más de 70 minutos de espera

Ese sistema ya equipa un sistema preparado para cumplir con todas las misiones, pero claro: la tecnología ha avanzado mucho durante sus diez años de viaje y los responsables de la misión han tenido tiempo de sobra para preparar una actualización que mejorará las capacidades del artilugio. ¿Pero cómo actualizar ese sistema cuando el Rosetta está tan lejos? Sólo enviar una instrucción y recibir la respuesta ya supone perder 70 minutos, porque la luz tarda 35 minutos en llegar hasta donde está el satélite y otros 35 en volver. Y eso sin contar el tiempo que tarde el hardware en procesar esas instrucciones.

Mark Bentley, uno de los investigadores del proyecto, nos cuenta desde el blog de la Agencia Espacial Europea cómo se hace esa actualización. Interactuar con el sistema MIDAS desde un ordenador en la Tierra tiene esta pinta:

MIDAS Rosetta satélite interfaz terminal ESA

El truco está en hacerlo todo de forma muy interactiva, comprobando cada paso y todas sus consecuencias poco a poco. El instrumento MIDAS arranca en un “modo Kernel“ tras casi mil días de hibernación, capaz de cumplir con un conjunto de instrucciones básico que permite aplicar parches en el sistema o incluso instalar un sistema completamente nuevo.

 

MIDAS se inicia en “modo kernel” tras 957 días de hibernación

Primero se comprueba que todos los componentes del sistema funcionan correctamente tras viajar durante diez años por el espacio, y luego se transmiten por radio todas las actualizacionesnecesarias del sistema. ¿Sabéis esa tensión que se vive cuando estamos actualizando el sistema de nuestro ordenador y tememos que haya un error grave? Imaginad cómo deben estar los nervios en laESA mientras esperan más de 35 minutos a que MIDAS confirme que la actualización se ha instalado y aplicado con éxito.

Si todo ha ido bien, MIDAS se tomará otros dos días para estar lista. Y si el resto de la misión va como se espera, Rosetta podrá analizar con éxito materiales de un cometa y aportar datos que la comunidad científica lleva décadas queriendo descubrir. Nada mejor que seguir la cuenta de Twitter del propio satélite para estar al corriente de la misión.

Vía | Blog oficial de la ESA
Imagen | @RosettaMIDAS


La noticia ¿Qué pasa cuando tienes que actualizar el sistema… de un satélite a millones de kilómetros de la Tierra? fue publicada originalmente en Genbeta por Miguel López.


Microsoft publica una fórmula para eliminar Internet Explorer (9, 10 y 11) de Windows

 
Microsoft Internet Explorer

Microsoft ha publicado en MSDN un truco para quitar Internet Explorer del sistema operativo mediante comandos, en concreto para las versiones 9, 10 y 11 del navegador. Aunque Windows dispone de un mecanismo gráfico para realizar la misma operación, no deja de ser curioso que el fabricante ofrezca esta otra alternativa, con lo beligerante que se muestra a la hora de defender su producto ante la competencia.

Microsoft Internet Explorer es un navegador que se ha ganado una gran antipatía en un amplio sector de usuarios de Windows. La versión 6 ha tenido una gran parte de culpa, aunque hay otras razones en las que no voy a entrar, porque cada uno tiene las suyas.

 

A pesar de todas las críticas vertidas sobre Internet Explorer, lo cierto es que en cada versión se ha ido superando hasta llegar a la entrega más actual, IE-11, que funciona realmente bien. En cuanto a su seguridad, recordad el estudio de Avecto donde se señala que el 100% de las vulnerabilidades de Internet Explorer son consecuencia de utilizar el navegador con cuentas que tienen privilegios de administración

Como mencionaba en el primer párrafo, existe la posibilidad de eliminar Internet Explorer de una forma sencilla, accediendo a Panel de control » Programas » Activar o desactivar características de Windows.

Características de Windows

Es probable que algunos usuarios de Windows, sobre todo los no tecnológicos, desconozcan la existencia de esta posibilidad. El truco publicado en MSDN no es que sea más fácil, pero es una alternativa. Los pasos a realizar son los siguientes:

  • Para llevar a término la eliminación del navegador, hay que acceder al sistema usando lacuenta de administrador o una que tenga los mismos privilegios.
  • Tener la certeza de que el navegador no se esté ejecutando (cerrar las ventanas abiertas si es así).
  • Acceder a la consola de comandos. Si no tenemos a mano un acceso directo, podemos buscar desde Inicio, consignando en la caja de búsqueda cmd, y cuando aparezca lanzar la aplicación.
  • Una vez allí, hay que copiar las instrucciones facilitadas por MSD para cada versión, pegarlas en la ventana de la consola y pulsar la tecla [ENTER].

Internet Explorer 9:

FORFILES /P %WINDIR%\servicing\Packages /M Microsoft-Windows-InternetExplorer-*9.*.mum /c "cmd /c echo Uninstalling package @fname && start /w pkgmgr /up:@fname /quiet /norestart

Internet Explorer 10:

FORFILES /P %WINDIR%\servicing\Packages /M Microsoft-Windows-InternetExplorer-*10.*.mum /c "cmd /c echo Uninstalling package @fname && start /w pkgmgr /up:@fname /quiet /norestart

Internet Explorer 11:

FORFILES /P %WINDIR%\servicing\Packages /M Microsoft-Windows-InternetExplorer-*11.*.mum /c "cmd /c echo Uninstalling package @fname && start /w pkgmgr /up:@fname /quiet /norestart

  • Para que los cambios surtan efecto hay que reiniciar el equipo.

Personalmente no soy partidario de eliminar del sistema operativo un elemento que está tan arraigado, aunque se pueda. Tampoco se sabe nunca si en algún momento puede hacer falta porque aún hay páginas que están hechas por y para Internet Explorer. No obstante, para aquellos que no quieran ver ni en pintura el producto de Microsoft, medios no les falta para librarse de él.

Imagen | William


La noticia Microsoft publica una fórmula para eliminar Internet Explorer (9, 10 y 11) de Windowsfue publicada originalmente en Genbeta por F.Manuel.


Vulnerabilidad 0-day en Microsoft Word permitiría (permite) ejecución de código

 
Microsoft publicó ayer un comunicado urgente debido a que encontraron una vulnerabilidad identificada como CVE-2014-1761 que afecta Microsoft Word, su mundialmente famoso procesador de texto. La amenaza corresponde al tipo 0-day y, según informan, el objetivo principal de los ataques es la versión 2010 de Word. No obstante, el problema podría comprometer a todas las versiones. La vulnerabilidad, descubierta por Drew Hintz, Shane Huntley, and Matty Pellegrino del equipo de seguridad de…

Contenido completo del post en http://blog.segu-info.com.ar o haciendo clic en el título de la noticia


¿Cómo establecer un mejor control de la nube?

