DaboBlog

En medio de un mundo de recortes o “precios ajustados a la situación actual” (que suena mejor), hay mucho “emprendedor” de tres al cuarto (al final puntualizo, no se puede generalizar) que pretende poner en marcha un proyecto web abocado desde el principio al fracaso, bien aprovechándose del esfuerzo ajeno, o sin querer pagar a gente preparada en cuestiones fundamentales para la buena marcha de su negocio.

Y así nos va, figuras como consultores (espirituales) que hacen de intermediarios sin la preparación deseada, le dicen al autónomo listillo de turno (perdón, emprendedor) lo que quieren oír. Quizás, ahí radique la primera diferencia, escuchar es un concepto más amplio y para eso tienes que estar preparado a que te digan lo que no te gusta “oír”…

Resulta inquietante ver como proyectos con grandes aspiraciones, toman forma en sobremesas plagadas de conceptos totalmente alejados de la realidad. Creo que la biografía de Steve Jobs (aún no la he leído) ha dejado un legado de visionarios, pero de los que ven visiones muy alejadas de la cruda realidad.

Yo soy de los de Stallman, me van las historias de perdedores y cuando subo a la montaña, no me mato por ser el primero en llegar a la cima. Y aunque no sea un ejemplo a seguir para mi, la mala noticia para esos “empresarios” es que Jobs, sólo ha habido uno.

- “Tengo una idea rompedora, estoy buscando la forma de monetizarla por Internet y se puede poner en marcha casi sin inversión” – (iluminado 1 / Emprendedor – Autónomo de los de toda la vida).

- “¿En serio? ¿de qué se trata? Tengo un contacto de los buenos, montamos la web cagando hostias, controla de todo y anda muy pillado, verás como le interesa – (iluminado 2 / Consultor – espiritual).

La historia continúa buscando un dominio (antes del postre), en el café ya han registrado el Twitter y empiezan a pensar en la cantidad de “amigos” que tienen en Facebook para apoyar su creación. Con la primera copa, uno coge una servilleta y en medio de un estado de clarividencia, empieza a dibujar (todos llevamos un diseñador dentro), mientras el otro no para de decir “lo veo tío, lo veo…”, en la última copa se vienen arriba y en sus tweets ya puedes leer el típico “iniciando nuevo proyecto”…

(Se conocen casos en los que junto al dominio, ya contratan un servidor, barato, eso sí, que estamos empezando y total, en el anuncio decía que por 1 €/mes, está todo incluido. Venga, hagamos un esfuerzo y pillamos el de 5).

Después de la “resaca 2.0″ y montar un negocio en 3 horas, al día siguiente, uno de ellos (consultor, con mucho espíritu) coge el teléfono y hace la mítica llamada:

- Hola, tengo un proyecto entre manos, estamos empezando tío, pero si la cosa va bien hay pasta para todos. Tenemos todo hecho, el dominio, la web planteada, Twitter, etc, ya te contaré, pero te adelanto que no te llevará nada, meteremos un WordPress y he visto una plantilla que se sale -

El desarrollador que no es tonto, al otro lado de la línea pone cara de “esto me suena” y se toma otro café…

(Mientras tanto, el autónomo ha cambiado a toda hostia sus perfiles y tiene una sensación de angustia hasta que encuentra esa jodida foto de la boda del año pasado en la que aparece con corbata y por fin, consigue ponerla de avatar, hay que dar imagen).

No está de más apuntar que en estos casos, hay un tanto por ciento elevado en los que uno de los iluminados, además es experto en SEO, SEM y administrador de sistemas Cpanel, Plesk y phpMyAdmin…

El desarrollador no lo ve claro y prefiere pasar del tema elegantemente. En otro momento de clarividencia, el consultor (espiritual) le dice al pupilo de Jobs:

- “Da lo mismo, lo monto yo y eso que nos ahorramos” – , el otro dice – “cojonudo, yo voy a ir a un evento de emprendedores a hacer networking”, pero primero pasaré por Zara a coger algo de ropa “casual pero formal”, eso sí -.

