Un Informático en el lado del mal II
Bueno, aunque no he recibido miles de alabanzas por la publicación de la primera epístola del informático en el lado del mal, se que os ha gustado, sobretodo a los linuxeros, que en el fondo os va la caña y el sadomaso, sólo así se entiende que algunos renieguen de las X y los entornos de escritorios (Enlightenment mola). Aquí va otro capítulo de la triste historia de este informático que asumió que le gustaban las cosas fáciles…
—————————————————————————————————————————————–
Reflexiones II:
Advertencia 1: [Esto es una chorrada, así que si tienes que currar deja de leerlo]
Advertencia 2: [El lado del mal es poderoso, puedes caer en él]
Advertencia 3: [Todo es mentira, la realidad es mucho más apasionante y divertida]
Advertencia 4: [El protagonista de estas historias me las pasa de forma anonima así que no puedo revelar quien es el que escribe esto]
Siempre me ha tocado un poco las narices esto del marketing. Uno es un técnico, y cuando se siente así, todo lo que huele a marketing es una basura. Quizas lo que necesitamos es encontrar herramientas que nos aumenten nuestros puntos de fuerza, puntos de habilidad o nos den mágias para poder poner verdes a otros técnicos. Es el sino del técnico, competir como carneros contra otros técnicos.
En fin, que cuando yo estaba en el lado del bien me daban el marketing como verdades absolutas basadas en apreciaciones del tipo: “Todo el mundo sabe…” o la aún más poderosa mágia y más dificil de evitar : “Cualquier buen técnico sabe que….”. Esta segunda es sibilina pues lleva implicito el siguiente mensaje : “¿No serás tu uno de los subnormales que se creen que saben y no saben y que piensan lo contrario?” Es dificil salir de estos mensajes marketinianos.
Recientemente, ya liberado de mis prejuicios de caer en el lado del mal, y rebozandome cual cochinillo en el barro o como cual Darth Vader en el lado oscuro, me dispuse a dar una conferencia de Seguridad en la universidad de La Rioja, llevado por un imprudente y temerario llanero solitario, que para guardar anonimato, llamaremos, simplenete, JR.
Estaba yo allí, adrenalina en mano y testosterona en cabeza cantando el show de “La Seguridad y tú, grandes amigos” aka “¿No seras tu uno de los subnormales que hablan de seguridad sin tener datos?” (el cual, no me lo negaréis, no deja de ser un buen mensaje de marketing, je). Cuando entre el publico cierta señorita ( y que me perdone don Lazaro donde esté por usar el diminutivo “ita” con tan falsa doble intención en esta palabra en ese caso) se empezaba a revolver cual poseida por el demonio. Yo, disfrutando de tan macabro espectáculo, empezé a subir el tono de la exposición y saqué de mi repertorio lo mejor del diccionario bronxtolita de jovenes macarras.
Al descanso de la actuación, disfrutando de ese momento, me acerqué a ella y la dije: “¿Qué? ¿Te he engañado?”, a lo cual ella me respondió: “Ni loca toco yo un windows, puede ser que en seguridad esté mejor hoy en día, pero no me gusta nada por que no cumple los estandares y no se integra con nada”.
“¡Horror!” Pensé. “¡Otro mensaje de marketing nuevo que han introducido en la comunidad del pinguino!”.
- ¿A que te refieres exactamente? - Pregunté.
- A miles de ejemplos: Autenticación de usuarios con Windows, no hay forma de autenticar con el LDAP de linux en un dominio Windows porque no cumplis los estandares, a la integración de IPSec, …. a mil cosas, me dijo.