 
Por: Thor Olavsrud La computación en la nube, en especial el software como servicio (SaaS), se ha convertido en un referente en todo tipo de organizaciones en la actualidad, y por una buena razón: La computación en la nube ofrece a los empleados una mayor accesibilidad y agilidad de la que nunca han disfrutado antes. Sin embargo, para la función de TI, Cloud Computing también puede ser un dolor de cabeza en enorme en términos de seguridad y un fantasma para los TI. Preocupaciones de la nubeUn…

Contenido completo del post en http://blog.segu-info.com.ar o haciendo clic en el título de la noticia


Varias configuraciones para conectar a MySQL

 
 

Cuando tenemos varios servidores MySQL nos interesa poder configurar nuestro cliente para conectar fácilmente a todos ellos. Vamos a ver cómo lo podemos hacer con nuestro fichero ~/.my.cnf (también lo podemos usar en el my.cnf general)

 

En el fichero .my.cnf de nuestr home podemos definir tantos servidores MySQL necesitemos, simplemente deberemos añadir un nombre descriptivo después del nombre de sección “client”. Por ejemplo, para configurar la base de datos a la que nos conectamos por defecto haríamos:

[client]
user=root
password=passw0rd
host=master
prompt=\\u@\\h [\\d]>\\_

Para indicar uno llamado “slave“, haríamos:

[clientslave]
user=root
password=passw0rd
host=slave
prompt=\\u@\\h [\\d]>\\_

Y para usar dicha entrada en nuestro fichero de configuración, deberemos indicarlo al cliente mysql mediante la opción –defaults-group-suffix. En este caso, para conectarnos al slave simplemente deberíamos ejecutar:

$ mysql --defaults-group-suffix=slave

De esta forma nos podemos conectar a las bases de datos mucho más cómodamente, sin tener que pasar todos los datos cada vez.

Tags: 

Relacionados

Varias configuraciones para conectar a MySQL was first posted on March 25, 2014 at 9:52 am.

 

 
 

Microsoft libera el código fuente de MS-DOS 1.1 y 2.0, además de Word para Windows 1.1a

El Museo de la Historia de la Computación de California, Estados Unidos, anunció hoy su más reciente pieza de colección: Microsoft les entregó el código fuente de MS-DOS 1.1 y 2.0, como también el de Microsoft Word para Windows 1.1a.

word_for_windows_1.1a_2-542x296[1]

Gracias al Museo de la Historia de la Computación estas importantes piezas de código fuente serán preservadas y puestas a disposición de la comunidad para fines técnicos e históricos“, afirmó el director de Investigación de Microsoft, Roy Levin.

El veterano sistema operativo MS-DOS originalmente se llamaba 86-DOS cuando fue credo por Tim Paterson en agosto de 1980. En mayo de 1981, Paterson ingresó a trabajar a Microsoft, quienes le compraron su sistema operativo en USD$75.000 en julio, y lo lanzaron bajo el nombre de MS-DOS (o PC-DOS para IBM).

La versión 1.1 de MS-DOS fue lanzada en 1982, mientras que la versión 2.0 fue lanzada en 1983. “La versión 1.1 metió todo un sistema operativo —por muy limitado que éste sea— en 12Kb de memoria, lo que es minúsculo comparado al software actual“, recordó el director del museo, Len Shustek.

Por su parte, mientras que Word debutó originalmente en 1983, no pudo contra el éxito del procesador de texto más importante de esa época, WordPerfect. Recién cuando Microsoft lanzó la versión para Windows en 1989 fue que cambió esta situación, pues bastaron solo cuatro años para alcanzar la mitad del mercado mundial de procesadores de texto.

word_processor_market_share[1]

Link: Computer History Museum (vía The Next Web)

 


Hospital de EE.UU. usa Google Glass para identificar pacientes 200+ FayerWayer by Cony Sturm

Un hospital de Boston, Estados Unidos, desarrolló un sistema para obtener información enGoogle Glass, que permite a los doctores de Urgencias escanear un QR en el muro de cada habitación para obtener datos de los pacientes.

“Cuando un doctor entra a una habitación del área de emergencias, puede mirar un código de barras (QR) ubicado en el muro. Google Glass reconoce inmediatamente la habitación y luego el panel de emergencias le envía la información sobre el paciente, procedimientos realizados, problemas, signos vitales, resultados de laboratorio y otros datos”, explica el doctor John Halamka, CIO de Beth Israel Deaconess Medical Center.

La aplicación comenzó a utilizarse hace tres meses, y será puesta a disposición de los médicos interesados este mes. El hospital utilizó el sistema existente en el Departamento de Emergencias para revisar datos, y lo integró con Glass, asegurándose de agregar “las mismas protecciones de seguridad de nuestra interfaz web.Hemos reemplazado todos los componentes de Google en los dispositivos para que ningún dato viaje a los servidores de la empresa. Todo se mantiene dentro del firewall del hospital”, asegura Halamka.

La app incluye una interfaz de usuario personalizada, que permite usar gestos en el panel que trae Glass en el costado y comandos de voz para navegar la aplicación.

Aunque Glass “no parece un reemplazo para equipos de escritorio o el iPad, es un nuevo medio útil para obtener información limitada o resumida”, explica Halamka. “Actualizaciones en tiempo real y notificaciones es donde Google Glass realmente se diferencia. Unido a servicios de localización, el dispositivo puede entregar información útil a los médicos en tiempo real”, afirma.

GoogleGlass 2014 35

Durante el periodo de pruebas, se hicieron varias modificaciones al dispositivo, incluyendo una batería externa, un transmisor wireless más potente, coordinar los equipos con los iPhones que se estaban usando en el hospital, mejoraron el lector de QRs, y agregaron la barra de estado de Android, para que mostrara la potencia de la conexión y la batería disponible.

Según relata otro doctor del hospital, Steve Horng, Glass le ayudó en un caso de un paciente con alergias, que no recordaba el nombre de los medicamentos a los que era alérgico. “Glass me permitió revisar la información de alergias del paciente y su régimen actual de medicamentos sin tener que retirarme para ingresar a un computador, o incluso perder el contacto visual”, explicó. Tener esa información disponible “nos permitió comenzar rápido una terapia antihipersensitiva y retirar las medicinas anticoagulantes, tratamientos que de ser demorados podrían llevar a discapacidad permanente o incluso la muerte”.

LinkArsTechnica


Basics of CSS Blend Modes

100+ CSS-Tricks by Chris Coyier

Bennett Feely has been doing a good job of showing people the glory of CSS blend modes. There are lots of designerly effects that we’re used to seeing in static designs (thanks to Photoshop) that we don’t see on the web much, with dynamic content. But that will change as CSS blend modes get more support. I’d like to look at the different ways of doing it, since it’s not exactly cut and dry.