El consultor “consulta” a su cuñado que estudió derecho, sobre el tema legal de la web y controla un huevo, empieza a crear cuentas de correo en el Plesk y como se viene arriba, compra un theme para el WordPress “de los caros” y después de horas de esfuerzo, pone en marcha el plugin del carrito de la compra y consigue entender eso de los menús personalizados… (el emprendedor está negociando duramente con su operadora para conseguir un S3 y un iPhone 5 “por empresa” de forma urgente, después irá al banco para lo de la pasarela de pago y la VISA…).

En una semana ya está todo montado y la “empresa” es una realidad. – “Ha sido duro, pero lo hemos conseguido” – se dicen mientras toman un café (leyendo el Diario Expansión).

En menos de seis meses el sueño finalizó… ¿Cómo acabó? Dejo los 5 presuntos finales a vuestra elección:

1 – Entre tanto networking, salieron dos actualizaciones de seguridad para WordPress, tenían la versión visible y no querían actualizar “por si petaba el diseño”. Explotaron un bug y les dejaron K.O. Llamaron al desarrollador y cuando les abrió los ojos, se dieron cuenta que no era algo viable a medio plazo si lo querían hacer bien…

2 – Al consultor “SysAdmin” se le pasó darle al botón de “actualizar” en el Plesk de turno, pero previamente, también se comieron un “micro-update”, de esos sobre los que Parallels ni siquiera informa y “los del hosting”, les dijeron “algo de unos ficheros .js” que les colaron y un phising de un banco de Brasil, no tenían un backup.

3 – Cuando contrataron el dominio, no se fijaron en que era una marca registrada para Europa y España “había otra web con el “.es”, pero joder, era de maquinaria industrial”, se lamentó el “emprendedor” que no tenía ni dinero ni ganas para la batalla legal…

4 – Seis meses después, no se pasaban por la web ni los de la familia, gastaban más en enlaces patrocinados por Google “hay que estar arriba” que lo que percibían en concepto de ventas realizadas. Cuando se acabó el dinero, se acabaron las visitas.

5 – Uno de ellos se bajó del carro, (el “consultor”) le llamaron de una entrevista para trabajar a media jornada por 400 € al mes y con la intención de ir dándole duro a la web por las tardes, pero entre tanto lío técnico y las facturas, al final consiguió una jornada completa y dejó sólo a su amigo el visionario. No lo encajó mal, le miró a los ojos y le dijo -”bueno, también Jobs lo perdió todo y pasado un tiempo volvió para triunfar ¿no? -

# Disclaimer. Que no se puede generalizar es tan obvio como real es esta historia. Conozco a grandes trabajadores que acabaron siendo destacados emprendedores, algunos “low cost” en cuanto a la inversión en lo económico, pero no en conocimientos y horas computadas. En otro post, os contaré otra historia, la de personas que lo quieren hacer bien desde un primer momento y no dan con la gente adecuada. ¿Sobre el final? irrelevante, lástima de principio…

Tags: 2.0, actualizacion, hosting, Internet, Opinión, Plesk, SEO, Sistemas, Sysadmin

A continuación, os dejo un resumen de lo que va llamando mi atención sobre (IN) Seguridad informática, los Servers o GNU/Linux. Son de la semana pasada y están recopilados desde mi Twitter (también usados como mi propio “almacén de links” ;).

También recordarte si te interesa la seguridad informática, que en Daboweb (puedes seguirnos vía RSS, Twitter y Facebook) nos hacemos eco de una forma más elaborada sobre temas similares. También te animo a participar en nuestros foros.

Y si lo tuyo es Debian GNU/Linux, nos vemos por DebianHackers, saludos ;).

