Search results for 'app:weblogs' matching tag 'Seguridad'

URGENTE bloqueen estos dominios que están enviando virus…

ddaz — Thu, 30 Jul 2009 05:00:00 GMT

por msn me envio un compa unos links que son virus…: ( cuidado con los links k descargan un virus en .exe… no lo ejecuten… )

el primer mensaje decia :

“ oye viste este video donde dicen q michael jackson puede estar vivo :X http://UNIVERSALNOTICIAS.tk/michael-jackson vivo ese miralo “

y luego este otro :

“ehy estas ahi?? bueno espero que te guste oki? http://POSTALBUBA.TK/?postalid=Julio9877633 “

investigando un poco pude ver que estos estaban hosteados aqui… en este dominio….. http://www.mlib.cnr.it

y mas aun jugando con las url .. pude ver 4 templates para hacer pishing e infectar pcs … –paginas con datos falsos-

http://www.mlib.cnr.it/ARRM1/templates/xos_travelportal/.e/Escritorio/ <— verán 4 carpetas.. cada una es una web falsa…

no se cuanto tiempo esten esas paginas online ya que ya las reporte como virus..seria interesante si las ven…..

casi se me olvida.. los que tengan firewalls bloqueen todos estos dominios… por seguridad de su red.

ACTUALIZACION... HASTA AHORA ESTOS ANTIVIRUS LO DETECTAN : http://www.virustotal.com/es/analisis/807c076c5081b90cdb9c2e4ce4221163f07be2e8d8f5c2c80fe30398068f156c-1248992663 , espero pronto lo detecten los demas tbm

Salu2

Ddaz

:) Publicacion cruzada desde Geeks.ms :) http://geeks.ms/blogs/ddaz

Windows 7 es Afectado por el Ultimo Problema de Seguridad del IE MS09-034?

ddaz — Thu, 30 Jul 2009 05:00:00 GMT

Situacion:

platicando con un amigo, encontramos una situación algo compleja, ya que leyendo el boletín de Microsoft sobre los Problemas de Seguridad en IE allí dice explícitamente

justamente en una platica con un amigo de Microsoft el me decía que “ Windows 7 no es afectado” , y yo le decía que si… y el me dijo “ es la información oficial”.. (http://www.microsoft.com/technet/security/bulletin/ms09-034.mspx)

hace unos momentos me acerque al historial de actualizaciones y vi esto:

y en esa imagen dice que “ si es vulnerable”, así que en primera instancia se ve una contradicción... pero veamos… a que se deberá esto?

Mis Suposiciones – ya que no tengo información oficial al respecto- :

La Versión RC del Win 7 – la que todos los mortales que no son empleados de MS y no están con el Partner Program(solo unos cuantos selectos, creo que los OEM y quiza unos mas) tenemos, ya que ellos ya usan el RTM- si es vulnerable al problema ese – no olvidar que tenemos el build 7100 y el RTM pasa el 7600 –.
Al ser un Producto Beta – ya que públicamente aun no llega a la gente común y silvestre el RTM- ms no lo quiere marcar en la lista – un bug menos- y ponerle el parche cuando salga al publico – 6 de agosto – o en estos momentos recompilarlo… .
el build 7600 ya NO es afectado por ese bug, pocas personas en este planeta pueden verificarlo… al menos yo no pude, ya que aun no tengo acceso al RTM – y por suerte solo tengo que esperar unos cuantos días mas, ya que ms ya dijo que siempre si me lo dará free jeje-

fuera cual fuera el caso, la realidad es que el Win 7 RC, la que miles de personas tienen y lo tendrán usando hasta el próximo año SI es afectado por el bug antes mencionado, me parece algo malo que Microsoft no lo mencione en la lista de programas afectados, por mas que sea un software beta, ya que Microsoft mismo distribuyo masivamente el RC.

por mas que sea un software Beta, se debe de ACTUALIZAR WINDOWS siempre, justo platicaba con otro amigo que tenia el RC, y me dijo que no tenia ni un solo parche del win 7 instalado.. “ por que era beta” … espero los demás no cometan el mismo error, sea beta o no, si es afectado por un bug, son vulnerables a ataques…. y como ya saben, es mejor prevenir que lamentar.