 

CSS Multiple Backgrounds Blend Modes

You can blend background-images together, or blend them with background-color. It’s a simple as:

.blended {
  background-image: url(face.jpg);
  background-color: red;
  background-blend-mode: multiply;
}

See the Pen Background Blending by Chris Coyier (@chriscoyier) on CodePen.

Multiply is a nice and useful one, but there is also: screen, overlay, darken, lighten, color-dodge, color-burn, hard-light, soft-light, difference, exclusion, hue, saturation, color, and luminosity. And also normal which reset it.

Adobe (who works on the spec for this stuff, of course) created this Pen for playing with the different possiblities here:

See the Pen CSS Element Background Blend Modes by Adobe Web Platform (@adobe) on CodePen.

A single element can have more than one background, stacked up. Like:

.graphic-or-whatever {
  background:
    url(grid.png),
    url(building.jpg)
}

Those can blend too simply by adding a background-blend-mode.

See the Pen Multiple Background Blending by Chris Coyier (@chriscoyier) on CodePen.

Here’s a cool and practical example by Bennett Feely:

See the Pen rxoAc by Bennett Feely (@bennettfeely) on CodePen.

Here’s another, which cleverly re-combines a color image separated into Cyan / Magenta / Yellow / Black parts (CMYK). You know that’s how offset lithography works in print, right? =)

See the Pen CMY/CMYK Color printing with background-blend-mode by Bennett Feely (@bennettfeely) on CodePen.

Arbitrary HTML Elements Blend Modes

Blending backgrounds together is pretty cool, but personally I’m less excited about that than I am about blending arbitrary HTML elements together. Like a <h1> title over a background, for example. Or even text over text.

I saw this at an airport the other day and snapped a pic because I thought it looked neat and figured I could figure out how to do it on the web:

My first attempt to recreate it, I used opacity. But opacity really dulls the colors and doesn’t make those overlapping bits have the extra darkness they should have. CJ Gammon showed me there is a blending property precicely for this purpose: mix-blend-mode.

So to reproduce this:

<h1>hungry?

Then break it up into s with Lettering.js:

$("h1").lettering();

Then squeeze the letters together with negative letter-spacing, set the mix-blend-mode, and colorize:

h1 {
  font-size: 7rem;
  font-weight: 700;
  letter-spacing: -1.25rem;
}
h1 span {
  mix-blend-mode: multiply;
}
h1 span:nth-child(1) {
  color: rgba(#AB1795, 0.75);
}
/* etc, on coloring */

Compare:

See the Pen Overlapping Letters by Chris Coyier (@chriscoyier) on CodePen.

Like I mentioned, real web text over image is a pretty sweet use case if you ask me:

See the Pen GxlBm by Chris Coyier (@chriscoyier) on CodePen.

Canvas Blend Modes

The DOM blend mode stuff is most interesting to me, but it should be noted that <canvas> has blend modes as well and it has a bit deeper support (see below for all that).

You set it on the canvas context. So like:

var canvas = document.getElementById('canvas');
var ctx = canvas.getContext('2d');

ctx.globalCompositeOperation = 'multiply';

That value can be any of those I listed above. Here’s a simple demo:

See the Pen canvas blend modes by Chris Coyier (@chriscoyier) on CodePen.

And a fancy one where you can see the blending give the demo life:

See the Pen sketch.js Demo by Justin Windle (@soulwire) on CodePen.

SVG Blend Modes

As you might suspect, SVG does have its own mechanism for doing this. One way to do it is to define it within the <svg> itself, and it’s fairly complicated:



    f1" x="0" y="0" width="1" height="1">

See the Pen Fnvdp by Chris Coyier (@chriscoyier) on CodePen.

And a more complex example.

The good news is that mix-blend-mode will work on inline SVG. So if you’re using SVG that way, you can target the shapes themselves with classes or whatever and give them whatever blend mode you want.

Here’s an example by Bennet that does just that:

See the Pen KDkCj by Bennett Feely (@bennettfeely) on CodePen.

Browser Support

For canvas: Firefox 20+, Chrome 30+, Safari 6.1+, Opera 17+, iOS 7+, Android 4.4+. Worst bad news: No IE.

For HTML/CSS: Firefox 30+, Chrome 35+, Safari 6.1 (apparently not 7?). Not quite as supported as canvas.

At this second, for Chrome, you’ll have to run Canary, go to chrome://flags/ and enable “experimental Web Platform features”.

This actually it a bit more complicated, so if you really want to dig in and know about support, check out the Support Matrix from Adobe.

Progressive Enhancement

What is nice about blending is that the whole point is designerly effects. If they aren’t supported, you can take care to make sure the fallback is still readable. E.g. the whole idea of progressive enhancement.

Here’s a recent thought by Jeremy Keith:

It is entirely possible—nay, desirable—to use features long before they are supported in every browser. That’s how we move the web forward.

So one way to do support is to look at the design in a non-supporting browser and if it is still readable/usable, you’re good, no further action required.

If the result ends up unreadable/unusable, you could tweak things around until they are, or run a test to determine support and do something specific in the case of non-support.

To test for support, I guess you could do test for the property you want to use:

var supportsMixBlendMode = window.getComputedStyle(document.body).mixBlendMode;

var supportsBackgroundBlendMode = window.getComputedStyle(document.body).backgroundBlendMode;

If the returned value is “normal” (or anything other than undefined) support is there, otherwise not. Then probably apply a class to the <html> element so you can know that and use it anywhere in your CSS to adjust things, Modernizr style. Perhaps they’ll even do a test for it in the future.

Unless it’s not that simple in which case let me know.

Need more ideas? Check out this collection. Happy blending!

Basics of CSS Blend Modes is a post from CSS-Tricks


Oracle @ EclipseCon 2014

 

EclipseCon 2014 is March 17-24 and Oracle is once again a sponsor.  Check out the GREAT content Oracle is organizing below and register today if you haven’t already!

Java 8 Day
The Eclipse Foundation and Oracle are hosting a Java 8 Day at EclipseCon 2014. This will be a great opportunity for Java developers to learn about the new Java 8 features and share in the excitement of the Java 8 launch.

Developing On-Device Java Mobile Apps for iOS … and Android too!

Now you can leverage your Java development skills to build mobile applications that install and run on both iOS and Android phones and tablets. Build HTML5 user interfaces, integrate with native device feature (camera, GPS, etc.) and use Java for the business logic – then deploy to multiple platforms from the same code base. This demo focused session.

Java Application Development Lifecycle in the Cloud

This demo-driven session, explores how to quickly provision a development environments, manage application source code with GIT and Maven, track development Tasks using Mylyn-based issue tracking system, collaborate with teammates on code changes with Code Review, document development processes with hosted Wikis, and implement Continuous Integration and Continuous Delivery with Eclipse Hudson with Oracle’s Developer Cloud Service.