Lo confieso, estaba tocandome los pinrelines, y encima me lo puso a huevo, así que después del descanso la preparé un bonito trailer: Entre corchetes lo que no dije, pero pensé:
-”Vamos a continuar con un tema que ha surgido en el descanso y que me parece importante porque creo que tiene mucho que ver con la seguridad de los sistemas. En primer lugar [ceporra] hay que diferenciar entre AUTENTICAR y AUTORIZAR. La autenticación en Directorio Activo se hace con Kerberos [animal] y es un estandar de autenticación (http://www.faqs.org/rfcs/rfc1510.html). Para integrar sistemas de autenticación Linux y Windows solo hay que generar relaciones de confianza en autenticación, [claro, que para eso deberías estudiar algo y no repetir lo que te cuentan como un papagayo], En el punto 9 se ven los requisitos de Interoperatividad. ¿Quieres hacer integración de sistemas de autenticación? Integra tus kerberos. Microsoft cumple el 100 % del estándar Kerberos v5. Tienes toda la información y las referencias a los estándares en esta URL: http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/security/constdel.mspx”
-”LDAP, es un protocolo para gestionar el directorio de seguridad de un sistema informatico, se pueden hacer consultas de lectura, escritura y actualización. Esta basado en un estándar que aplican muchos sistemas, como Sun One o Directorio Activo, pero tu puedes usar tu aún no teminado OpenLdap, pero claro, ten en cuenta, que no cumple actualmente 4 estándares (http://www.openldap.org/faq/data/cache/649.html) y claro, no puedes integrar algo que cumple el estándar, con algo que no. Por último recuerda que los esquemas LDAP debes crearlos en el directorio y luego hacer que las máquinas clientes los apliquen, no querras usar el Windows Update en un Linux!, [donde esté tu recompilación a mano que se quite el doble click]”
-”Respecto a IPSec, claro que es compatible, al 100 %, tu configuras IPSec con certificados digitales o con Preshared key (este es inseguro, ya lo sabes [seguro que no tenías ni puñetera idea]) y funciona perfectamente. Claro que el desplieque de certificados si lo haces con tu Linux, tendrá que ser a manopla, pq no existe autodespligue de certificados de máquina a día de hoy, bueno, siempre te puedes hacer un script….., y claro tienes que poner accesible el repositorio de claves publicas del resto de los equipos de una red en cada máquina (tienes un bonito ejemplo en el siguiente howto: http://lartc.org/howto/lartc.ipsec.automatic.keying.html). Ahora bien, como el protocolo IPSec es extensible a otras formas de autenticación, pues Microsoft, lo ha extendido e integrado con la autenticación kerberos, así de sencillito, se despliega automáticamente y no es necesario usar certificados digitales, otra opción para el usuario.”
Negra de rabia y acordandose de mis antespasados más allá de Don Pelayo, se fue sin decir nada. Mira que soy malo. Voy a purgar mis pecados leyendome un fichero del kernel de Linux, que voy a copiar aki. Por cierto, ¿creo que tiene un bug, a ver si lo encontrais y me decis donde está, que con el código fuente está chupao arreglar los fallos. Os copio los comentarios para que veais que hay cosas que nunca deberían suceder.
int kauditd_thread(void *dummy)
{
struct sk_buff *skb;
while (1) {
skb = skb_dequeue(&audit_skb_queue);
if (skb) {
if (audit_pid) {
int err = netlink_unicast(audit_sock, skb, audit_pid, 0);
if (err < 0) {
BUG_ON(err != -ECONNREFUSED); /* Shoudn't happen */
printk(KERN_ERR "audit: *NO* daemon at audit_pid=%d\n", audit_pid);
audit_pid = 0;
}
} else {
printk(KERN_ERR "%s\n", skb->data + NLMSG_SPACE(0));
kfree_skb(skb);
}
} else {
DECLARE_WAITQUEUE(wait, current);
set_current_state(TASK_INTERRUPTIBLE);
add_wait_queue(&kauditd_wait, &wait);
if (!skb_queue_len(&audit_skb_queue))
schedule();
__set_current_state(TASK_RUNNING);
remove_wait_queue(&kauditd_wait, &wait);
}
}
}
Disclaimer:
Todo lo que va en este mail lo escribo así por que me apetece y tengo tiempo libre. Si no te mola, lo tiras a la papelera de reciclaje o haces un rm -y desde la shell. Me importa poco si te ha gustado o no. Yo me lo he pasado fetén escribiendolo, si no quieres que te lo envien no abras tu mailbox o pon una regla contra mi dirección de correo que yo no la spoofeo para enviar estas chorradas. Un besoT o que te den. El mal informatizado. Si hay alguien con tiempo libre que quiera caer en el lado del mal, que me envie un mail.
