A un paso de MCITP

Esta semana la he aprovechado para continuar con el curso que empecé a principio de año sobre Microsoft Windows Server 2008 en la academia InfoGuadiana. Para obtener la certificación MCITP tan deseada por muchos administradores de sistemas que luchan con Windows Server diariamente, es necesario aprobar al menos los tres exámenes siguientes:

• 70-642: Windows Server 2008 Network Infrastructure, Configuring
• 70-640: Windows Server 2008 Active Directory, Configuring
• 70-646: Windows Server 2008, Server Administrator

Ya tengo aprobado los dos primeros y esta semana comenzaré a estudiar para intentar presentarme al último examen antes de que acabe el verano y por fin obtener la certificación. Al estudiar este segundo examen sobre Active Directory he aprendido muchas cosas que desconocía, como la utilización de Active Directory Federation Services o Active Directory Rights Management Service, además de estos dos servicios que me han llamado la atención, tengo que reconocer que con Active Directory podemos controlar con mucho detalle cada equipo o usuario. De modo resumido mediante el servicio de Federación de Identidades podemos dar permisos a una empresa para que utilice los recursos de nuestra red autenticándose con los usuarios definidos en su Active Directory, mientras que con Rights Management Service podemos integrarlo con el paquete Office de Microsoft para limitar las acciones que pueden realizar los usuarios con los documentos.

Abandonando la parte de sistemas operativos, seguiré hablando sobre las últimas vulnerabilidades encontradas en la semana, donde hay que destacar las vulnerabilidades de nivel alto encontradas en Cisco TelePresence, Oracle MySQL y múltiples vulnerabilidades encontradas en el Gestor de Autenticación RSA. Como todos sabemos, Microsoft lanzó nueve boletines de seguridad en el mes de Julio y dos avisos importantes, mientras que tres de los boletines son críticos, así que no debemos olvidar que hay que actualizar los equipos. También es de destacar la vulnerabilidad encontrada en el Panel de Parallels Plesk muy utilizado en los servidores de hosting donde se sospecha que los hackers están vendiendo exploits para hacerse con la contraseña maestra y así controlar el sitio afectado. Además los hackers continúan publicando vulnerabilidades de Java para permitir ejecutar código malicioso en diferentes sistemas operativos, incluso ha sido añadido en el kit de herramientas Black Hole el exploit para explotar dicha vulnerabilidad (CVE-2012-1723), lo que permite a los script kiddies aprovechar estas herramientas y hacer “daño” a los usuarios que no tengan actualizados sus sistemas.

Dejando el tema de las vulnerabilidades, es de destacar la orden ejecutiva firmada en EEUU por el presidente Obama donde las administraciones podrán controlar todas las comunicaciones privadas, incluidas las comunicaciones por Internet, tras una alarma o evento de seguridad, por tanto el primer paso que darán es elaborar un plan de cómo se controlará las comunicaciones en el caso que sea necesario, así que un vez publicado dicho plan, las organizaciones privadas deberán adaptar sus procedimientos al plan elaborado por el gobierno. Este tema ha sido muy debatido y criticado durante mucho tiempo debido a que podrán romper la privacidad de los usuarios, ya que hasta ahora tan sólo podían “solicitar” ayuda a las empresas de telecomunicaciones ante un posible problema de seguridad. ¿Os imagináis que esto sucede en España, donde el gobierno pueda “ver” con quién os comunicáis y para qué? Como siempre, seguirá siendo un debate.

Al hilo de lo anterior, ¿os habéis parado a pensar la cantidad de recursos necesarios que las organizaciones deben poner a disposición de los usuarios y del gobierno para cumplir la legislación? Como se puede ver en el siguiente link, Google ha puesto a disposición de los usuarios un informe de transparencia donde podemos ver la cantidad de solicitudes de retirada de contenidos, solicitudes de datos de usuarios, e incluso la cantidad de tráfico en tiempo real, y todo ello para cumplir la legislación aplicable. Otro ejemplo, es la cantidad de solicitudes, cerca de 1,3 Millones, que el gobierno ha solicitado a los proveedores inalámbricos, donde estas peticiones deben ser servidas dentro de unos plazos razonables y por tanto las empresas de telecomunicaciones tienen personas exclusivamente dedicadas a proporcionar la información solicitada al gobierno, usuarios, etc, y todo ello para que no les pase igual que a algunos bancos que han descuidado la seguridad y han recibido ataques con pérdidas millonarias.

Saludos.