Top 10 de OWASP de vulnerabilidades en aplicaciones móviles

 
El top 10 de OWASP sobre vulnerabilidades en aplicaciones móviles fue el tema tratado por Tobias Zander en la conferencia Take Off 2014. Este listado ya ha sido mencionado por ESET Latinoamérica en posts anteriores, pero para vulnerabilidades para plataformas distintas como el Top Ten vulnerabilidades en aplicaciones web.

De acuerdo al ranking, el top 10 de este año es el siguiente:

  1. M1 Weak Server Side Controls: corresponde a las inyecciones de código. Los atacantes buscan vulnerabilidades en los servidores para poder explotarlas inyectando códigos maliciosos.
  2. M2 Insecure Data Storage: se trata mayormente de dispositivos móviles perdidos y/o robados, aunque también está la posibilidad de acceder a dichos dispositivos sin la necesidad de tenerlos físicamente a través de exploits in-the wild  y/o distintos códigos maliciosos.
  3. M3 Insufficient Transport Layer Protection: cuando se desarrolla una aplicación normalmente los datos son intercambiados entre un cliente y un servidor. Si la codificación de dicha aplicación es débil, existen diversas técnicas para visualizar datos sensibles mientras viajan entre el cliente y el servidor.
  4. M4 Unintended Data Leakage: las aplicaciones móviles tienen que interactuar con sistemas operativos, infraestructuras digitales, hardwares nuevos, etc. que no son propiedad de los desarrolladores, por lo que no pueden controlar cambios y/o fallas que estén por fuera de sus aplicaciones. En este sentido, es posible que se pierdan datos si no se realizan evaluaciones para entender cómo las aplicaciones interactúan con todos los elementos de los dispositivos.
  5. M5 Poor Authorization and Authentication: existen patrones de autenticación considerados inseguros y que deben ser evitados. Algunos ejemplos son: “Recuérdame” (cuando existe la opción de que la aplicación guarde la contraseña de forma automática), la falta de tokens de seguridad, etc.
  6. M6 Broken Cryptography: en algunas ocasiones, los métodos de encriptación de datos se vuelve una práctica casi obsoleta. Crear y utilizar su propio algoritmo de encriptación y utilizar algoritmos desfasados son ejemplos de malas prácticas.
  7. M7 Client Side Injection: siempre y cuando exista la posibilidad de que usuarios externos, internos y la aplicación misma puedan enviar datos no confiables al sistema, un atacante podría inyectar exploits sencillos a las aplicaciones móviles, lo que causa un potencial riesgo de robo de información.
  8. M8 Security Decisions Via Untrusted Inputs: para entender mejor este caso, tenemos que entender el concepto de IPC (Comunicación entre procesos en inglés). Los procesos entre aplicaciones y sistemas operativos comparten espacios de memoria para permitir la comunicación y sincronización entre los mismos. Para minimizar los riesgos de ataque, la aplicación móvil debería permitir solamente comunicación con otras aplicaciones confiables, las acciones sensibles deberían requerir la interacción del usuario, la información sensible no debería ser enviada a través de IPC, etc.
  9. M9 Improper Session Handling: el manejo incorrecto de la información es muy similar a la autenticación débil (M5). Es tan importante manejar bien la sesión una vez abierta como establecer la misma sesión. Si no se aplican cuidados sencillos pero importantes como validar la sesión a nivel servidor y no solamente a nivel cliente, establecer un tiempo de expiración de sesión o la creación de tokens seguros puede que terceros no autorizados accedan a información de otros usuarios.
  10. M10 Lack of Binary Protections: la falta de protección a nivel binario facilita el ataque a través de ingeniería reversa. Si un programador no es creador del código de su programa a nivel binario y no lo tiene protegido, un atacante puede fácilmente buscar fallas en el código, copiarlo, hacer cambios menores y revender una aplicación móvil nueva como si fuese suya.

La gran mayoría de las vulnerabilidades pueden ser evitadas si se llevan a cabo las consideraciones mencionadas en cada uno de los puestos del ranking. Sin embargo, muchas veces estos cuidados son ignorados por razones ajenas a los usuarios (costos, necesidad de lanzar la aplicación antes que la competencia, etc.), pero estas deficiencias pueden ser contrarrestadas si nos informamos y estamos atentos a reportes como el Top 10 de OWASP.

Las vulnerabilidades en los sistemas siguen siendo una de las mayores preocupaciones de seguridad más allá de todo el trabajo que se hace para evitarlas. Desde ESET Latinoamérica, teniendo en cuenta esta problemática, contamos con ESET Security Services donde ofrecemos servicios de auditoría de seguridad para aquellas organizaciones que deseen evaluar el estado de su seguridad.

El post Top 10 de OWASP de vulnerabilidades en aplicaciones móviles aparece primero en We Live Security en Español.


¿Cómo usar Google Drive sin conexión?

Google Drive

Google Drive es el sistema de almacenamiento en la nube que Google nos ofrece a todos los usuarios; un sistema que, además de almacenar archivos, nos ofrece la posibilidad de editar documentos de texto, presentaciones y hojas de cálculo (ofreciendo así una completa suite ofimática en la nube).

Aunque muchos usuarios no lo sepan, es posible usar Google Drive sin conexión, una facilidad muy interesante para trabajar desde un tren o un avión y, una vez recuperada la conexión, subir los cambios a la nube y refrescar así los documentos que hayamos modificado.

Para poder trabajar con Google Drive sin conexión tendremos que usar Google Chrome o un equipo con Chrome OS y, partir de ahí, acceder a la web de Google Drive y activar la opción “sin conexión” en todos aquellos equipos que queramos usar en esta modalidad.

Un truco sencillo que nos permitirá sacarle partido al servicio y hacer algo más productivos nuestros viajes.


Publicar redes a traves de un túnel OpenVPN systemadmin.es by Jordi Prats

 En el caso que necesitemos hacer circular trafico de otra red diferente al direccionamiento de la VPN, necesitaremos además de añadir las rutas pertinentes en cliente y servidor sino informar a OpenVPN que cierta red también circula cifrada.

