El mercado de herramientas weblog

Como todos sabemos los weblogs últimamente han experimentado un crecimiento masivo por su facilidad de uso, su interactividad, la posibilidad de añadir comentarios, etc.… e incluso sitios que antes utilizaban webs tradicionales ya han pasado a ser weblogs… ver Fakejazz.com (movabletype) o BrokenFace (blogger) como dos ejemplos que he visto últimamente. Pero ¿qué herramientas se usan realmente con más frecuencia para crear los weblogs que vemos tan a menudo por la red? Un artículo muy interesante (escrito por Elise Bauer) que nos explica un poco la evolución que han experimentado recientemente los weblogs se puede ver en elise.com.

El análisis se basa en el número de páginas asociadas a las herramientas de weblog a que la araña de Google accede. El artículo sólo ha analizado el mercado norteamericano y no se pueden tener en cuenta todos los blogs en el mercado ya que algunos están protegidos por firewall corporativos o se ha quitado del código la referencia al nombre de la herramienta utilizado.

El artículo hace referencia a las estadísticas que presenta el sitio Technorati que rastrea el número de weblogs en la web. El porcentaje que cada herramienta tiene se denomina ‘Google share’: Blogger 35%, LiveJournal 25%, TypePad 18%, wordpress 2%, MSN Spaces 3% (en solo 3 meses)

En agosto de 2004 Technorati había rastreado 3 millones de weblogs y para febrero de 2005 6,9 millones de weblogs. Un incremento de 120 % (hoy día mientras escribo Technorati rastrea 7,441,934 weblogs).

Si miramos el número de enlaces y las páginas que contienen direcciones de las distintas herramientas también vemos que han aumentado – una media de 175% en los últimos 6 meses y la mayor parte de ese aumento corresponde a Blogger, Livejournal y Typepad. Google rastrea páginas y no sitios, así que mientras el número de blogs ha crecido en un 120% según Technorati, el número de páginas producidas parece estar creciendo a una velocidad incluso más alta.

El mercado para las herramientas blog todavía es joven y parece que en el 2004 hubo un gran cambio en la aceptación entre el usuario medio de Internet. Y en adelante habrá que distinguir los distintas dinámicas entre los mercados blog de uso personal, de negocios pequeños, y de corporativos ya que clientes en estos segmentos utilizan blogs por motivos diferentes y tienen necesidades diferentes. En enero de 2005 Six Apart, la compañía que desarrolla Typepad y Moveable Type, adquirió Livejournal convirtiéndose así en el primer productor de herramientas blogs. ¿Que participación va a tener MSN Spaces entre los blogs de uso personal en los próximos meses? ¿Seguirá Moveable Type creciendo dentro del uso corporativo?

Watch this space!

PD: unas estadísticas mías: (datos según Technorati)

What’s happening on the Web right now - 20/02/2005
• 7,209,536 weblogs watched.
• 862,303,225 links tracked.
What’s happening on the Web right now - 28/02/2005
• 7,441,934 weblogs watched.
• 892,589,424 links tracked.
O sea, 232,398 weblogs nuevos en 8 días que si las matemáticas no fallan son 691,200 segundos… esto es ¡un nuevo weblog cada 3 segundos!

Los enlaces de BdW

No están todos, pero algunos de los sitios webs preferidos de BdW ya los podéis conocer con facilidad, pues los hemos clasificado atendiendo a varias categorías:

1. Diseño - Web dedicadas al arte del diseño en general.
2. Fotografía - Bases de datos de fotos, galerías fotográficas, foros y bitácoras dedicadas al arte fotográfico.
3. Fuentes - Fuentes de texto gratis.
4. Recursos - Todos los recursos que necesita el webmaster.
5. Webmaster - Webs dedicadas a los responsables de las webs.
6. Bitácoras - Sólo son algunas de los weblogs que leemos frecuentemente.

Si conoces algún sitio que creas que debería estar en la lista puedes sugerirlo a BdW.

Si deséas saber como hemos desarrollado esta funcionalidad visita la siguiente página de este artículo.

Receta de seguridad XVII: ingeniería social

DESCRIPCIÓN:

Mediante técnicas de ingeniería social los hackers pueden llegar a conseguir éxitos incluso mayores que haciendo uso sus conocimientos informáticos. Podemos englobar dentro de las técnicas de ingeniería social a todas aquellas habilidades sociales que permiten a un hacker obtener la información buscada.