En mi Twitter, @daboblog, sobre GNU/Linux, Hacking, SysAdmin, semana 37/2012:

• RT @caborian Una nueva revista para los usuarios de #GIMP http://gimpmagazine.org/issue1/
• GNU/Linux FTP Server Traffic Control And Throttle Port 21 –> http://bit.ly/NXgiar |
• Basic useful vim commands for everyone –> http://bit.ly/QI0Vx8
• “Update your IPFire installations as soon as possible if you are using the outgoing firewall in mode 1″ –> http://bit.ly/QaXhzF
• RT [SbD] SQLDump, algo más que Dump http://bit.ly/PxsKZx Gran contribución por @Kari_243
• Vídeo de #Anonymous, #ProjectMayhem2012 (Audio ESP) http://bit.ly/SaBDID #TYLER Vía @LegionJJ
• @seguridadyredes #Suricata IDS/IPS 1.4b1 Instalación y configuración en #Ubuntu mediante PPA.http://bit.ly/Pxtxtz
• eAdobe fixes ColdFusion security vulnerability (CVE-2012-2048), Rating: Important, (DoS) –> http://bit.ly/TJMkHI
• Muy grande -;) RT @seguridadyredes: Rack Project (Volumen 5, final) @ForatInfo -> http://bit.ly/Prfmrr
• A Little Bit of PGP History (By Philip Zimmermann, part of the 1991 PGP User’s Guide) –> http://bit.ly/RHxEbx
• SNMP Introduction Tutorial (Simple Network Management Protocol) –> http://bit.ly/RI6TDP
• Reading… “SUSE GNU/Linux Enterprise Server 11 SP2 Security Guide” –> http://bit.ly/RIegLB
• Using PostgreSQL from PHP –> http://bit.ly/TKsE6F (A Guide for MySQL Programmers).
• En http://Forat.Info -> Rack Project – Vol 6 Armario http://goo.gl/fb/RVz8A
• Security Update. #Debian Servers: bind9 bind9-host bind9utils dnsutils host libbind9-60 libdns69 […]
• WordPress Attack Scanner –> http://bit.ly/OIqf7k Plugin for WP. Pro version more features
• Compromised Websites Hosting Calls to Java Exploit –> http://bit.ly/OIqLSA
• Y @yjesus en @seguridadjabali http://bit.ly/OIrGT0 MT @fluproject: Entrevista a Juan Antonio Calles http://bit.ly/OIrwLu
• RSA Unifies Identity and Access Management Across Enterprise And #Cloud Infrastructures (IAM suite) –> http://bit.ly/OIsqYw
• CRIME (Deflate Token Bruteforce) -> http://bit.ly/QHfXqr | Info about the new SSL/TLS attack (called CRIME, by the BEAST Team)
• Parted Magic 2012_09_12 (GParted LVM support) More info and the list of new LVM features –> http://bit.ly/KlqamZ
• Linux kernel Stable 3.2.29 –> http://bit.ly/QHhtcb (Ben Hutchings has released this Kernel with lots of important fixes)
• @IntecoCert Las condiciones legales de uso de los sitios en Internet al alcance de cualquier usuario: http://bit.ly/PxxiPr
• RT @secbydefault: [SbD] Riesgos reales en VoIP http://bit.ly/Pxxqi3 Muy interesante contribución de @jesusprubio
• Solventados hace meses en Chrome y OS X… RT @daboweb: iTunes 10.7 para Win solventa 163 bugs. http://bit.ly/QItKND
• Gran tuto y material de @eugeniabahit en: “Desarrollo de Aplicaciones Web con Python” –> http://bit.ly/PmEzlc
• @rastreador #AWS Amazon CloudFront ya tiene salida en España. http://ow.ly/dGUok
• Generador de passwords en GNU/Linux. Aptitude install pwgen y por ej: pwgen -s -y 35 %ZI1mN?7b@0!D}`Z\lxpI??yb(B\dsp-}uL
• MT @TheXC3LL: “CRIME Attack on SSL/TLS”: http://bit.ly/QmYIIX Y “Taller de Inyecciones LDAP”: http://bit.ly/QmYCRu
• Bash Script: Write debugging information to /var/log/messages –> http://bit.ly/Qn1KwL ‏
• @daboweb (Post): [Breves] Disponible Joomla 2.5.7, actualización de seguridad. http://bit.ly/O2s1Ew
• Facebook timeline security & #privacy: steps to keep your account & identity safe —> http://bit.ly/RNsDyd
• Manipulated data causes BIND DNS servers to crash –> http://bit.ly/UT1vg3 ” ecords with RDATA fields that exceed 65535 bytes”
• IPv6 Address Monitoring Tool 1.0 –> http://bit.ly/UT3voj | “Ipv6mon is a tool for monitoring IPv6 address usage”
• Sharing Terminal Sessions in GNU/Linux with Tmux and Screen –> http://bit.ly/RWV7Eq | For SysAdmins.
• Agregando a mis RSS –> http://s3ik0tr0n.blogspot.com.es (SQLi, Python, seguridad y PHP, etc) por @s3ik0tr0n
• RT @JoseSelvi El jueves empezamos el SEC-560 en Madrid! Hay una plaza libre, interesados contactar ANTES DEL MARTES.
• @chemaalonso El lado del mal – Pull the Plug: Bureaucratic Denial Of Service (4 de 4) OVH cc/ @ldelgadoj }:))