El diagrama de la red seria el siguiente:

Red conectada a traves de un cliente OpenVPN

Red conectada a traves de un cliente OpenVPN

Para ello deberemos usar la directiva iroute para indicar que dicha red cuando llegue a OpenVPN deberá también ser cifrada y debe llegar al cliente:

iroute 192.168.6.0 255.255.255.0

Dicha opción puede ser indicada en la configuración de OpenVPN o bien en la configuración de cada cliente (client-config-dir). Por lo tanto, podemos añadir dicha directiva en la configuración del cliente que tiene detrás dicha red:

ifconfig-push 192.168.101.12 255.255.255.0
iroute 192.168.6.0 255.255.255.0

En la configuración del servidor OpenVPN deberemos añadir la ruta:

route 192.168.6.0 255.255.255.0 192.168.101.12

Y por lo tanto, en cada cliente que necesite mandar paquetes a dicha red deberemos publicar también la correspondiente ruta (vpn_gateway automáticamente se transforma en la IP del servidor OpenVPN dentro del túnel):

push "route  172.18.1.0 255.255.255.0 vpn_gateway"

Tags:

Relacionados

Publicar redes a traves de un túnel OpenVPN was first posted on February 12, 2014 at 9:12 am.


Ideas y trucos para sincronizar música en Android

Carlos Lopes CJ

Existen varias aplicaciones que nos permiten escuchar nuestra biblioteca musical en varios dispositivos, ya sea que queramos descargar la música a nuestros smartphones, sincronizar iTunes con Android, o disfrutar de la misma biblioteca musical en todos nuestros gadgets, ten por seguro que hay una solución.

Actualmente contamos con montones de servicios de música en streaming, tiendas en linea que venden discos y canciones, artistas que ofrecen su música para descarga gratuita o con modelos “pague lo que usted quiera”, etc., son tantas las fuentes que tenemos para obtener música y tantos los medios para escucharla, que ya casi solo los coleccionistas compran CDs, y los hipsters, vinilos.

No importa a donde vayamos, podemos disfrutar de nuestra música en nuestros ordenadores, smartphones, tablets, consolas de videojuegos, reproductores portátiles, y un sin fín de gadgets más. Pero, la experiencia mejora aún más cuando podemos encontrar la manera de que nuestro contenido esté disponible por igual en todos. Ahorrarnos el tedioso proceso de copiar canciones en este dispositivo, y luego en otro, y en otro, que puede tomarnos horas, o días, es algo que sin duda se agradece. Por suerte existen muchos reproductores de música, servicios de almacenamiento en la nube, y de reproducción de música en streaming, que nos ofrecen varias alternativas para sincronizar toda nuestra música a través de múltiples dispositivos.

En esta ocasión vamos a repasar algunos de estos servicios, y de que manera podemos aprovecharlos para sincronizar música con nuestros dispositivos Android, y así llevar nuestros discos a donde sea que vayamos.

Google Play Music

google play music sincronizar musica en android

Es una de las maneras más sencillas de sincronizar música, ya viene instalada en varios dispositivos con Android de stock y es una descarga gratuita desde la Play Store. El servicio de música en streaming de Google no es el más popular del mundo, pero es bastante eficiente. No solo puedes escuchar, descargar y comprar música, sino que puedes subir hasta 20 mil canciones de tu propio disco duro y escucharlas vía streaming desde la web, o desde cualquier dispositivo con Android. Google Play Music es sumamente simple, subes tu música a la nube de Google y ya la tienes disponible en cualquier momento, también puedes descargar las canciones en tu smartphone o tablet para luego escucharlas sin conexión.

Beat cloud & music player

beat sincronizar musica en android

Beat es un reproductor de música para Android que nos permite escuchar música que tengamos almacenada en Google Drive o Dropbox. La aplicación se conecta a nuestras cuentas de ambos servicios y es capaz de reproducir vía streaming los archivos de audio que tenemos almacenados en la nube. Aunque beat también funciona como un reproductor convencional para reproducir los medios locales, la posibilidad de hacer streaming desde estos dos servicios (más en camino) lo hacen una herramienta genial.

doubleTwist AirSync

doubletwist sicronizar musica en android

doubleTwist AirSync es una versión premium del popular reproductor de música para Android, nos permite sincronizar de forma inalámbrica nuestra música, fotos y vídeos de iTunes ya sea con Mac o PC a través de la red WiFi doméstica. También puede hacerlo vía AirPlay en el Apple TV. Incluso puedes transmitir música a tus consolas de videojuegos. Solo tienes que instalar un cliente para escritorio compatible con OS X 10.5 o superior, y Windows XP, Vista, 7 y 8.

Rdio y Spotify

sincronizar musica en android spotify

Estos dos ultra conocidos servicios de música en streaming también nos permiten sincronizar nuestra música, ya que con las suscripciones de pago de cada una, podemos descargar directamente en nuestro dispositivo, las canciones, discos o listas de reproducción que tenemos guardadas, para escuchar cuando estemos offline. Si estás por quedarte sin señal, o si vas a salir y no tienes datos móviles, sincroniza tu lista de reproducción actual y Rdio la continua reproduciendo. Spotify hace exactamente lo mismo, y ambas suscripciones cuestan casi lo mismo, le elección es solo una cuestión de gustos personales.


El reto de conseguir 200 GB gratuitos en la nube

 disco duro

Con todo el auge de los servicios en la nube y la moda del TB gratuito que empezó en Flickr, hemos pasado de suplicar MB de espacio a gestionarlo a base de GB. El cambio se ha notado mucho durante el 2013, así que a estas alturas nos hemos planteado un reto: ¿Es posible obtener 200 GB de espacio gratuito en la nube?

No hablo de espacio en un servicio dedicado a un tipo concreto de archivos, Como Flickr o Vimeo. Hablo de servicios que nos permiten tener carpetas y archivos, almacenamiento puro y duro accesible desde donde queramos y manejable a nuestra voluntad, sin límites de tamaño de fichero individual (o que los haya, pero muy permisivos). Veamos si somos capaces de juntar esos 200 GB.

cajas

Objetivo número 1: Box. Oficialmente ofrecen 10 GB de espacio gratuito, pero con el motivo de la actualización de su aplicación para iOS regalan 50 GB si te la descargas e inicias sesión con ella. Esos 50 GB no se añaden al espacio que tuviésemos antes, es un tope fijo. Ya tenemos el contador a 50 GB.

Objetivo número 2: Mega. El buenrollero de Kim Dotcom nos da otros 50 GB con la cuenta gratuita de ese servicio de almacenamiento, así que con sólo registrarnos en el servicio ya podemos subir nuestro contador a 100 GB sin mucho esfuerzo.

Podemos crear varias cuentas de usuario en un servicio, pero respetemos las normas

Llegados a este punto podemos pensar en hacer trampas y registrarnos con dos o más cuentas de usuario diferentes en estos dos servicios y acumular tantos GB como se quiera, pero vamos a seguir las reglas teniendo una cuenta de usuario por cada servicio. Además de ser algo no permitido, causa muchas incomodidades por tener que ir cerrando e iniciando sesión varias veces. Sigamos buscando almacenamiento.