En Conclusión:

Windows 7 RC SI ES AFECTADO POR EL BUG DEL MS09-034, asi que deben de actualizar windows!

si quieren revisar la información oficial, pueden verlo en : http://www.microsoft.com/technet/security/bulletin/ms09-034.mspx

Salu2

Ddaz

:) Publicacion cruzada desde Geeks.ms :) http://geeks.ms/blogs/ddaz

Nuevos Bugs CRITICOS en Windows, en esta vez el culpable es Visual Studio –Actualicen URGENTE-, No es simulacro xD!

ddaz — Wed, 29 Jul 2009 05:00:00 GMT

Acaban de salir 2 boletines de Microsoft con el nivel de URGENTE , donde pide actualizar, en el primero el Internet explorer – todas las versiones, hasta el 8- y en el 2do el Visual Studio 2008 – el texto dice:

MS09-034 / Crítico para las versiones de Internet Explorer 5.01, 6, 7 y 8 corriendo sobre versiones de Windows XP, Vista, Windows Server 2003 y Windows Server 2008 (mas info aquí: http://www.microsoft.com/technet/security/bulletin/ms09-034.mspx)

MS09-035 / Afecta a las aplicaciones desarrolladas con la tecnología Active Template Library (ATL) incluida en Visual Studio. Esta actualización es específica para desarrolladores de componentes y controles. ( mas info aquí : http://www.microsoft.com/technet/security/bulletin/ms09-035.mspx)

Por favor, siga las siguientes recomendaciones:
• La actualización de seguridad MS09-034 para Internet Explorer, es importante asegurarse de seguir los siguientes pasos para protegerse:

- Ejecutar el Windows Update y asegúrese de instalar: Actualización de seguridad No. KB 972260
• La actualización de seguridad MS09-035 para Visual Studio, es importante asegurarse de seguir los siguientes pasos para protegerse:
- Ejecutar el Windows Update y asegúrese de instalar: Actualización de seguridad No. KB 969706

Bueno según lo que aparece en el Windows 7 la descarga del fix para el MS09-34 es de 5.9mb, mientras que la descarga para el MS09-35 es de 365.2MB.

sobre si es bueno o malo… ps solo podría decir “ACTUALICEN, ESTO NO ES UN SIMULACRO”

si bien en el boletín dicen que aun no sea detectado ataque contra estas vulnerabilidades, no duden que en esto días aparece, así como paso con el Conficker la ultima epidemia de virus que ataco este año y se bajo a miles de PC en todo el mundo,eviten desastres, actualicen no esperen que haya una tragedia para hacerlo.

Salu2

Ddaz

:) Publicacion cruzada desde Geeks.ms :) http://geeks.ms/blogs/ddaz

Cómo aprovechar las nuevas carácteristicas y herramientas de Windows 7 para lograr aplicaciones más seguras

Hector — Fri, 24 Jul 2009 05:00:00 GMT

En el dia de hoy salio publicado mi nuevo ScreenCast en el MSDN Media Center, hecho para la campaña de Windows 7x7, que soporta el lanzamiento de Windows 7. El tema que toque es uno que he trabajado durante muchos años, la seguridad en el desarrollo de Software.

Pueden ver el ScreenCast en linea aqui.

Cómo aprovechar las nuevas carácteristicas y herramientas de Windows 7 para lograr aplicaciones más seguras

Hector — Fri, 24 Jul 2009 05:00:00 GMT

Pueden ver el ScreenCast en linea aqui.

Evaluando la compatibilidad de las aplicaciones con Windows Vista y Windows 7

mmendozg — Fri, 26 Jun 2009 05:00:00 GMT

Cuándo se anuncia el lanzamiento de una nueva versión de Windows, en los grupos de desarrollo de aplicaciones de todas las empresas surgen al menos dos preguntas con bastante frecuencia:

- Cómo se van a comportar mis aplicaciones en esta nueva versión?

- y qué nueva funcionalidad me puede ofrecer la nueva versión para mejorar mis aplicaciones?

El caso de Windows 7 no es la excepción, y es importante encontrar respuestas a estas preguntas rápidamente para definir una estrategia apropiada al interior de nuestras compañías. Sin importar si nos dedicamos a hacer software a la medida, o si desarrollamos software empaquetado, tarde o temprano la necesidad de evaluar nuestras aplicaciones en esta versión de Windows va a surgir. En este post me voy a centrar especialmente en dar algunas recomendaciones acerca de la primera pregunta, espero poder aportar algunas recomendaciones para la segunda pregunda en un artículo posterior.