Son muchos los casos que se han producido y que sin lugar a dudas seguirán produciéndose. Cuando lees una de estas historias piensas: ¿cómo pueden haberlos engañado así?, sin embargo siguen ocurriendo.
Ejemplos como el de un hacker que se hace pasar por empleado del ISP de la empresa y le ofrece escaneo gratuito de virus en todos los emails de la empresa, o el de el “responsable de seguridad” que va a instalar un parche en las máquinas, o el de personal de la compañía telefónica que accede a la zona de servidores, forman parte de la literatura sobre seguridad.

SOLUCIÓN

- Ser paranoico. no confiar en nadie.

- Cuestionarlo todo.

- Verificar la fuente

Esto no es sencillo y posiblemente hace necesaria formación por parte de la empresa sobre este tema.

Avatares en tu weblog

Si deseas que los comentarios que hagan los visitantes a tu bitácora puedan mostrar su avatar, Gravatar te ofrece una solución.

Un servicio de administración y reconocimiento de avatares global, es decir, los usuarios que deseen mostrar un avatar en sus participaciones en bitácoras, foros, etc… sólo deben crear una cuenta en Gravatar y subir una imagen de 80×80 px. Una vez subida, cada vez que hagan un comentario en un sitio web que use esta tecnología, le aparecerá el avatar asociado a su cuenta de correo electrónico.

Por otro lado, en las web que deseen mostrar estos avatares tendrán que hacer uso de un plugin que te puedes descargar para los principales CMS, entre los que se encuentran WordPress y MovableType. Puedes leer más en la Guía del Desarrollador de Gravatar.

Receta de seguridad XVI: NFS

DESCRIPCIÓN:

NFS (Network File System) es un sistema que permite acceder a ficheros en red como si estuviesen en la misma máquina. Existe un servidor NFS que exporta los sistemas de ficheros y existen clientes que montan estos sistemas de ficheros mediante NFS.

Es conocido el gran número de vulnerabilidades asociadas a NFS. En este post me voy a centrar en una: obtener información de los montajes. El comando showmount me permite obtener información muy valiosa de los sistemas de ficheros exportados, montados, máquinas con permisos para montar, etc.

Por ejemplo, siendo nfsserver un servidor NFS que tiene como IP 139.10.0.16, si ejecuto:

#showmount -e nfsserver
Export list for nfsserver:
/vol/home 10.1.1.80 10.2.3.4 host1.example.com
/vol/log (everyone)
/vol/ftp 132.10.0.1 host2.example.com 10.0.0.5

Es decir obtengo un listado en el que para cada sistema de ficheros exportado me ofrece la lista de IPs y hostnames que tienen permitido su montaje. Podemos ver que: el servidor NFS está en una red distinta a los sistemas a los que se les permite montaje, nombres de máquinas sin hacer consultas DNS, que /vol/log es accesible por todo el mundo, entre otras cosas.

SOLUCIÓN:

Filtrar todo acceso al servidor NFS, restringiendo el tráfico exclusivamente a las máquinas que pueden realizar montajes. Y si se es paranoico, deja NFS y utiliza AFS (no tiene las vulnerabilidades de NFS pero es más difícil de instalar y mantener)

Más info:

ftp://ftp.rfc-editor.org/in-notes/rfc3530.txt
man de showmount
http://www.openafs.org/

Receta de seguridad XV: banners

Muchos servicios muestran mensajes de bienvenida al intentar una conexión, es lo que conocemos comunmente como banners. Por ejemplo, hacemos telnet a una máquina y nos muestra el siguiente mensaje:

Red Hat Enterprise Linux ES release 3 (Taroon)
Kernel 2.4.21-4.ELsmp on an i686
login:

Se trata de una información más que jugosa para sacarle partido, ¿no?. Sabemos que es Red Hat, que es Enterprise Server, la versión (3), el Kernel, … En fin, suficiente como para buscar los bugs, exploits, etc asociados a esta información obtenida.

Nos podemos encontrar banners en otros servicios: correo, ftp, etc.

La recomendación es eliminar estos banners o confundir al posible atacante ofreciendo un texto que no se corresponda con la realidad. ¿Cómo hacerlo? Cada servicio hace uso de uno o más ficheros que permiten esto. Como ejemplo, el banner del telnet se encuentra en /etc/issue.