Objetivo número 3: Dropbox. El servicio de almacenamiento en la nube más popular del mundo nos da 2 GB de espacio gratuito, pero podemos ampliarlo con algunas acciones. 125 MB por mencionar a Dropbox en Twitter, 125 MB por vincular el servicio con Facebook, 125 más por hacerlo en Twitter y otros 125 por seguir la cuenta oficial de Dropbox en la red, 250 MB por leer una guía de usuario, hasta 3 GB más por subir 2,5 GB de fotografías… varía mucho en función de algunas ofertas puntuales, pero las cuentas gratuitas pueden ser de hasta 16 GB. Aunque aquí ya hay que hacer mucho trabajo. Nuestro contador se pone a los 116 GB.

bitcasa

Algo similar pasa con Bitcasa: nos dan 10 GB de espacio gratuito, pero con algunas promociones podemos llegar hasta los 20 GB. Si seguimos exprimiendo todas estas ventajas, ya tenemos 136 GB.

A partir de aquí hay que ir cogiendo las “miguitas“ de otros servicios. Google Drive nos da 15 GB. Cubby nos da otros 5. Amazon Cloud Drive, 5 GB más. SkyDrive nos da 7 GB en la nube de Microsoft. SpiderOak nos da 2 GB, y Ubuntu One 5 GB. Si hacemos la suma de todos esos servicios y sumamos el resultado al contador, sale que hemos acumulado ya 175 GB. Nos hemos quedado cortos por 25 GB, aunque 175 GB tampoco están nada mal.

Podemos sobrepasar esos 200 GB, pero poniendo algo más de trabajo por nuestra parte

¿Podríamos llegar a esos 200 GB gratuitos si relajamos un poco más las normas? Por supuesto. Creando más de una cuenta en un mismo servicio, o contando servicios con limitaciones fuertes como MediaFire. Éste último es capaz de darnos hasta 50 GB gratuitos, pero tiene el inconveniente de no permitir archivos de más de 200 MB por miedo a ser pasto de la piratería. Si lo hubiésemos tenido en cuenta igualmente, habríamos llegado tranquilamente a los 225 GB. Reto conseguido.

carpeta almacenamiento

También sobrepasaríamos de lejos el objetivo si nos vamos a Spotbros y empezamos a compartir archivos con alguien mediante mensajería, ya que el espacio que nos ofrecen para compartir esos archivos es de 1 TB. Otros como Lolabits ofrecen directamente espacio ilimitado, pero estamos más ante una red social para compartir archivos y no un servicio de almacenamiento propiamente dicho.

Finalmente, podríamos contar BitTorrent Sync, que nos permite sincronizar tantos archivos como queramos creando nuestra propia nube y por lo tanto poniéndonos como límite el espacio que tengamos en nuestros discos duros. Pero ya no estamos hablando de almacenamiento externo, sino de configurar nuestras carpetas para que sean accesibles desde cualquier sitio y valiéndose del protocolo P2P de BitTorrent. Aún así, es una alternativa que va cogiendo forma.

¿Se os ocurre algún otro modo de conseguir espacio en la nube gratuito? No dudéis en compartir vuestras tácticas en los comentarios, para ver si podemos exprimir todavía más ese límite.

Imágenes | saebaryo, Sara Clark
En Genbeta | ¿Tu servicio en la nube te da un Terabyte gratis? Estos dicen que sí

-
La noticia El reto de conseguir 200 GB gratuitos en la nube fue publicada originalmente en Genbeta por Miguel López.


Become the voice of feedly – We are hiring

Originally posted on Building Feedly:

pro-hero

One of our 2014 resolutions is to continue to be open, transparent and work closely with the community. We are looking for a content crafter to join the feedly team and become our voice. We are looking for our Belle Beth Cooper.

Our community is composed of millions of readers, thousands of publishers and lots of third party developers. We want to build the feedly blog into a place where the community can discover great stories about reading, learning, publishing, advertising and startups.

We are lucky to be at the intersection of 4 significant trends: personalization, mobile, publishing and next gen advertising. Lots of innovation. Lots of interesting research to do. Lots of interesting stories to write.

We are looking for someone who loves to do research and write interesting stories.

Our team is distributed between Palo Alto, New York and France. We welcome remote work.

The compensation…

View original 205 more words


Estado de la batería de una controladora PERC

Anteriormente hemos visto que podemos ver la capacidad de carga de la batería de una controladora RAID PERC y un check de nagios para detectar cuando se pasa de WriteBack a WriteThrough, pero podemos forzar el cambio a WriteBack sin batería, por lo que necesitamos saber el estado de la batería.

Podemos ver el estado de la batería mediante megacli. Mediante -AdpBbuCmd -GetBbuStatus tenemos el valor “isSOHGood

SOH significa “State Of Health“, por lo tanto nos indica si la batería esta bien o mal:

  • Si obtenemos un No, deberemos reemplazarla:
    # MegaCli -AdpBbuCmd -GetBbuStatus -aALL | grep -e '^isSOHGood'
    isSOHGood: No
  • Si obtenemos Yes, es que la batería aún esta funcionando:
    # MegaCli -AdpBbuCmd -GetBbuStatus -aALL | grep -e '^isSOHGood'
    isSOHGood: Yes

Tags: ,

Relacionados

Estado de la batería de una controladora PERC was first posted on January 20, 2014 at 9:01 am.


Copiar un certificado para evadir autenticación 7 Security Art Work by José L. Chica


En ocasiones, una aplicación web permite utilizar certificados X.509 como medio de autenticación. Estos certificados, asociados a una persona, pueden ser generados bien por una autoridad certificadora reconocida (FNMT, ACCV…), o de forma privada para uso interno de una organización. En cualquier caso, la aplicación web debería comprobar que el certificado que se presenta está firmado por la CA correspondiente. De esta forma, se está asegurando que la persona es quien dice ser. Para información más ampliada sobre infraestructuras PKI, podéis leer la estupenda serie de posts del compañero David Cutanda.

Ahora bien, es posible que el desarrollador de la aplicación no haya considerado necesario tomarse tanta molestia de comprobar firmas, y únicamente verifique que algún campo del certificado coincida con su base de datos, como el DNI, número de serie, etc. ¿Cómo podría un atacante aprovechar esa deficiencia? Generando un certificado con los mismos datos que un certificado válido, y rezando para que la aplicación no haga ninguna comprobación adicional, ya que la firma del certificado no coincide con la CA legítima.

Vamos al ajo. Supongamos que tenemos suficiente información sobre los certificados que se utilizan para la autenticación. Vamos a explicar los pasos para generar una CA con los mismos datos que la original, un certificado de un usuario, y después firmaremos ese certificado con la CA que hemos generado.