El primer lugar dónde podemos empezar a buscar respuestas acerca de la compatibilidad de las aplicaciones es en MSDN. En este sitio Microsoft ha publicado dos guías muy completas sobre las nuevas características de Windows ( Windows 7 Developer Guide: http://code.msdn.microsoft.com/Win7DeveloperGuide/Release/ProjectReleases.aspx?ReleaseId=1702 ) y sobre las consideraciones de compatibilidad de aplicaciones con esta versión (Windows Application Compatibility: http://msdn.microsoft.com/en-us/windows/aa904987.aspx ).

Este último en particular contiene el Application Quality Cookbook para Windows 7 http://msdn.microsoft.com/en-us/library/dd371778(VS.85).aspx y Windows Vista http://msdn.microsoft.com/en-us/library/bb757005.aspx

Uno de los primeros aspectos a evaluar sobre la compatibilidad con Windows 7 es si mi aplicación es compatible con Windows Vista. Si ya hemos hecho esta evaluación y la hemos pasado, estamos a más de la mitad del camino para garantizar que se va a comportar bien en Windows 7. Por esta razón es importante leer cuidadosamente ambas guías.

Si se encuentra en E.E.U.U. o en alguna área dónde exista un MCT (Microsoft Technology Center) o se puede desplazar hasta alguno, también es recomendable que evalué la posibilidad de asistir a un Windows Readiness Lab. Donde podrá profundizar sobre aspectos de compatibilidad directamente con personal de Microsoft; Desafortunadamente en el área de Latino América no existe un MCT.

Para aquellos que ya evaluaron la compatibilidad con Windows Vista hay dos aspectos claves que deben revisar sobre la compatibilidad con Windows 7:

· En primera instancia las aplicaciones y servicios que se retiraron del sistema operativo, entre los que se encuentran por ejemplo Windows Mail o él Microsoft Agent y sus componentes o Windows Registry Reflection; en este caso si estaban siendo utilizadas dentro de sus aplicaciones se debe evaluar el mecanismo que las va a reemplazar.

· Por otra parte estan los cambios en los comportamientos en los servicios y componentes del sistema operativo, entre los que se destacan los cambios en MSMQ en dónde ahora por defecto todos los mensajes de salida se firman con el algoritmo SHA2 e igualmente todos los de entrada deben estar firmados para procesarlos. Otro cambio se da en el nivel de protección sobre una gran mayoría de llaves del registro, especialmente las relacionadas con el servidor COM del sistema. En este tipo de caso se debe decidir si se puede configurar la aplicación para convivir con este comportamiento, que es la opción más recomendada o por el contrario si se debe configurar el servicio o el componente para soportar configuraciones previas que en todos los casos va en detrimento de la seguridad y confiabilidad de Windows 7.

Si aún no se ha evaluado la compatibilidad con Windows Vista, el camino es un poco más largo e incluye una serie de aspectos más críticos por revisar. Entre los más importantes están:

· UAC (User Account Control), que es la manera con la que Windows Vista y Windows 7 implementan el principio del menor privilegio de cara al usuario final y a las aplicaciones. En este caso las aplicaciones que funcionaban sin complicaciones en versiones previas, pueden sufrir problemas al intentar acceder a recursos privilegiados y este ser denegado explícita o implícitamente por el usuario. Con UAC todos los usuarios se ejecutan como un usuario estándar, aún si pertenecen a grupos privilegiados como administradores. Cuando una aplicación es marcada como requerida de elevación de privilegios, se le notifica al usuario para que dé el consentimiento. En este caso la aplicación debe estar preparada para manejar apropiadamente la solicitud de recursos y el manejo en caso de no contar con ellos.

· WRP (Windows Resource Protection ), que evita que las aplicaciones tengan acceso a recursos exclusivos del SO incluyendo archivos, carpetas y llaves del registro. En este caso muchos recursos del sistema solamente pueden ser modificados por procesos los servicios de instalación del propio Windows.

· IIS7, aunque Windows Vista y Windows 7 no son productos para soportar un ambiente de producción de un sitio web, si son una excelente herramienta para desarrollar aplicaciones para Windows Server 2008. IIS7 incluye una gran cantidad de funcionalidad nueva, pero también tiene cambios importantes en el soporte a funcionalidad propia de IIS5 especialmente lo relacionado con los filtros ISAPI, el modo de aislamiento de IIS 5 y el Internet Data Connector.

· Cuentas por defecto para los servicios y named pipes. En Windows Vista y Windows 7 muchos de los servicios que anteriormente se ejecutaban con LocalSystem ahora se ejecutan con LocalService y con NetworkService y adicionalmente el comportamiento sobre RPC y named pipes se restringió para evitar que si un servicio se ve comprometido se pueda propagar el ataque a otros.