Tags: Bash, Bugs, Debian, Exploit, Facebook, Firewall, GNU/Linux, Hacking, hosting, Joomla, Kernel, MySQL, Redes, Server, Sysadmin, Twitter, Wordpress

Disclaimer: Publicado originalmente en el blog de INTECO.

Existen muchos mitos sobre un concepto tan utilizado en el mundo IT como el de “respuesta rápida a incidentes“. Podemos incluso, realizar todo tipo de planes de contingencia, continuidad de negocio, previsiones y pruebas de concepto, pero en base a las experiencias vividas en mi día a día con los servidores web, a título personal, o junto a mis compañeros de APACHEctl, a pesar de intentar marcar unas pautas comunes de actuación, en la hoja de ruta a seguir cuando todo lo que puede ir mal sucede, en cada caso tienes que añadir una nueva variable.

Es como un teorema en permanente estado de revisión, cuestionamiento y actualización. Obviamente, cuando has preparado un entorno web desde cero, juegas con la ventaja de saber en que terreno te mueves (sabes cómo puede funcionar el proveedor de hosting, la gestión del incidente, tiempos de recuperación, backups, la gestión de la comunicación y posible respuesta del cliente, medios de los que dispones, etc).

Pero en mi opinión, la complejidad reside en un caso muy común y muchas veces olvidado, donde cuando estableces una conexión SSH, tienes la sensación de estar “en tierra de nadie”. En un panorama como el siguiente, no sirven de mucho las teorías, lo que cuenta es crearlas sobre la marcha con la experiencia adquirida en el desarrollo de ese teorema anterior y ponerlas en práctica en el mínimo tiempo posible. Me refiero al caso tipo de:

“Hola, el motivo de mi consulta es porque mi servidor web no va bien y creo que puede estar comprometido”.

Hablamos de escenarios hostiles, las frases hechas como “lo más seguro es quitar el cable de red” son sólo eso, coletillas con un efecto placebo para el usuario. En momentos así, el único mecanismo de defensa frente al pánico del responsable del entorno de producción de turno, es pensar que quizás pueda librarse de verlo parado con las consecuencias que ese hecho pueda tener, tanto para la empresa, como para los usuarios finales.

Y allí estás, frente a una línea de comandos en un sistema GNU/Linux conocido por su arquitectura, pero totalmente desconocido en cuanto a su estado, en el que ya sabes desde antes de empezar que ese día, tu lista de variables aumentará, esperando también que alguna de las almacenadas en memoria funcionen. En medio del fuego cruzado TCP/IP que está entrando y saliendo por el cable de esa máquina, donde tú sólo eres una pieza más del puzzle (olvídate de protagonismos heredados de Hollywood) y los daños colaterales pueden ser grandes.

Siendo consciente, de que eres posiblemente el paso previo a un posterior análisis forense que de hecho, ya lo estás haciendo, aunque sea a un nivel no tan bajo del sistema. Revisando conexiones, logs y alguna vez, compartiendo sesión con quien ha provocado que estés allí.

