18 de julio de 2018

Definición: Akka + Java

Que es Akka, son unas librerías para diseñar sistemas flexibles y escalables, enfocadas en aplicaciones distribuidas usando programación concurrente usando un modelo de actores.

Akka esta escrita en el lenguaje Scala, pero debido a interoperatividad con Java ya que puede funcionar en la misma maquina virtual, se puede usar con el lenguaje Java. 

Akka maneja un modelo de actores, donde cada actor es una entidad que procesa mensajes enviados a este actor o que provienen de otros actores,  usando un modelo de programación asíncrona. Los actores no necesariamente pueden estar en el mismo ejecutable (.jar) pueden estar en otros sistemas y entre estos se pueden comunicar.

Akka tiene unas librerías para el manejo de un cluster, se pueden correr varias instancias del aplicativo y este se encarga de distribuir el trabajo,  adicionalmente incluye el proceso de descubrimiento del cluster (en todos los nodos donde se ejecute al app) y selección del líder. (Akka Cluster Bootstrap).


19 de noviembre de 2017

Axis2 solución a problemas!!

Solución a problemas con los clientes de Axis2:


  • Cuando se consume un servicio con HTTPS:
    • Instalar el certificado desde donde se consume el servicio
    • Saltarse el problema y no validar el certificado:

SSLContext sslCtx = SSLContext.getInstance("SSL");
sslCtx.init(null, new TrustManager[]{new TrustAllTrustManager()}, null);
            _SATStub._getServiceClient().getOptions().setProperty(HTTPConstants.CUSTOM_PROTOCOL_HANDLER,
                    new Protocol("https", (ProtocolSocketFactory) new SSLProtocolSocketFactory(sslCtx), 443));

  • Configurar Timeout (Socket Timeout, Connection Timeout)
    • Opción uno:

Long timeout = 30L * 1000L;
        _SATStub._getServiceClient().getOptions().setTimeOutInMilliSeconds(timeout);

    • Opción dos:
Long timeout = 30L * 1000L;
_SATStub._getServiceClient().getOptions().setProperty(
                HTTPConstants.SO_TIMEOUT, timeout.intValue());

_SATStub._getServiceClient().getOptions().setProperty(
                HTTPConstants.CONNECTION_TIMEOUT, timeout.intValue());
  • Configurar los re-intentos a cero (0).
DefaultHttpMethodRetryHandler retryHandler = new DefaultHttpMethodRetryHandler(0, false);
        methodParams.setParameter(HttpMethodParams.RETRY_HANDLER, retryHandler);
        _SATStub._getServiceClient().getOptions().setProperty(
                HTTPConstants.HTTP_METHOD_PARAMS, methodParams);
  • Cambiar el endpoint del consumo:
_SATStub._getServiceClient().getOptions().setTo(new EndpointReference(address));



Notas y referencias:



26 de septiembre de 2017

Metodologías éticas de Hacking

Ethical Hacking Methodologies, Metodologías éticas de Hacking, ethical hacking methodology, Metodología ética de hacking, Metodologías de Ethical Hacking

Metodologías éticas de Hacking


Metodologías disponibles privadas y libres/publicas [1]:

A. Privadas: Empresas que ofrecen servicios y certificaciones.

1) IBM
2) ISS
3) Foundstone (McAfee)
4) EC-Council LPT

B. Libres/Publicas

1) OSSTMM (Open Source Security Testing Methodology Manual) [2]

Manual de la Metodología Abierta del Testeo de Seguridad, proporciona metodología exhaustiva a nivel operacional que no deja su pociones o pruebas anecdóticas las pruebas. Es proyecto de código abierto creado en el año 2000 por Pete Herzog. El libro en si es la metodología y explica como trabajarla [3].

2) CISSP (Certified Information Systems Security Professional)
Es una certificación que cumple el estándar ISO/IEC 17024 como criterio de cumplimiento de habilidades, en términos de seguridad cibernética [4].

La certificación cubre los siguientes ítems [5]:

• Seguridad y gestión del Riesgo
• Seguridad de activos
• Ingeniería de seguridad
• Seguridad de la red y comunicación
• Gestión de acceso e identidad
• Evaluación y pruebas de seguridad
• Seguridad operaciones
• Seguridad desarrollo de software

3) CISA (Certified Information Systems Auditor) [6]

La certificación de auditoria CISA cubre los siguientes conceptos [7]:

• El proceso de Auditoría de Sistemas de Información
• Gobierno y Gestión de TI
• Adquisición, Desarrollo e Implementación de Sistemas de Información
• Gestión de Servicio, Mantenimiento y Operaciones de Sistemas de Información
• Protección de Los Activos de Información

4) CHECK [1]

Esta metodología trata de detectar las vulnerabilidades de un sistema que puede causar perdida de información.

5) OWASP (Open Web Application Security Project)

Es una metodología basada en la calificación del riesgo, y se basa en la fórmula:

Risk = Likelihood * Impact
Riesgo = Probabilida * Impacto

Y su cálculo se basa en seis (6) pasos [7]:

- Paso 1: Identificación del riesgo.
- Paso 2: Factores para estimar la probabilidad.
- Paso 3: Factores para estimar el impacto.
- Paso 4: Determinación de la gravedad del riesgo.
- Paso 5: Decidir que se debe arreglar.
- Paso 6: Personalizar su modelo de calificación del riesgo.

6) ISSAF (Information Systems Secutiry Assesment Framework) [8]

De OISSG (Open Information System Security Group) se basa en criterios de evaluación son los siguientes:

- Descripción de los criterios de evaluación.
- Propósitos y objetivos
- Pre-requisitos para llevar a cabo la evaluación.
- Proceso de evaluación.
- Mostrar los resultados esperados
- Contramedida recomendadas
- Referencia a documentos externos.

Este marco de trabajo proporciona validación de estrategias de seguridad como “penetration testing” y estandarización para verificación de auditoria para las políticas de información.


Notas y Referencias:


  • [1] EC-Council, "Penetration Testing Methodologies List," in Penetration Testing: Procedures & Methodologies, Cengage Learning, 2010, pp. 12-14.
  • [2] P. Herzog, ISECOM, [Online]. Available: http://www.isecom.org/research/. [Accessed 31 Agosto 2017].
  • [3] J. D. Muñoz, "jesusdml.es," 16 Junio 2011. [Online]. Available: http://www.jesusdml.es/2011/06/16/metodologia-de-auditoria-de-seguridad-osstmm/. [Accessed 31 Agosto 2017].
  • [4] (ISC)², Inc, "Certified Information Systems Security Professional," [Online]. Available: https://www.isc2.org/Certifications/CISSP. [Accessed 31 Agosto 2017].
  • [5] ISACA, "Certified Information Systems Auditor (CISA)," [Online]. Available: http://www.isaca.org/Certification/CISA-Certified-Information-Systems-Auditor/Pages/default.aspx. [Accessed 31 Agsoto 2017].
  • [6] ISACA,CISA, "Spanish: Manual de Preparación para el Examen CISA," [Online]. Available: https://www.isaca.org/bookstore/Pages/Product-Detail.aspx?Product_code=CRM26EDS. [Accessed 31 Agosto 2017].
  • [7] OWASP, "The Open Web Application Security Project," [Online]. Available: https://www.owasp.org/index.php/OWASP_Risk_Rating_Methodology. [Accessed 2 Septiembre 2017].
  • [8] OISSG, "Information Systems Security Assessment Framework (ISSAF)," [Online]. Available: http://www.oissg.org/issaf.html. [Accessed 2 Septiembre 2017].