· Session 0. En versiones previas de Windows, todos los servicios se ejecutaban en lo que se llamaba la sesión cero, con la primera sesión interactiva. En este modelo tanto servicios como aplicaciones interactivas se ejecutaban de manera conjunta. En Windows Vista y Windows 7 la sesión cero se aisló de la primera sesión interactiva para minimizar los ataques generados por código de aplicación.

Así como estos aspectos, muchos otros como los cambios en el Network stack o como la introducción de WFP (WindowsFiltering Platform), son importantes al evaluar aspectos que puedan evitar que las aplicaciones se comporten como lo venían haciendo en versiones previas de Windows.

Nuevamente es importante que le revisen la documentación disponible en MSDN y evaluar el impacto de cada uno sobre las aplicaciones.

Office 2007 Service Pack 2 listo para la descarga

Anonymous — Tue, 28 Apr 2009 05:00:00 GMT

Microsoft publicó hoy el SP2 para Office 2007, además de una interesante nota disponible en: www.microsoft.com La descarga está disponible en: http://www.microsoft.com/downloads/details.aspx?FamilyID=b444bf18-79ea-46c6-8a81-9db49b4ab6e5&displaylang=en Mientras que la información detallada en: Technical details about the 2007 Microsoft Office System Service Pack 2 (SP2) releases y Description of 2007 Microsoft Office Suite Service Pack 2 (SP2) and of [...] Related posts:

Office 2003 Service Pack 3 disponible para descarga Gente, Microsoft lanzó el SP3 para Office 2003. La información...
Office 2007 Service Pack 1 listo para descargar Gente, Microsoft acaba de lanzar el Service Pack 1 para...
Exchange Server 2007 Service Pack 1 listo para la descarga Hola a todos, Microsoft acaba de lanzar (hace minutitos) el...

Pato aventura : Analisis de un virus en frio…

ddaz — Sun, 26 Apr 2009 05:00:00 GMT

Hola:

les voy a contar mi ultima pato aventura..

Ddaz.mode=Daniel

hoy en la mañana me llego un email, de esos típicos que te dicen que alguien te envío una postal…

a diferencia de antes cuando enviaban este tipo de emails de alguna cuenta inventada, que podía ser fácilmente marcada como “no deseado”, están enviando estos emails de la cuenta “info@hi5.com” que esta tomada como “cuenta normal” y a casi nadie le llega a la carpeta de “correo no deseado” – lógicamente fue enviado desde un lugar que no es el verdadero… en teoría el email viene desde el dominio metropostales.com, y el que envió el email no es el mismo dominio

lo primero que suelo hacer en este tipo de casos es ver el encabezado del email, en hotmail – o live mail – pueden darle con el botón derecho al email y seleccionar “ver código fuente”, les dejo la imagen del encabezado, no borre las direcciones ni dominios originales – para que vean quien fue el que lo envió… -

Al ver este tipo de datos en la cabecera del email es posible estar seguros a un 99.9% de que es un email falso, al dar clic al vinculo – no pude resistirme – me di cuenta que descargaba un archivo que tenia un icono de un circulo y decía claro –si, el de una empresa de telefonía que funciona en Perú –, en este momento ya estaba totalmente seguro que era un virus, solo que aun no estaba muy seguro de que sea de Perú.

en esta ocasión hice lo que siempre hago – soy partner de ESET,si los del nod32 –, y les envío de vez en cuando alguna muestra de virus que encuentro – bueno tbm me gusta coleccionarlos, quien sabe, quizá algún día los ocupe –, lógicamente al ser domingo es lógico que no respondan rápidamente, así que decidí esta vez analizarlo un poquito,

lo normal en estos casos es subirlos a 2 posibles webs http://www.virustotal.com o http://virscan.org/ estas paginas analizan el archivo que se envié y lo escanean con una gran variedad de antivirus y dan como resultado si el archivo es detectado como virus o no, por que antivirus y en que versión de firmas, en mi caso lo subi al internet, aunque en ese momento ningún antivirus lo detectaba aquí les dejo la url http://www.virustotal.com/es/analisis/c1e72ab9b30c4942e1eb3f3d2ae94d09.

luego me puse a ver las propiedades del archivo y pude ver esto :

Al ver estos datos pude ver que el que creo el virus no es tan metódico, ya que dejo demasiadas cosas sueltas como el nombre del proyecto “Proyecto1” , y el archivo original se llamaba formulario.. e visto virus mas elaborados y no se saltan este tipo de detalles.