Y sí, tienes que manejar de la mejor forma posible tanto la gestión del incidente, la comunicación, plan de continuidad, impacto sobre el sistema, grado de intrusión y todo lo que está en la teoría, ya que una decisión errónea, puede ser el desencadenante de una serie de hechos totalmente desafortunados para todas las partes implicadas, el ligero problema, es que debes hacerlo en minutos, o segundos…

Ahí radica la diferencia con “el escenario ideal”, otra frase hecha, pero en esta ocasión para quien se ha esforzado en implementar todos los planes necesarios que comienzan por ISO, el cliente que ha pagado por ello, o para el sufrido “SysAdmin” que también tiene derecho a irse a dormir algún día tranquilo. Cuando ves la (IN) Seguridad como algo natural y estás familiarizado con ella, sabes que todo es susceptible de pasar de “ideal” a “infernal” en cualquier momento y tienes que estar preparado.

Quizás, por ejemplos como este, uno de tantos, si después lees algo acerca de los intentos de criminalización de nuestra profesión, queriendo limitar el uso de herramientas para realizar auditorías de seguridad o tests de intrusión, es cuando piensas que mucha gente vive en universos paralelos, que más bien podrían denominarse, “para lelos”. Hoy, ese teorema, tan inquietante como abstracto, seguirá evolucionando.

Por cierto, no sé cómo acabará, pero empieza con un “Hacking is not a Crime”.

Tags: Apache, APACHEctl, backup, Forense, GNU/Linux, Hacking, hosting, INTECO, Opinión, Servidor Web, Sysadmin

Disclaimer:

Este post puede considerarse como un acto de promoción dado que soy parte “interesada” o directamente implicada por mi participación en los casos que comento. Ante las (lógicas) posibles dudas, vamos a apelar a aquello de “pásate por ejemplo” por daboweb.com que en breve cumple 10 años y sólo verás un lugar más de ayuda informática, totalmente desinteresado, sin publicidad y hecho por amigos, no colaboradores, amigos, reitero, por y para la comunidad, aprovecho la ocasión para mandar un saludo a mis compañeros de Caborian.

Además, son más cinco años junto a vosotros por aquí en DaboBlog como para que os venga a contar películas en formato TS Screener (recuerda, descarga, pero con calidad).

¿Por qué esta entrada? Y tan tarde…

Bueno, era algo que tenía pendiente, a pesar de que intento conservar cierta actividad en las webs que promuevo o participo, colaborar con el podcast de mi amigo Dani, con el que he grabado unos audios sobre seguridad Wifi y seguridad en dispositivos móviles “para todos los públicos” (por cierto, sobre DaboBlog Podcast, pronto sacaremos un nuevo episodio, o eso espero;), Iniciación a la seguridad informática y “Crackers, Hackers & Hacktivismo“.

Como os decía, es frustrante por ejemplo, abrir Twitter y no poder leeros como me gustaría, no devolver todo el feedback que llega, dejar de publicar aquí con mayor regularidad o en Daboweb, DebianHackers, etc, pero uno da hasta donde da y tiene sus limitaciones. Acabo de ver que mi último post es del día 18 de Enero, día del famoso “Blockout“.

Situación actual.

Actualmente me encuentro inmerso entre una marea de cursos que estoy impartiendo (dentro de las actividades que llevo a cabo desde davidhernandez.es) y otra marea, pero en este caso, con APACHEctl.com junto a mis compañeros. Hablo de mareas de bytes, servidores web, auditorías de seguridad, terminales, intervenciones de urgencia, etc y todos los problemas a los que se puede enfrentar un autónomo en una época como esta, además de un proyecto en común que va gestándose con paso firme y a ritmo suave con Emma Fernández, buscando una diversificación en base a ciertos servicios que demandan algunos clientes.