Popularidad de tus webs

Para el webmaster, que mantiene decenas de sitios webs, le puede resultar de gran ayuda DomainInspect. Se trata de una herramienta con la que podrás conocer el estado del dominio, cuando expira su registro, donde está registrado, y los índices de popularidad asignados por Google, Alexa, Yahoo, Altavista… de una lista de dominios confeccionada por tí, y todo con un simple clic.

Podéis ver algunas pantallas del programa en la sección Domain Inspect ScreenShot de AntsSoft.

Publicidad en la web

Son muchos los usuarios de Internet que se muestran recelosos respecto a los anuncios en las webs, y aun más en las bitácoras. Pero no debemos olvidar que se puede tratar de una buena forma de autofinanciación (registro dominio, hosting,…) de las bitácoras y otra forma de obtener suculentos ingresos para las webs corporativas.

El programa AdSense de Google es un método rápido y sencillo para que cualquier webmaster pueda publicar en sus páginas de contenido anuncios Google, relevantes y no intrusivos, ganando dinero gracias a ellos. Dado que los anuncios están relacionados con lo que los usuarios buscan en su sitio, este programa puede ayudar a obtener beneficios económicos de sus sitios webs.

Como muchas veces hemos dicho, lo más importante de una web son los contenidos. Una web con contenidos interesantes… tendrá éxito, siendo por tanto muy visitada. Por esto, debemos cuidar el uso de la publicidad, asegurándonos de que se conserva la integridad de los contenidos, pues de otra manera podríamos perder visitas y por consiguiente acabar con los ingresos por publicidad.

Con el fin de mejorar la usabilidad de una web, la publicidad no debe encontrarse junto a elementos principales. Muchos visitantes ignoran de forma subconsciente (o consciente) la publicidad y por tanto todo lo que rodea a los anuncios. Por este mismo motivo, no debemos mostrar enlaces a otras secciones de la web con imágenes que puedan ser confundidas con anuncios.

No olvidad que el anuncio ideal debe ser pequeño y discreto en relación con el contenido de la página.

Receta de seguridad XIV: traceroute

traceroute es un comando que nos permite conocer la ruta hasta llegar a un determinado host. Es decir nos muestra todos los hosts intermedios. El funcionamiento es simple. Se basa en el envío de paquetes UDP (en el rango de puertos 33435-33524) o ICMP “Echo Request” con un valor del campo TTL (Time To Live) que se va incrementando en una unidad. El campo TTL especifica el número de saltos (hops) que puede recorrer el paquete. Es útil para evitar loops infinitos. A su vez se combina para el funcionamiento de traceroute con los paquetes ICMP “time-exceeded” generados por los hosts alcanzados.
Cuando un paquete alcanza un hop se decrementa su valor de TTL. Cuando éste es cero se envía al origen un paquete ICMP “time-exceeded”, es decir terminó la vida de este paquete.

traceroute es una herramienta indispensable para un administrador de redes, y por supuesto una utilidad interesante para cualquier hacker puesto que nos permite obtener información como la siguiente: ISP del host destino, localización geográfica del host destino. ancho de banda del host destino, otros dispositivos intermedios como routers, etc.

¿Cómo evitar que nos hagan traceroute?
Podemos denegar todos los paquetes UDP que llegan en el rango de puertos 33435-33524 y los ICMP “Echo Request”.

Receta de seguridad XIII: resolución inversa

Otra de DNS: el problema de la resolución inversa. Si conocemos una IP (supongamos 192.168.0.1) podemos ejecutar el siguiente comando:

Es decir podemos conocer el hostname a partir de la IP. ¿Qué tiene esto de peligroso? Pues que un hacker puede ejecutar este comando para varias IPs obteniendo nombres de máquinas y consecuentemente realizando una “pseudo transferencia de zona”. Puede llegar a conocer la función de una máquina por el nombre devuelto como en el ejemplo anterior (servidor ftp).

¿Qué podemos hacer para evitarlo? Pues engañar al hacker, es decir ofrecer una resolución inversa que no ofrezca ninguna información útil. Por ejemplo, para el caso anterior hagamos que la salida sea:

Para ello tendremos que incluir las entradas adecuadas en el named.conf.
Por ejemplo: