Microsoft Live Meeting. Verdades y Mentiras

Compartir aplicaciones de manera que dos usuarios puedan trabajar al mismo tiempo sobre el mismo documento es una de las funcionalidades de Live Meeting. La infraestructura necesaria la puede albergar Microsoft para sus clientes (un nuevo servicio que Ms ofrece y que puede que pronto se extienda a otros de sus productos), pero también puede desplegarse "en casa del cliente" con Office Communication Server y su cliente: Ms Office Communicator.

La comunicación entre cliente y servidor (no es peer to peer, sino que quien comparte la aplicación sube datos al servidor que este luego decarga al resto de clientes) se hace a través de un protocolo propietario: PSOM (Persistent Shared Object Model), TCP 8057, transportado sobre TLS (Transport Layer Security), como la comunicación es encriptada y Ms dice poco sobre cómo funciona el protocolo no hay mucho más que hablar sobre ello. Básicamente funciona como el cine (ojo, no de cine). Dependiendo del ancho de banda que se detecta en los extremos se hace variar el bitrate del codec para enviar más o menos fotogramas por segundo. Lo que se envían son los cambios en el entorno, lo que no varía no se envia y de este modo de ahorra ancho de banda. Esta es la preocupación. ¿cuanto ancho de banda consume la aplicación?

Vamos por partes ¿cuales son los datos del fabricante? Es obligado decir que lo que dice el fabricante es bastante poco. Bueno, a parte de hablar poco sobre el ancho de banda, dice que su aplicación consume poco (dependiendo del ancho de banda disponible entre 13 y 138 kbps de pico); de modo que hemos comprobado si lo que dice es verdad.

Pués bien, lo que nosotros hemos encontrado es que las medias de una sesión completa varían entre 50 y 100 kbps aproximadamente. Preocupados por los picos de subida de ancho de banda tomamos muestras cada 10 segundos del consumo de ancho de banda. Esta información no es nada desdeñable porque nos permite conocer el número de sesiones concurrentes que pueden ser establecidas y dimensionar la red para que la "experiencia del usuario" sea la esperable. No voy a dar datos, de muestra un botón:

Manual de Referencia

Ni que decir tiene que mi manual de referencia y mi inspiración prevacacional ha sido este

How to become...

Ya sé que debería estar picando. Me he tenido que hacer cargo de los requerimientos del departamento de eficiencia de mi cliente (ahorrar clicks al fin y al cabo) y estoy tatando de automatizar la tarea para que el sistema añada contactos a los usuarios de Office Communicator, el cliente de microsoft OCS. Varios scripts que por un lado leen Active Directory y por otro lado escriben en OCS. Un petardo que me tiene frito. Si no llega a ser por la ayuda de mi amigo y compañero Dani, esto sería mucho peor...

Kaminsky y el Sistema de Nombres de Dominio

Probablemente todos sabréis ya que hace poco un tipo llamado Dan Kaminsky ha descubierto un agujero de seguridad en el Sistema de Nombres de Dominio (DNS) de Internet. Los detalles del agujero no han sido publicados todavía (se podrá ver online la conferencia que Kaminsky dará en blackhat.com el día 24 de julio), porque aunque se ha desarrollado un parche para los servidores DNS es probable que no se haya aplicado todavía, de hecho, muchos proveedores de servicio tardarán en hacerlo en todos y cada uno de sus servidores. El descubrimiento del que, como a mi, seguro que os hubiera gustado ser protagonista, hizo a Dan reunir en la sede de Microsoft a los 16 grandes de Internet (Ms, Cisco, google…) y avisar al Gobierno americano a través del Equipo de Emergencia y Respuesta Informática del Departamento de Seguridad Interior.

El agujero es -o debe ser- de tal magnitud que pone en peligro todo el sistema de traducción de nombres de Internet y en conocimiento de algún cracker podría permitirle secuestrarlo y redireccionar todos los clientes del servidor DNS atacado a las páginas que él quisiera. Esto es una herramienta muy poderosa para el phishing, que se ha vuelto muy popular como método de estafa y que precisamente consiste en dirigir al usuario a una página falsa del banco donde pretenden entrar para recoger allí usuarios y contraseñas. En el phishing habitual el engaño suele ser mediante un link de correo electrónico que pretende dirigir al usuario a la falsa web, utilizando un nombre de dominio parecido al real. Aunque en un ataque a gran escala el fallo de seguridad podría provocar una pérdida de confianza tal en Internet que en mi opinión podría hacer remover los cimientos de nuestra nueva economía…


Hasta ahora, la forma más tradicional de redirigir el navegador de una máquina cliente a una página distinta de la intencionada era a través del envenenamiento DNS (o DNS poisoning) que consitía generalmente en envenenar la caché DNS del cliente en lugar de atacar al propio servidor DNS.


Puedes comprobar si a los servidores DNS a los que se dirige tu máquina les han instalado el parche en http://doxpara.com (busca el botón check my DNS). Si lo prefieres, puedes configurar tu máquina para que utilice los siguientes DNS: 208.67.222.222 y 208.67.220.220, que forman parte del proyecto OpenDNS (http://www.opendns.com/). Son gratuitos y seguros.