Servidores y aplicaciones web, usuarios, condicionantes…

Y de mi actividad principal quería hablaros, servidores, seguridad, clientes, SysAdmins y algún ISP que en lugar de “Internet Service Provider“, bien podría ser un acrónimo de “Internet Sopla Pollas“. Sí, de varios hechos que he podido comprobar con mis propios ojos, algunos adelantados en medio de sensaciones entre el cabreo o la falta de comprensión por mi parte y…ciertamente hacen falta más de 140 caracteres para expresarlo. Eso sí, 140 caracteres son pocos, pero aunque tampoco quiero abusar de vuestro limitado tiempo en medio de una multitarea cada vez más acuciante, reconoceréis que a casi un post por mes, tengo que exprimir un poco el teclado ;)

Partamos de la base de que no siempre se puede actualizar como te gustaría o querría el cliente, existen ciertas dependencias entre algunas aplicaciones web, versiones del S.O, entornos de producción que no se pueden parar (de todo esto hablamos Sergio Hernando y yo en el “Especial Seguridad“) y situaciones en las que hay limitaciones tanto técnicas, comerciales o administrativas que impiden un estado ideal de algunos sistemas web en producción. Me tranquiliza en lo personal, saber que en ninguno de estos casos se den esas circunstancias.

Por otro lado, si alguien que trabaje en seguridad o sistemas no entiende que bajo ciertas condiciones, su infraestructura puede ser comprometida, debería pensar en cambiar de trabajo porque cuando viene un cliente buscando que le vendas una utopía, o veo en algún sitio web eso de “garantizamos al 100 % tu seguridad” me quedo alucinado o pienso ¡Qué envidia, si yo pudiera…!

A dos días de terminar de impartir un curso sobre SGSI, LOPD, LSSICE y todas las implicaciones y embrollos legales que se pueden dar cuando manejas datos de terceros, (aprovecho para saludar a esos 14 alumnos con los que tanto aprendo;), cada vez me doy cuenta de que en la solidez de la gestión de la seguridad entran en escena tantos protagonistas (ISP, Webmaster, sofware instalado, usuarios, SysAdmin, etc) que controlar todas esas variables al 100 % es prácticamente imposible, os recomiendo (sobre el factor humano) esta entrada “Por qué falla la seguridad” de los colegas de Security By Default.

Leer el resto de;”De Servidores Web comprometidos y personas o empresas que no se comprometen.”

Tags: APACHEctl, Ataques, Blogs, CMS, Dabo, Forense, hosting, Internet, ISP, Opinión, Servidor Web, Sistemas, Software, Spam, Sysadmin, Webmaster

Edito y añado; Resumen de mi charla

A raíz de una distendida y enriquecedora charla que mantuve con Carlos Urioste (Blog > “Voolive“), gerente de El Comercio Digital y gran conocedor de un medio tan “desconocido a veces por los medios” (tradicionales) como es Internet, me he embarcado de lleno (hasta la piscina diría yo-;) en la tercera edición del Foro Internet Meeting Point, Fimp) que se celebrará en Gijón entre los días 1 y 3 de Julio.

En reunión estuvo también Ana Fernández Ordíz (Blog > “Con Alegría e Ilusión“), ella forma parte del equipo que se encarga de promoción y participación online en El Comercio Digital y se nota cuando la gente hace su trabajo llevando el título de su blog a la práctica “con alegría e ilusión”.

Insistieron en que tenía que estar en el FIMP de este año y a pesar de que les dije que hay gente más preparada que yo para estar en un evento de tal calibre, quise estar a la altura de la confianza que depositaron en mi y acepté encantado, consciente de la responsabilidad que supone.

No hay más que darle un vistazo al plantel de ponentes o participantes de este Fimp 2010 (PDF) en las diferentes charlas o mesas redondas para darse cuenta de lo que hablo cuando digo “responsabilidad”…Podéis también ponerles cara a algunos de los organizadores y participantes (no pude estar) que vía Twitter lo presentaron.

Carlos me dio libertad total para prepararlo, imagino que buscaba también la experiencia personal de alguien que como yo, se ha tenido que ir buscando la vida para ir canalizando el tráfico que le llegaba a sus webs.

Un incremento de tráfico que tuve que lidiar primero con un Daboweb que, cuando empezamos (año 2002) ya era un foro con bastante tráfico y sobre todo, hablando de incremento de tráfico, la prueba definitiva para mi llegó a partir del 2005 con Caborian que, al mover tantas imágenes y con unas dos millones de páginas vistas al mes, además de muchas consultas a la base de datos, también es un buen “potro” que domar, además de otras webs que ya conocéis.