el segundo paso era saber con que fue compilado – en que lenguaje se hizo –, para esto use la herramienta “File Inspector XL”, el cual pueden descargar desde esta web http://www.exetools.com/file-analyzers.htm , dándome como resultado :

ya con esto pude saber que lo hicieron con Visual Basic - donde están los que dicen que el VB no sirve ? -

ya sabiendo esto, solo tenia que buscar el descompilador – o desensamblador - adecuado, ya que no todos los desensambladores funcionan con todos los ejecutables, en este caso use 2, uno es el VB decompiler lite y el otro fue el W32DASM – con un parche para referencias VB –, y las imágenes que salieron fueron:

de esta imagen algo que destaca es “MicrosoftUpdateManager” suena a la ventana de Windows update, pero no dijo mucho, así que me fui con el W32DASM.

al abrir el archivo con el w32dasm, y luego ir a la sección de “String references” salieron estos datos – cadenas de texto usadas en el programa y que pudo analizar el de compilador, en frio, vienen datos como :

“load=C:\windows\system32\updmngr.exe” que debe ser el nombre de como se instalara el Virus, y esto se podría ver luego en el msconfig.
“http://minux2010.no-ip.org” este es el sitio donde el virus envía /recibe información.
“c:\windows\system32\drivers\etc\hosts” este es un archivo de sistema que guarda unas urls en cache de la pc… el virus – como muchos – infectara la pc, lo mas común es para que cuando uno abra una ventana del navegador, automáticamente se conecte allí.
En la imagen se ven algunas secciones como <PRE> y </PRE> así que de aquí se puede suponer que mostrara una ventana con algo de código HTML.

todo esto aun sin analizar en código ensamblador mostrado – que tomaría algo mas de tiempo - y bueno, al menos por ahora es suficiente, ya que es un analisis simple, sin tener que ejecutar la aplicación.

intente correr el programa en una pc virtual con Windows 2003 y en mi pc host con Windows 7, pero como no tenia las librerías de VB6 – msvbvm60.dll - , salió un error y el virus no funciono uhh que pena – si alguien quiere el virus, se lo puedo enviar por email – si es que me lo pide… lógicamente-

Quería enviarles un screenshot de la ventana del virus… pero al menos por ahora aun no me animo a descargar la dll que hace falta, para poder abrirlo….

lógicamente no mostré mucho sobre el desensamblado – cosas que mostrare en un futuro - , el w32dasm pueden encontrarlo en “Crackerskit 2” – googleando lo encuentran – o tbm en esta pagina http://www.exetools.com/disassemblers.htm .

Se que esto no tiene nada que ver con .net… pero recuerden que “No solo de .Net vivirá el hombre, sino de todo código que sea escrito y sea funcional.”

con esto respondo el pedido de Ebersys

Ddaz.mode=Dacito

Salu2

Ddaz

:) Publicacion cruzada desde Geeks.ms :) http://geeks.ms/blogs/ddaz

Ejemplo Practico – Cuando los testers no están capacitados… o al menos no lo suficiente

ddaz — Wed, 24 Dec 2008 06:00:00 GMT

Este post esta adelantado a su tiempo - porque tenia que salir antes otro post - , pero la situación lo amerita.

Antes que nada, estoy consiente de que este bug es algo difícil de encontrar, pero por el tamaño de la victima, es imperdonable.

Hace unos cuantos días salió un otro parche critico al IE, este bug (súper critico) al parecer a estado unos 9 años en el mercado, solo que hace poco recién a sido sacado a la luz, lo cual no dice desde cuando a podido ser explotado, ya que hasta donde se, no todos los bugs son “públicos”, siempre hay algunos que se guardan (para así poder ser usados )…, igual y este no es el caso , igual y si…; aquí lo importante es que ya salió a la luz y de que ya hicieron el parche, para muchos allí queda todo, pero me puse a intentar leer sobre el tema (algunas veces trato de dar seguimiento a los bugs ) y me encontré información en la web que me pareció por demás interesante :

Microsoft acepto que este bug no fue encontrado por sus “testers” o equipos de pruebas, por que “ no no están capacitados para hacer este tipo de pruebas” : me parece algo bueno que hayan aceptado eso, lo que me parece importante aquí es que Microsoft es una de las mas grandes compañías de software a nivel mundial, así que no tienen la excusa de “no hay dinero” para no haber capacitado a sus equipos de pruebas, será que quizá ellos no tienen / no contratan personal “realmente capacitado, para el puesto?” , para una empresa de su tamaño, es imperdonable que sus equipos de pruebas, el cual tienen que luchar contra los hackers del mundo y demás dacitos, no hagan todas las pruebas conocidas, por el impacto del producto ( en este caso Internet Explorer ), y por la cantidad de ataques que recibe, el equipo de pruebas, debería ser de lo mejor, y debería estar capacitado en todos los tipos de ataques posibles, para así poder probarlos. Ojo aquí estoy separando, una cosa es que el equipo no haya encontrado el bug ( por error humano), y otra que no estén capacitados para encontrarlo. quizá debería hacer leer a los de Ms mi post anterior ??? jeje
Usar solamente “Herramientas automatizadas, no protege al 100%” : bueno para este tipo de casos, hay unas herramientas llamadas Fuzz, o fuzzing, pueden leer mas sobre eso aquí o aquí tbm ( en este ultimo, salen un listado ), si bien a la hora de hacer pruebas, normalmente se tiene un “check list” de cosas a probar y como probarlas, la realidad es que esa lista no es “todo lo que hay que hacer”, hay que “salirse del libre” y comenzar a hacer pruebas aleatorias, o como dicen algunos “ por instinto”, si de esas que no son ordenadas, de esas que el listado de pruebas no indica ( me viene a la mente la aclaración de Jersson, a mi ultimo post, que luego terminare de re-aclarar ) , esto es algo que comentare luego, si, muchos “ puristas” de los procesos y metodologías, siempre piden ( o exigen) que uno siga el libreto establecido, pero en cuestiones de pruebas, seguir “solamente” el libreto, puede ser uno de los peores errores. Se que algunos dirán “allí dice que no hay casos documentados para este tipo”- en referencia a lo que dice ms con respecto a este bug - , a lo cual les diría … no hay casos documentados “públicamente”, quizá si los de MS entran tantito mas al IRC, podrían enterarse de mas casos :) – bueno si, muchos grupos son privados-.

No puedo negar de que en los últimos tiempos Microsoft se enfoco mas a la seguridad, pero estos 2 últimos bugs críticos ( si, aun no me olvido del otro que salió hace poco ), hacen pensar que quizá no están lo suficientemente capacitados, como se pensaba.

seria bueno que lean los artículos, que a su vez son las fuentes para este mini post:

y como ya puse antes, un listado de Fuzzers : http://www.infosecinstitute.com/blog/2005/12/fuzzers-ultimate-list.html

pdta: este solo es un ejemplo de las cosas que pueden pasar (de los puntos que mencione en mi anterior post), en la siguiente entrada me explicare un poco mas.

Salu2 y nos leemos al rato…

Ddaz –Dacito Grinch -

:) Publicacion cruzada desde Geeks.ms :) http://geeks.ms/blogs/ddaz

Seguridad de Aplicaciones I – Preludio y mi opinión sobre la realidad de las empresas y el Testing de Software.

ddaz — Mon, 22 Dec 2008 06:00:00 GMT

Espero que este sea el primero de varios, sobre seguridad en aplicaciones ( y tantito en servers ), hay varios temas interesantes que tocar ( entre ellos uno de criptografía que me pidió sergio tarrillo, los cuales vendrán luego), tengo algunos post en la sección borradores, esperemos que luego puedan salir.

Preludio

un amigo me pidió que cuente algunas de mis experiencias… y eso me hizo recordar ciertas cosas… y bueno recordando viejos tiempos, cuando empecé a meterme “profesionalmente” a lo de informática ( no cuento lo de servers, eso es otra historia ), por allá en el 2001, empecé como “tester”, ya que era un simple estudiante de Ing. Química, dentro de una empresa que hacia Software de Ingeniería ( Software especializado para Ingeniería de Procesos, lógicamente de los Químicos), que solo sabia algo de pascal, assembler, RPL y algo de programación PLC –a excepción de assembler, lo demás nos lo dan en la carrera-, pero con ningún conocimiento formal sobre Ing. de Software, o procesos de desarrollo de software –lógicamente ya estoy cubriendo esa falencia –, empecé en esa empresa formada por ex alumnos de la facultad mi universidad (UNI ), curiosamente me metí a este mundo, por que por los cálculos avanzados de la carrera ( matemáticos y demás), se tenia que realizar simulación de procesos y la universidad solo tenia un “trial - limitado” de la versión actual y la versión full era demasiado antigua como para poder hacer las simulaciones ( la licencia pasaba de los USD $ 250,000.00 ), así que con unos compas empezamos a buscar el “crack”, pero como no existía ( casi no existen de software especializados, por suerte :)), nos pusimos a estudiar ensamblador, y finalmente pudimos usar la aplicación…, lógicamente, ya a estas alturas de mi vida, ya no promuevo el “crackeo ilegal” – si, de eso viene el otro post –, aunque eso hizo posible mi incursión en el mundo del software, ya que me acoplaron a una empresa de ex alumnos, cuando yo aun era alumno. Ya luego logre ver a .Net, me maravillo y comencé a programar allí, me fue gustando mas el mundo de la informática, así que poco a poco que termine alejándome del mundo de la Ing. Química y me fui al software ( discúlpenme que no considere a la “Ingeniería de software” una ingeniería de verdad – por mas que desde el 2004 “estudio formalmente sobre informática y/o sistemas” y trabajo en cuestiones de software - , pero mi concepto de “ingeniería” es muy diferente al de los informáticos tradicionales –por mi carrera base- y me es imposible – al menos por el momento- considerarlo una ingeniería. ), luego ya cuando vine a México, me metí al 100% a lo de software :)- en varios campos -, ….

Ahora si, ya entrando al tema de este post :

Algo que se esta volviendo muy común, en las empresas de software, es que cada vez están pensando – y ya muchas lo hacen – , el tener un área de “control de calidad”, o área de pruebas, (sobre este tema Miguel Llopis tiene varias entradas al respecto, coincido en muchas cosas – con respecto a este tema –, aunque en algunas otras… aun estoy algo escéptico; pero de todas maneras me parece interesante lo que pone ;), léanlo ).

Lógicamente hay muchas empresas que tienen bien estructurada y organizada su área de pruebas, aunque de todas maneras se les escapan “bugs”, entre ellos tenemos a Microsoft, Google, etc; por lo que e visto en los betas de MS que ando metido – empecé con el vs 2005 alpha – Microsoft a mejorado mucho su modo de tomar los errores, y como los recibe, desde Betaplace hasta ahora con Connect , y e visto que hablan que tienen sus tester y demás, pero aun así, se les escapan bugs, algunos gigantescos, lo bueno es que ahora los encargados de los productos hacen mayor énfasis a recibir comentarios y sugerencias; pero si asi pasa con una empresa que invierte mucho dinero en pruebas, imagínense como es con las empresas con una mínima o nula inversión al respecto.

A mi parecer, en muchos casos aun veo algunos detallitos al como se aplica la parte de pruebas en las empresas, dentro del desarrollo de software, lógicamente hay empresas que si aplican muy bien esto, y el % de errores que se les escapa es “mínimo”, veamos algunos que pude lograr ver.