Crear clave privada RSA para la CA

$ openssl genrsa -out rootCA.key 2048

Crear CA

$ openssl req -x509 -new -nodes -key rootCA.key -days 3650 -out rootCA.pem
-subj "/O=Wayne Corp./OU=WaynePKI/CN=Wayne-CA"

Crear clave privada RSA para certificado personal

$ openssl genrsa -out personal.key 1024

Crear certificado

$ openssl req -new -key personal.key -out personal.csr -subj "/O=Wayne
Corp./OU=Direccion/CN=Bruce Wayne"

Firmar el certificado con la CA

$ openssl x509 -req -in personal.csr -CA rootCA.pem -CAkey rootCA.key -
CAcreateserial -out personal.crt -days 500 -set_serial 0x5599aaffbb4422cc

Exportar el certificado a PKCS12

$ openssl pkcs12 -export -out personal.p12 -in personal.crt -certfile rootCA.pem -
inkey personal.key

Exportar a PKCS12 es recomendable para poder importar el certificado en algún navegador. Es importante también darse cuenta que a la hora de firmar el certificado, es posible hardcodear el número de serie que deseemos. Si disponemos de un certificado legítimo que queramos clonar, se puede crear con el mismo número de serie. No es la primera vez que veo que ese dato es el que comprueba la aplicación para autenticarse.

En el caso de este ejemplo sólo he cumplimentado la organización O, unidad organizativa OU y common name CN, pero por supuesto se puede rellenar todo lo necesario para que el certificado sea lo más parecido posible al original.

Con el fichero personal.p12 generado ya podemos importarlo a nuestros navegadores, perfiles de SoapUI para auditar un WebService con WS-security, o lo que necesitemos. Es posible que también se necesite importar la CA que hemos creado al navegador como entidad de confianza, para que no se queje el navegador de que no puede comprobar la autenticidad del certificado.

¡A jugar!


Steam Machines en la CES 2014: modelos para todos los gustos y bolsillos

 
 
SteamOS

Valve presenta 13 modelos de Steam Machines durante la CES 2014, para todos los gustos y, sobre todo, para bolsillos resistentes. Y es que el inicio de esta prometedora tendencia ha sido bastante agridulce.

Desde que Valve anunciara su propio sistema operativo ideado para videojuegos, basado en Linux y que cuya principal meta fuera el llevar la experiencia de Steam completa del computador de escritorio, al salón, logrando un híbrido de PC y consola de sobremesa como nunca habíamos visto, no fuimos pocos los que estuvimos llenos de emoción y esperamos con ansias los productos finales que, de la mano de Valve, llegarían al mercado para nuestro gozo. Estas serían las Steam Machines.

La CES 2014 fue la fecha elegida para debutar las primeras Steam Machines oficiales, en una conferencia dirigida por el mismísimo Gabe Newell, quien nos había preparado desde días antes anunciando que serían varios fabricantes los que presentarían sus propias alternativas, dando una variedad más que necesaria y atractiva; y las expectativas crecieron aún más.

Sin embargo, vimos unas Steam Machines decepcionantes en algunos de los casos, aunque con otros bastante prometedores. 13 máquinas de Steam fueron anunciadas, para todos los gustos, necesidades, caprichos, y sobre todo, presupuestos; porque seamos claros, las Steam Machines no han sido lo baratas que nos prometieron.

steam controller

Valve prometió tres gamas de Steam Machines, pero aún hemos visto cumplida esta promesaValve habló cuando presentó esta ambiciosa propuesta, que contaría en el mercado con Machines desde los 99 dólares. En general, serían tres gamas de estas máquinas: la primera, de unos $99 en promedio, que podría correr juegos indies y livianos al mejor estilo de OUYA, pero con la gran ventaja de que podrían hacer streaming de otra PC con Steam; es decir, si ya tienes tu “monstruo trucutú” para videojuegos en tu escritorio, podrías adquirir esta maquinita basada en SteamOS, llevarla al salón, y usarla como “extensión” de tu PC principal. Una idea increíblemente atractiva… que no vimos nacer.

En segundo lugar Valve hablaba de Steam Machines en un rango entre los $400 y $600 o $700, con muy buenas prestaciones y que llegarían ideadas para competir directamente con las consolas de sobremesa, ofreciendo absolutamente todo el catálogo de títulos de Steam al usuario. En tercer y último lugar, ofreció Machines a partir de $700 en adelante, con las configuraciones más altas a elegir por el usuario. Es decir, la misma PC de toda la vida solo que con posibilidad de tener un diseño peculiar y funcionar con SteamOS.

Lamentablemente, el modelo más barato nunca llegó (al menos por ahora) y vimos muy pocos modelos gama media, pero aún así, presentamos las 13 Steam Machines de Valve y sus socios que debutaron en la CES 2014.

Para los más exigentes, y bolsillos con resistencia

Valve quería Steam Machines accesibles para todo su público, presumiendo de sus 65 millones de usuarios de Steam que podría dar el salto al escritorio siempre y cuando contara con precios atractivos y todos los beneficios de una PC gamer tradicional. Lamentablemente, lo que más vimos en esta CES fueron modelos ridículamente caros. Eso sí, algunos casos con una ficha técnica bastante atractiva.

Alternate

alternate steam machines

Alternate presenta la que quizás sea la mejor opción por el rango de los 1.000 dólares. Quizás. Este modelo cuenta con un procesador Intel Core i5 4570, una gráfica Gygabyte GTX 760 y 16 GB de memoria RAM, acompañada de una unidad de almacenamiento híbrido SSHD de 1 TB. Su diseño es bastante peculiar y cuenta con un precio de 1.340 dólares, disponible en algún momento del año 2014.

Digital Storm Bolt II

digital storm bolt ii

Este modelo también apuesta por la gama más alta de componentes aunque su precio no se queda atrás. Su diseño aunque recuerda un poco al prototipo original de Valve, también recuerda a una PC tradicional. Lleva en su interior un procesador Intel Core i7 4770K, una gráfica NVIDIA GTX 780 Ti, 16 GB de memoria RAM, 1 TB de almacenamiento en disco duro y una unidad SSD de 120 GB. Todo esto por la módica suma de 2.584 dólares.

Materiel.net

material net steam machines

Un modelo que hace un evidente guiño a los amantes de armar su propio PC, aunque nada más en imagen, dado que la configuración de la máquina Steam de Materiel.net no puede ser modificada. Cuenta con un procesador Intel Core i5 4440, una gráfica MSI GeForce GTX 760 OC, 8 GB de RAM y almacenamiento híbrido de 1 TB SSHD. Su precio, 1.100 dólares.

Webhallen

webhallen steam machines

Otro modelo que apuesta por un diseño peculiar que al verlo, más que parecer una PC (aunque si me recuerda a ciertos NAS), podría pensarse que se trata de un pequeño refrigerador, aunque esto no es algo malo. En su interior lleva un Intel Core i7, una gráfica NVIDIA GTX 780, 16 GB de RAM y almacenamiento híbrido de 1 TB SSHD. Su precio es de 1.499 dólares.