Por otro lado, los más asiduos al podcast o el blog, ya sabéis de mi relación tan estrecha con los temas relacionados con la seguridad. El eterno aprendiz, así me podría catalogar en un campo tan vivo como este. Al final, después de darte de leches noches y más noches con el sistema (ya lo digo en mi ficha de participante en el FIMP, no he tenido la suerte de poder estudiar nada relacionado con la informática dentro de un aula) te das cuenta de la gran relación con la seguridad que hay entre un sistema bien optimizado y uno que no lo esté.

Corría el año 2005 cuando contraté mi primer servidor dedicado en Interdominios, (a los que les doy las gracias por el apoyo continuado desde que empecé), un Pentium III con 512 mb de Ram y 40 Gb de disco duro que se portó siempre como un campeón, estaba cansado de sufrir caídas del foro dentro del alojamiento compartido en el que estaba y gracias a Raúl Naveiras, gran amigo y mejor sysadmin, programador y un largo etc, comencé a ser mi propio ISP y de paso, a verle las orejas al lobo y darme cuenta de lo poco que sabía acerca de estas temáticas.

Gracias a Raúl, también aprendí a vivir sin esos paneles gráficos como Plesk, Cpanel, DA, etc que tanto te facilitan la vida cuando no sabes pero que a su vez, tanto limitan tus conocimientos sobre el sistema (GNU/Linux en mi caso), además de tomar un protagonismo excesivo sobre el mismo. Ya les dediqué una entrada en el blog a estos sistemas y la falta de una administración adicional en la máquina.

Luego, cuando fui aprendiendo a base de prueba-error, pasé a meterle mano a servidores dedicados más potentes y a administrar otros de terceros. En estos 5 años, he ido pasando por diferentes fases hasta llegar a comprender más o menos como se mueve todo esto.

También a ser consciente de los problemas que se encuentra cualquiera que inicia un blog u otro proyecto web y empiezan a subir sus visitas, y con ello sus problemas a la hora de elegir su plan de alojamiento adecuado, o ser consciente de lo que deberían pedir cuando contraten un nuevo hosting.

No deja de ser menos cierto que el compartir experiencias en nuestros foros de Daboweb, te ayuda hacerte una idea de los problemas de los demás y cómo intentar paliarlos llegado el caso. Y relacionado con todo esto y la charla-demostración práctica del FIMP, pensé que el compañero de viaje ideal para llevarla a buen puerto era Oscar Reixa (Oreixa).

Alguien que de blogs, ahí están todos sus planetas dentro de Galaxia Blog, ( Recién renovados; Reixa, Mac, iOS, iPhone), de tráfico y de cómo buscarse la vida también sabe mucho. El mismo día en que se confirmó mi asistencia al FIMP, me tomé una cerveza con otro que de este medio podría hablar largo y tendido, desde el punto de vista del blogger, formador, usuario o sufridor de los picos de tráfico de su éxito -;). Hablo de mi amigo Juan García, “Kids” de Blogoff, quien por cierto ha escrito una recomendable entrada sobre “Por qué ir al Fimp sin conocer el Fimp“.

Juan me dio algún consejo para la charla, o más bien me contó cómo le gustaría que fuese según su percepción de las cosas o cómo le afectan las cuestiones de optimización y seguridad en el día a día de la publicación y la forma de afrontarlas. Además darme un montón de ánimos para el día 3, como muchos de vosotros -;).

También estos días, hablando con grandes amigos y gente que lleva adelante proyectos con peso y solera en Internet como pueden ser Destroyer y Danae, Forat, AJ, Rafa Espada o Diego, (juntos llevamos adelante DebianHackers) en este caso me refiero a personas que llevan adelante blogs regularmente pero que también administran sus servidores Privados/Dedicados (o co-administramos, ahí estamos ayudándonos unos a otros desde hace años-;), también voy cogiendo ideas (Liamngls, me faltas tú-;).

Pero para no perder la perspectiva, las sugerencias de otros que van “más tranquilos” en La Red como David Busto o Karbonato, nos vienen muy bien para preparar la charla. En este caso hablo de usuarios a los que no les preocupa tanto el sistema, sino el resultado final de la publicación aunque se interesan por el sistema y Karbonato por ejemplo, tiene un VPS bajo Debian.

¿El resultado?, más o menos la descripción que Oscar y yo a modo de resumen, hemos hecho para dar unas pinceladas de lo que compartiremos con el resto de compañeros que asistirán al evento. Tal y como se indica en el programa definitivo del Fimp; También está al completo con los participantes en PDF.

Título;

“Sobrevive a tu tráfico web sin morir o arruinarte en el intento”.

Descripción;

“Soñamos con aumentar el tráfico de nuestros blogs, pero ¿estamos preparados para un incremento súbito en las visitas sin perder el “sueño”? Repasaremos técnicas básicas de guerrilla para tener a punto tu WordPress, optimizar y preparar el servidor web para absorber ese tráfico.

También veremos con ejemplos y demostraciones prácticas, lo complejo que resulta a veces diferenciar entre el tráfico legítimo y el indeseado que llega hacia tu sitio web. Todo ello apoyado con escenarios reales de ataques web de diversos tipos, dando desde nuestra propia experiencia, algunas pautas para paliarlos y una visión global de lo que deberías saber antes de pasar por caja y contratar una nueva máquina”.

Quizás lo más complejo haya sido darle forma a todo o más bien resumir lo más importante. Esa fase ya está superada (más o menos-;) y ahora queda preparar cada uno nuestra parte. Dispondremos de 60 min y lo haremos en dos bloques, estamos controlando ahora mismo el tiempo para cada uno de ellos. En ambos casos, apoyaremos lo comentado con ejemplos realizados en riguroso (esperemos que no falle-;) directo.

Mi compañero de viaje en el Fimp, Oreixa, se centrará en temas relativos a lo importante que es la elección de un hosting y los puntos a tener en cuenta para contratar un nuevo plan de alojamiento, hablará de optimización desde lo más básico en WordPress (usado por la gran mayoría de asistentes a la charla, también dará pautas y herramientas para asegurarlo), hasta temas de más complejidad en el lado del servidor, válido para un VPS o dedicado, (cachés de disco, memoria, PHP, MySQL, etc), monitorización de servicios y el sistema, etc.

Por mi parte me centraré en temas que afectan a la seguridad y en lo complejo que resulta a veces diferenciar el tráfico legítimo del indeseado. También haré alguna demostración práctica de cómo se llevan a cabo ataques de fuerza bruta como los que realizan servidores o hosts troyanizados (típica Botnet) contra protocolos tan delicados como SSH, FTP, etc, ataques DoS bajo peticiones HTTP o Syn.

También se verán ejemplos de cómo un buscador puede tumbarte un servidor, ataques XSS, vulnerabilidades en PHP y otros servicios, seguridad por oscuridad con varios ejemplos y sus correspondientes test de intrusión externos, ver un firewall en acción y algún consejo para usarlos, búsqueda de Rootkits, control de puertos y servicios a la escucha, etc.

A su vez, iremos viendo alguna medida para poder paliar (en parte, ya que la seguridad “total” es una utopía y más en un servidor web). Como todo esto se va realizar usando 4 o 5 servidores reales en producción, sólo espero que no nos fallen las comunicaciones aunque intentaremos tener un plan B o C. Si os pasáis por el Fimp esos días, puede ser un buen punto de encuentro para ponernos cara delante de unas birras -;).

Edito y añado;

Resumen de mi participación y los temas que traté

Muchas gracias a todos por los ánimos y por vuestras entradas que voy leyendo ;)

Oscar en Planeta Reixa

Fernando en SInLaVeniA

David en Ennegativo

Forat en Forat Dot Info

Diego en DebianHackers.

Caborian Caborians en el FIMP

Además de todos los apoyos que llegan desde Twitter, mails, etc. En “Fimp” que sois la leche ;)

Tags: Apache, Ataques, Blogs, Cpanel, DaboBlog, Debian, Gijón, GNU/Linux, hosting, Internet, ISP, MySQL, PHP, Plesk, Servidor Web, Sysadmin, Wordpress