Para quien no sepa cómo funciona el sistema de nombres de dominio DNS, baste decir que es una relación entre nombres (más entendible para el ser humano) y direcciones IP. Todas las páginas web que visitamos están alojadas en un servidor web al cual accedemos a través de su dirección IP. Lo primero que hace nuestro navegador cuando introducimos por ejemplo http://mindsandmachines.org es resolver ese nombre a la dirección IP del servidor que aloja esa página. ¿Cómo lo resuelve? Bien, la práctica de usar una abstracción de las direcciones IP para hacerla más intuitiva para las personas es anterior a Internet y se remonta a la era de ARPAnet, por aquel entonces y antes de que existieran los servidores DNS (fueron introducidos hacia 1983) cada ordenador de la red debía descargar un archivo llamado HOSTS.TXT de una máquina del SRI (una institución de la Universidad de Stanford); de hecho en la actualidad todos los sistemas operativos permiten editar este archivo con entradas estáticas para la traducción de nombres de dominio, pero hoy en día sería inabarcable la práctica de almacenar todos los nombres de dominio de Internet y su traducción a IP en un archivo dentro de cada máquina que se conecta a Internet.


Los servidores DNS dentro de una corporación o en la misma Internet utilizan un sistema de notificaciones para actualizarse sobre los cambios y añadidos en el “listín” y un sistema jerárquico para las búsquedas de dominios, ya que hay dominios dentro de dominios y estos a su vez dentro de otros dominios. Por ejemplo, los dominios de primer nivel:. com, .es, etc. Contienen dominios de 2º nivel (lo que antecede al .com o al .es) y así sucesivamente, de tal manera que las búsquedas de IPs dentro de un determinado dominio son jerarquizadas y no es necesario que un servidor contenga todas las traducciones posibles.

CCVP Certified

Ayer viernes conseguí aprobar el CIPT, el último y creo más difícil de los exámens del CCVP que he hecho. Compaginar los seis examenes en 9 meses con el nivel de trabajo que he tenido ha exigido un esfuerzo considerable, y es que en este tiempo he hecho auditorias de red a proveedores de Internet, migrado un contact center de banca telefónica basado en tecnología Nortel/Genesys a Cisco e implantar herramientas de comunicaciones unificadas.

Ahora habrá más tiempo para proyectos personales y un verano más relajado...

MAC OS sobre x86

Después del anterior post -absolutamente out-of-the-scope- uno de MAC OS corriendo sobre plataforma PC. Es fácil pero también un poco freak.

Desde que Apple decidió introducir los procesadores Intel, el siguiente paso era violar las medidas de seguridad que tenía el SO para comprobar el Hardware sobre el que funcionaba.

Ahora hay versiones de MAC OS 'unpatched', que se pueden instalar sin dificultad en portátiles y ordenadores de sobremesa o también hacer correr sobre máquinas virtuales.

Yo he tenido la versión 10.4 corriendo sobre un portátil Samsung y ahora en una máquina virtual VMware. En el primer caso tuve algún problema con la tarjeta inalámbrica y frecuentes cierres inesperados de aplicaciones (safari), en el segundo ciertos problemas de lentitud por razones obvias. El proyecto está vivo y merece ser visitado.

Si quieres instrucciones para una instalación sencilla puedes encontrarlas aquí.

¿Qué sabes de verdad sobre Al-Andalus?

Emilio González Ferrín, de la Universidad de Sevilla, ha desmontado en Historia general de al-Ándalus (Almuzara) muchos de los tópicos que nos han enseñado de pequeños. Junto a él, otros historiadores (ver por ejemplo Ignacio Olagüe “La Revolución Islámica en Occidente”), apuestan por una aproximación más rigurosa al estudio de la "conquista" musulmana del territorio ibérico. Parece que nadie se cree el mito de la conquista árabe en el 711. Entonces, ni el islam se llamaba islam ni había coranes que pudieran distribuirse porque no existía la gramática árabe (tampoco la imprenta).

Si no hubo conquista ¿cómo pudo haber reconquista? ¿Por qué nunca hemos defendido como algo nuestro el pasado árabe que tenemos? ¿Por qué se han esforzado tanto en presentar la historia de vencedores y vencidos?

Los historiadores ya nos habían dicho que Al-Ándalus logró imprimir un conocimiento que enriqueció lo que después se llamó Renacimiento. Nunca fue una cultura integrista y su arte fue rico y variado gracias a que se basó en la tradición clásica, el arte bizantino y los pueblos orientales.

Entonces, la lengua árabe era sinónimo de refinamiento y en Al-Andalus la educación fue determinante: se tradujeron las principales obras griegas, ¡existían bibliotecas! y en la mezquitas y madrazas se impartían las ciencias de la época. No creo que Don Pelayo pudiara decir nada semejante... Al-Andalus nunca fue una tierra de tres culturas, sino una cultura con tres religiones.