Scan NC 10

scan nc steam machines

Si buscas un diseño exótico y atractivo para tu nuevo Steam Machines, la Scan NC 10 cumple a la perfección con esto. Dentro de su aspecto futurista de dimensiones muy justas, lleva un procesador Intel Core i3 4000M, gráfica NVIDIA GeForce GTX 765M, 8 GB de RAM y almacenamiento de 500 GB en disco duro. Eso sí, aunque luce espectacular, por los **1.090 dólares que cuesta podríamos conseguir algo mucho mejor que una gráfica de serie móvil.

Falcon Northwest “Tiki”

tiki-steam-machine

Esta Steam Machine podría decirse que es la más “tradicional”, en cuanto a personalización de componentes, al menos hasta ahora. Falcon Northwest presentó a Tiki como una opción más hacia lo tradicional, incluso con capacidad de ejecutar dos sistemas operativos (Windows y SteamOS), por lo que podremos elegir entre varios tipos de procesadores, capacidades de almacenamiento hasta 6 TB con o sin unidad de disco sólido, y una o dos NVIDIA GeForce GTX Titan para incorporar. Eso sí, su precio no es nada amigable, ya que va desde los 1.800 dólares hasta los ridículos 6.000 dólares.

Next Spa

next spa steam machine

Uno de los modelos que más sigue la tendencia de parecer una consola de sobremesa, incluso en cuanto a características técnicas dado que solo supera por poco el hardware de PS4 y Xbox One. Procesador Inteo Core i5, gráfica NVIDIA GT 760, 8 GB de RAM y 1 TB de almacenamiento en disco duro, es lo que lleva la máquina de Next Spa. Eso sí, no han anunciado su precio, pero tomando en cuenta las prestaciones podemos estimar que costará entre 700 y mil dólares.

Origin PC Chronos

origin pc steam machines

Quizás el modelo que más me intriga, y a su vez, uno de los que menos sabemos detalles. Durante la conferencia de Valve solo se ha anunciado que contará con un procesador Intel Core i7 4770K y gráficas de la mano de 2 tarjetas NVIDIA GeForce GTX Titan de 6 GB, sí, dos Titan de NVIDIA. No han anunciado su precio, pero solo por ese último detalle podemos estar seguros de que no será nada barata.

Gigabyte

gigabyte steam machines

Con un diseño bastante atractivo y geométrico, los de Gigabyte también han presentado su primera Steam Machine, con un procesador Intel Core i7-4770R, gráfica Intel Iris Pro 5200, 8 GB de memoria RAM y almacenamiento a través de un disco duro de 1 TB. Su precio, tampoco ha sido anunciado, pero podemos esperar por sus prestaciones que se ubique entre los 1.000 y 1.500 dólares.

Modelos más económicos que podrían plantarse ante las consolas

De las 13 Steam Machines presentadas, no todas rondaron el precio de los mil o más dólares, sino que algunos modelos apostaron más por esa gama media de la que nos habló Valve, intentando así posicionarse como una alternativa viable y válida ante las consolas de sobremesa como PlayStation 4 y Xbox One. ¿Lo lograrán?

Zotac

zotac steam machines

Con mucho misterio ha sido revelada esta máquina Steam que recuerda a un router cualquiera. Aunque mencionan que su procesador será un Intel Core, no especifican el modelo, ni tampoco de cuál NVIDIA GeForce GTX llevará en su interior, o cuánta memoria RAM y almacenamiento contará. Al menos al llevar esa línea de CPU y GPU promete algo de potencial, y más allá de eso, su precio de 499 dólares nos mantendrá muy atentos a sus detalles.

iBuyPower

iBuyPower steam machines

En este caso, se trata de un modelo altamente personalizable. El usuario podrá elegir entre procesador Intel o AMD, una gráfica base AMD Radeon R9 270 que podrá cambiar por una más potente si así lo desea, un mínimo de 8 GB de RAM y 500 GB en un HDD. El precio base es de 499 dólares, pero a medida que cambien los componentes, también lo hará su costo, evidentemente.

CyberPowerPC

CyberPowerPC steam machines

CyberPowerPC presentó dos modelos de Steam Machines durante la conferencia de Valve. Uno que cuenta con procesador AMD A6-6400K y gráfica AMD Radeon R9 270, y otro con procesador Intel Core i3 y gráfica NVIDIA GeForce GTX 760, ambos con 8 GB de memoria RAM y 500 GB de disco duro. El primero tiene un costo de 499 dólares mientras que el segundo de 699 dólares, y puedo confesar que de todos los modelos, la versión con Intel y NVIDIA de la CyberPowerPC ha sido la Steam Machine que más ha llamado mi atención.

Alienware

alienware steam machines

Finalmente, Alienware no dio prácticamente ningún detalle de su máquina, que en cuanto a diseño recuerda muchísimo a su PC gamer de escritorio x51. Lo único que han mencionado en cuanto a su hardware es que contará con procesador Intel y gráfica NVIDIA, pero nada más. Eso sí, no han abandonado la conferencia sin asegurar que su precio será competitivo con el de PlayStation 4 y Xbox One, es decir, rondará los 500 a 600 dólares (al menos eso podríamos tomar como verdaderamente “competitivo”), por lo que sin dudas ha llamado la atención y todos estaremos muy atentos a cualquier próxima novedad al respecto de este gigante de los videojuegos en PC.

Estas fueron las 13 Steam Machines presentadas en la CES 2014, y como anuncié al inicio de estas líneas, algunos modelos decepcionan al escapar por mucho de la iniciativa que originalmente planteaba Valve: máquinas desde los precios más bajos hasta los modelos de gama más alta.

Pero tampoco podemos olvidar que este apenas es el primer lote de máquinas Steam que ha visto la luz, por lo que el futuro sin dudas depara muchos más modelos y alternativas. Además, una vez que Valve comience a vender los mandos Steam Controllers, todos los que ya contamos con una PC para juegos, prácticamente ya tendremos una “Steam Machine”.


Recopilatorio de 13 posts del 2013 systemadmin.es by Jordi Prats

Un año más, vamos a ver el recopilatorio de post del año 2013: Uno por mes más el más destacado del año para hacer los 13 posts del 2013:

Para hacer el post número 13, el más destacado del año, tenemos un post de abril dónde se explica el comportamiento de algunos firewalls cuando detectan un escaneo de puertos: nmap y firewalls… fight!.

Solo me queda desear un refrescante 2014

Feliz 2014

Feliz 2014

Post sin tags

Relacionados

  • No hay posts relacionados.

Recopilatorio de 13 posts del 2013 was first posted on December 31, 2013 at 9:09 am.


Follow

Get every new post delivered to your Inbox.

Join 20,642 other followers