Personal no Especializado El detalle aquí es que en la mayoría de veces se pone “solamente” a las personas con menos experiencia, o mejor dicho personas no especializadas en el tema (no estaría mal, que si el equipo tuviera una parte de un tipo y otra del otro tipo ), o también a personas con un nivel bajo o nulos conocimientos de programación, los ponen a “usar la aplicación”, si bien al estar considerados como “Usuarios comunes y silvestres” saldrán varios “detallitos”, pero quizá no los mismos que podría sacar alguien con algo mas de conocimientos – aunque como siempre, hay casos que rompen la regla, esos con dones “destructivos”, en los cuales todo lo que tocan falla :) –, pero el detalle aquí es que la cantidad de errores descubiertos, puede ser mínima, comparando con los que realmente tiene la aplicación, por eso es bueno tener gente especializada, si bien quizá no todo el equipo, pero no debería de faltar alguien especializado,al respecto también a escrito hace algún tiempo Joel Spolsky sobre este tema en su articulo Las Cinco Principales Razones (Equivocadas) por las Cuales no tienes Ingenieros de Prueba, aunque el a su vez aclara que es difícil conseguir buenos, y en algunos casos solo podamos ir rotando gente sin experiencia.
Tienen un área de pruebas, pero nadie les hace caso : E visto esto en varias empresas, donde los programadores, se podría decir que casi ignoran los tickets enviados por los de pruebas, y dicen “ luego los arreglo” – algo que nunca pasa –, es algo ilógico tener un área de pruebas y que casi nunca se les haga caso, esto en algunos casos es por la mala planeación y que los programadores estén “contra el reloj” terminando funcionalidad y “no tengan tiempo para corregir”, aunque en otras es culpa de los programadores, pueden ser muchos los posibles motivos, aunque parezca algo loco, lo e visto :); hasta me a llegado a pasar ya un par de veces con los team de MS, enviaba bugs y hubo casos en que se demoraban hasta meses para tan solo revisar el error – imagínense en repararlo - , por suerte ya esta mejorando esto, jeje y bueno también tengo un usuario “moderador” en Connect.
Poco o nulo énfasis a la seguridad – (este será el foco de los siguientes post) los encargados de pruebas, en la mayoría de casos, se dedican a ver que la aplicación funcione “ como debe”, el detalle aquí es que en muchos casos se limitan a dar unos cuantos clics, a la aplicación y piensan que con eso eso la aplicación esta libre de problemas y que es segura, lógicamente hay varios niveles de seguridad, dependiendo de la solución, puede ser algo básico o niveles extremos como los que usa la NASA – así le dice Jerson - ( sobre esto creo que mejor no me extiendo por ahora y lo dejo para un siguiente post), lógicamente ya muchos pensaran, pero hay programas ( de terceros) que hacen esto, a lo cual les diría, que esos programas, si bien es cierto que ayudan en muchos casos, no nos dan una seguridad al 100% (lógicamente también depende de la solución y del nivel de seguridad que necesitemos); otros dirán “ Visual Studio” trae herramientas muy potentes, lo cual es en extremo cierto, pero no para “análisis automático” allí también hay que programar pruebas :), personalmente me parece una herramienta muy potente y algunas de las veces que me han pedido que haga “pruebas” e usado al VS como herramienta de trabajo –a ver si mas adelante escribo algo de esto-. La seguridad es un mundo no es posible tocarlo en un solo post, todo dependerá de que tanto queremos
Los encargados de pruebas, tienen flojera : No puedo negar que es algo tedioso y en algunos casos algo aburrido estar “probando aplicaciones” , y muchas veces e visto a tester’s que por lo mismo, y pro zafarse del trabajo (para luego poder seguir googleando), le dan una revisada “al vuelo” y no concienzudamente, aunque también, hay quienes pueden estar trabajando todo el día buscando errores y encontrar unos cuantos mientras hay quienes solo con 40 minutos, puedes sacar una gran cantidad de errores; lógicamente si detectamos personas que no hacen bien su trabajo, no merecen menos que el despido.
No se tiene un buen control del historial de “bugs” : por mas que tenga buenos encargados de pruebas, si no lo hago de un modo ordenado, todo eso se volvería un caos, existen múltiples programas, entre free y de paga ( hasta un starter kit de aspnet 1.0) con el que podemos tener bien registrados los errores.
No se Integra desde la etapa de diseño la seguridad : mucho se habla de esto, aunque quizá no muchos lo apliquen, en la etapa del diseño de la aplicación debería integrarse la parte de seguridad, lamentablemente es muy difícil conseguir un programador y un diseñador que sepa de seguridad (saber de verdad), la mayoría no piensa en seguridad, o en su defecto, tienen un conocimiento empírico, saben que tienen que poner seguridad, pero en la realidad no aplican seguridad…, y luego cuando empiezan los problemas ( lógicamente no en todos los sistemas aparecen) , tienen que comenzar a “parchar”, lo cual hace que se pierda mas tiempo, al menos por eso lo que suelo recomendar es que el diseño pase por un análisis previo de seguridad, este entra al de funcionalidad.

De todos estos puntos que puse, en el que quiero especificar es en el de la seguridad y especialización, lógicamente sin olvidar sobre el performance, ya que como dicen algunos “intentar poner seguridad de manera desmedida, sin tomar en cuenta el impacto en el performance es malo”.

En el siguiente post, espero tocar una pregunta que en algunos casos es controversial… “saber técnicas de hacking y/o cracking, es malo?”, intentare explicar, el por que creo que no es malo, mas bien por el contrario, es imprescindible.”, ya luego vendría uno de criptografía :) , si, la respuesta al post de Sergio Tarrillo

Para terminar – por ahora - quiero dejarles algo para que piensen… “el mejor ataque, es cuando la victima no se a dado cuenta que a sido atacada, y que están dentro del sistema” ( la idea es evitar esto, ya que no es necesario que nos modifiquen una pagina, o que nos pongan una foto, para que “estén dentro” ) .

Salu2

:) Publicacion cruzada desde Geeks.ms :) http://geeks.ms/blogs/ddaz