Seguridad | Software libre, tecnología y mas

ago 17 2010

Turbulencias en la nube

Categoría: General — admin @ 20:47

por Gabriel Acquistapace. Usuarios de Software Libre de Argentina ¹ ²

Corren tiempos difíciles en la red. En momentos en que contamos
con las más impresionantes herramientas de comunicación entre pares para el intercambio y la construcción colectiva de conocimiento, nos en- frentamos a la más grande ofensiva global para quitarnos derechos fundamentales como el derecho a la intimidad, al manejo de nuestra información y a la habilidad de interactuar libremente. ¡Bienvenidos a
la nube!

¿Qué es la nube?

Nube viene del inglés Cloud Computing, y tiene su origen en el dibujo en forma de nube que se usa hace décadas en los diagramas técnicos para representar una red de amplio alcance como es Internet.
Existen otros términos que se suelen usar con un significado similar como lo son “SaaS” (Software as a Service) o “Web 2.0″. Estos términos, como muchos otros creados por el mercado, tienen diversas interpretaciones que varían según quién lo nombra y qué tenga para ofrecernos, pero podemos resumir algunas características comunes a todos ellos: concretamente se trata de servicios informáticos a través de software instalado en máquinas remotas. Estos programas están instalados y se ejecutan en servidores del proveedor y son accesibles usando una red de datos como Internet desde clientes livianos que no requieren mayor inteligencia o lógica propia. Los datos se almacenan en el servidor y el mantenimiento lo realiza el proveedor. La implementación completa de este modelo supone una computadora de usuario vacía como cliente que accede a programas y datos alojados en la nube.

Servicios como Blogspot, Facebook, Google (Gmail, Docs, Maps, etc.), Microsoft Windows Live, Linkedin, Salesforce, Twitter y Youtube son ejemplos de servicios en la nube, en los que los usuarios carecen de las libertades que definen al software libre. Podría decirse que estos servicios son un caso particular de software privativo, a los que podemos denominar como “servicios privativos”. Este tipo de servicios, ademas de tener las restricciones propias del software privativo tradicional, agregan nuevos problemas asociados al control directo sobre los datos y el acceso a los mismos. En los servicios privativos no se tiene acceso ni siquiera al binario ejecutable de los programas, lo que elimina la posibilidad de realizar copias para ejecutarlo sin la intervención del proveedor o fuera de línea.

En este tipo de servicios el proveedor está involucrado y es omnipresente durante todo el funcionamiento del sistema. Dejar de pagar, cancelar o incumplir el contrato ya no constituyen una opción para los usuarios. Los problemas del modelo de proveedor único se exacerban cuando el proveedor es intermediario en todas las transacciones y puede discontinuar el servicio según sus políticas y prioridades o por su eventual desaparición del mercado. Con la baja del servicio, por la razón que sea, la pérdida del acceso a los datos es una consecuencia inmediata. En muchos casos, la recuperación de los mismos no sólo es imposible, sino que ademas es imposible acceder nuevamente a las aplicaciones que se usaron para su procesamiento.

Para sorpresa de muchos, no alcanza con usar software libre en nuestras computadoras personales si nuestra información y la lógica que la controla se encuentran en una nube diseñada bajo consignas que poco tienen que ver con proteger nuestra libertad e independencia. Todos los beneficios del software libre pueden desaparecer en la nube, ya que en este modelo aumenta el nivel de dependencia y control presente en el software privativo tradicional. El software libre que corremos en nuestras computadoras personales termina siendo poco más que una terminal que nos conecta a programas que corren en servidores remotos.

Bajo este modelo no hay innovación técnica real y son las mismas tecnologías que ya conocemos, entonces, ¿dónde está la novedad? Desde el punto de vista del usuario es casi inexistente. Ocurre que la innovación no es para los usuarios sino para quienes se anotaron en el enorme negocio del manejo global de la información, que entendieron hace tiempo que la propiedad de la infraestructura informática, entendida como medio de producción, es estratégica y permite generar ganancias económicas al ubicar al proveedor del servicio como intermediario obligatorio, a la vez que sirve como herramienta efectiva de control social.

Estas grandes empresas multinacionales tienen la capacidad de relacionar la información de los usuarios que obtienen en sus distintos servicios. Tienen el poder de saber acerca de nuestras relaciones, qué buscamos, qué leemos, dónde estamos en tiempo real. Nunca en la historia de la humanidad alguien tuvo tal poder de seguimiento sobre las personas. La historia nos demuestra que no podemos dejar este tipo de información bajo el control de las multinacionales ni de los gobiernos.

Este tipo de información no debería existir, al menos, no sin control ciudadano.

Efecto de Red

Cuantos más usuarios usen el servicio mayor es el efecto de red que se genera. Cada día que pasa, los usuarios que participan de estas redes se vuelven más dependientes y se torna más difícil dejarlas. Cuanta mayor información depositamos en esos servicios, más difícil es salir y recuperar el trabajo invertido en ellas. Si nuestra comunicación está mediada por ellos, salir implica desconectarnos de ese grupo social en la vida real. La regla básica es simple: cuanto más cautivos, mejor.

Los problemas de intimidad aparecen con frecuencia en la nube. La intimidad no sólo está relacionada con nuestros secretos más profundos, también significa no estar bajo seguimiento permanente. Cada click que hacemos puede dejar un rastro que es capturado, centralizado y almacenado, para luego ser analizado por algoritmos matemáticos que detectan patrones de comportamiento y desde ahí inferir cómo pensamos o deducir cómo actuaremos.

En muchas legislaciones nada de esto es ilegal. Es mas, en la mayoría de los casos, la información es entregada voluntariamente por cada usuario luego de aceptar, sin leerlos, largos contratos de adhesión.

Aún en el caso de que la retención de datos realizada fuera efectivamente ilegal según alguna legislación local o violara alguna de las garantías de ley de Habeas Data, su cumplimiento difícilmente podrá ser controlado. El concepto de legalidad siempre está enraizado en la localidad, por lo que la noción de jurisdicción pierde sentido en la nube, donde los servidores están omnipresentes y no están en ningún lado al mismo tiempo. Vale mencionar también que en esos contratos de adhesión se fija como jurisdicción legal el domicilio de la empresa proveedora, que seguramente no es un tribunal accesible a nosotros, al menos no sin un costo enorme de gestión.

La nube privativa o la red libre

La nube privativa significa que unos pocos mantendrán el poder. Frente a esto, la propuesta de servicios distribuidos/federados y peer-to-peer muestra que es posible prescindir de los grandes intermediarios.
Los marcos de derecho de autor no son ajenos a esta disyuntiva. Existe un obsoleto modelo de distribución de bienes culturales e información que necesita apostar a los servicios privativos para mantener el control sobre la distribución y, en consecuencia, sobrevivir ante las nuevas posibilidades que la tecnología le brinda a la sociedad.

Los fallidos sistemas de DRM (Digital Rights Management, por sus siglas en inglés, Gestión Digital de Derechos/Restricciones) demostraron hace tiempo que la simple posesión del hardware, los programas y los datos resulta en que, con más o menos esfuerzo, más tarde o más temprano, las cadenas que impiden la distribución de bienes culturales de modo privativo terminan siendo quebradas. La nube privativa viene a buscar lo que el DRM no consiguió.

Paradójicamente la mayor parte de la nube privativa está construida usando software libre. Y esto se debe a que licencias como la GPL, por lo menos hasta la versión 3, fallan en su espíritu de preservar la libertad de los usuarios permitiendo que el software libre sea modificado y utilizado para dar servicios privativos sin la obligación de compartir la obra derivada y exponiendo a sus usuarios a quedar atrapados.

Este es el problema que intenta resolver la licencia AGPL (Affero General Public Licence), que es similar a la licencia GPL, pero agrega la restricción de que se debe distribuir el código fuente del programa cuando el mismo se utilice para dar servicios en una red. La licencia AGPL es sólo una parte de la solución, ya que no protege los datos ni la intimidad de los usuarios.

Difícilmente pueda adaptarse el concepto de software libre a los servicios en línea o resumir en cuatro cortos enunciados lo necesario para garantizar la libertad de los usuarios en la nube. En este caso, ninguna licencia nos protege, sólo la responsabilidad ciudadana a la hora de gestionar nuestros datos y la posibilidad de construir, mantener y difundir nuestras propias redes federadas.

Un ejemplo de empresa que construye servicios privativos con software libre es Google, empresa que está orientada a un modelo de terminal-libre / servidor-privativo. Con este modelo, aparte de ahorrarse la construcción de un sistema operativo propio para competir con Microsoft, se asegura la participación de cierta parte de los partidarios del “open source” que aún no entendió que los componentes más importantes de su nube están del lado del servidor y no son libres. Google no apoya el software libre buscando la libertad de los usuarios, sino que encontró en el software libre la base para desarrollar su infraestructura y después liberar sólo lo que le conviene comercialmente. No es casual que en el repositorio de proyectos libres de Google no permitan la inclusión de proyectos que usen la licencia AGPL, pero sí soportan GPL, BSD, Apache y otras licencias con el problema antes mencionado.

Ahora mismo se está subiendo en la nube privativa gran parte del legado cultural de nuestra civilización y parte de él quizás nunca pueda ser recuperado.

Están frescos casos como lo que le sucedió en el 2009 al Suplemento “NO” del diario Página/12, que luego de formar una comunidad en Facebook encontró cerrada su cuenta de forma arbitraria, sin aviso previo, explicaciones ni instancia de apelación y no pudiendo acceder a la información. ³

Debemos bajar esta información y ponerla en lugar seguro antes de que se pierda definitivamente, y devolverle a los ciudadanos su control.

Ahora, más que nunca, tiene sentido plantear la diferencia entre lo gratis y lo libre. Lo gratis se apropia de nuestros datos, toma el control de nuestras comunicaciones, viola nuestra intimidad, nos hace dependientes de sus sistemas. Lo gratis tiene un precio muy alto.

Por los problemas hasta aquí planteados, podríamos concluir que la nube no es un modelo que deba prosperar, pero por varias razones, entre ellas temas de pura economía: es esperable que aumente la utilización de servidores compartidos y virtualizados con un aprovechamiento más intensivo de recursos. También vamos a ver la utilización de ciertos servicios en red que permitan el abaratamiento de las terminales de acceso. Mayor seguridad, disponibilidad y un impacto ambiental positivo son otras ventajas inherentes a un modelo de clientes livianos. La encrucijada que tenemos como sociedad es cómo alcanzamos un modelo más eficiente sin perder libertades indispensables en el camino.

El modelo que se imponga en las redes informáticas va a influir directamente sobre la libertad de cada uno de nosotros. La construcción de alternativas diseñadas en base a nuestras necesidades e intereses es indispensable. Necesitamos una arquitectura que no nos exponga al control y al sometimiento. Una alternativa que respete las libertades de los usuarios debe ser replicable y distribuible tantas veces como sea necesario, sin patentes o especificaciones que lo impidan, debe correr exclusivamente bajo software libre y los usuarios deben tener alguna forma de ejercer control sobre sus datos.

Hay servicios que, por sus características, es difícil o sin sentido replicar en múltiples instancias, como es el caso de las redes sociales, grandes repositorios de archivos o sistemas de directorio. Para estos, se pueden utilizar alternativas federadas o entre pares para conseguir una red distribuida y descentralizada donde los nodos puedan operar de forma autónoma. Cada día los sistemas se vuelven más críticos y deben mantenerse estables y con capacidad de tolerar fallos mediante la dispersión de los nodos, las copias de respaldo deben estar distribuidas, los
servicios redundantes y la información debe estar cifrada.

Para la interconexión se requieren redes de datos diseñadas con una topología que permita una conexión a alta velocidad entre pares y no un sistema que limite la subida de datos de las conexiones finales, como sucede ahora con las conexiones ADSL y de cable módem. Las redes libres cubren un papel importante, ya que si nos vamos a conectar en red dentro de una comunidad no se justifica pagar un abono donde podemos tener una simple antena o cable que nos intercomunique directamente y a mayor velocidad.

Desde el punto de vista técnico hay pocas limitaciones. El desafío está en que la sociedad entienda la importancia de retener el control de su información. Empresas, universidades, colegios, partidos políticos, clubes y otras organizaciones de la sociedad deben procurar la seguridad de su información y la de quienes las conforman. Los gobiernos tienen un rol importante mediante la implementación de leyes de promoción, el financiamiento de las iniciativas o dando asesoramiento y apoyo a las organizaciones que busquen su independencia informática.

Autogestión y cooperación: Usuarios de Software Libre de Argentina (USLA)

USLA es un proyecto que nació a mediados de los ‘90 con el fin de crear una comunidad de alcance nacional de usuarios de Linux. En ese momento se lo llamó “LUGAr” (Linux User Group Argentina), más adelante, para incluir a todo el software libre y no sólo a Linux se cambió el nombre por: Usuarios de Software Libre de Argentina (USLA). Actualmente USLA apoya directamente diversos proyectos de cultura libre en general.

Uno de los objetivos de USLA es promover el uso de software libre y fomentar la creación de grupos de usuarios en provincias, ciudades y pueblos en donde haya personas con iniciativa de formarlos. Para los grupos ya constituidos, USLA se ocupa de apoyarlos en su desarrollo, integrarlos y dar visibilidad a las novedades que surgen. Entre los miembros de USLA podemos contar a la mayoría de los grupos de usuarios de software libre de la Argentina, proyectos de desarrollo de software y organizaciones como Gleducar, Vía Libre, PyAR, BuenosAiresLibre y Wikimedia de Argentina, entre muchas otras. Todas las organizaciones allí nucleadas son sin fines de lucro.

Usando distintas herramientas colaborativas se mantiene interconectada a la comunidad para la difusión de novedades, el seguimiento de trabajos en conjunto y para fomentar el apoyo entre los distintos grupos. USLA provee infraestructura para la organización de eventos como las Jornadas Regionales de Software Libre, CaFeCONF, Festival Latinoamericano de Software Libre (FLISol), entre otros.

Uno de los principales focos de trabajo de USLA es facilitar que las organizaciones de software y cultura libre puedan organizarse y llevar adelante su trabajo usando herramientas libres y sin depender de servicios privativos. En el año 2010 USLA mantiene alrededor de 220 sitios web con una amplia variedad de aplicaciones libres y 200 listas de correo electrónico pertenecientes a gran parte de la comunidad de software y cultura libre de Argentina. La cantidad y variedad de servicios que tienen los miembros de USLA, así como la calidad con la que se entregan, sería imposible de igualar si cada organización tuviera que hacerse cargo del mantenimiento de su propia infraestructura.

La infraestructura de USLA está compuesta por varios servidores distribuidos en tres centros de cómputos más otros servidores de respaldo. Para todos los servicios se utiliza software libre. Se administra un amplio espectro de aplicaciones, por ejemplo: manejadores de contenidos, wikis, sistemas de control de versiones, entre muchas otras. Se utilizan técnicas de virtualización que permiten aprovechar mejor los recursos y al mismo tiempo mejorar la seguridad y estabilidad de los servicios.

Esta infraestructura es administrada por un núcleo de especialistas que vienen de las propias organizaciones involucradas. Todos los servicios son autogestionados y se sostienen en base a trabajo voluntario. Una parte importante del trabajo de USLA es capacitar a los recién llegados para que las agrupaciones puedan ir ganando independencia en la administración de sus servicios.

En cuanto a la organización, no existe una estructura formal de funcionamiento y no hay ninguna sede física. Al ser una agrupación de carácter nacional hay pocas reuniones presenciales y generalmente los temas se tratan en listas de correo, canales de chat y wikis. Los servicios se implementan para cubrir necesidades específicas y cuando se ve que es potencialmente útil para el resto se implementan para toda la comunidad. Se trata de que cada servicio tenga varios administradores para garantizar que siempre haya al menos uno disponible para atender las tareas de mantenimiento y soporte.

Con respecto a la financiación, los servicios son completamente gratuitos. La infraestructura se construye a partir de donaciones y el alojamiento en centros de cómputos es provisto por patrocinadores que hacen uso intensivo de software libre y que encuentran en el apoyo a USLA una forma de devolver lo que reciben por parte de la comunidad.

USLA es un ejemplo de una comunidad que decidió ir por su independencia y libertad en la red construyendo su propia infraestructura. El trabajo hecho por USLA puede ser usado y replicado sin restricciones por otras organizaciones de la sociedad.

Glosario

Software Libre: Se llama software libre al software en el cual el usuario tiene la libertad de ejecutarlo con cualquier propósito, de adaptarlo, de copiarlo y de distribuirlo modificado.
Software Privativo: El software privativo es el software que no respeta cualquiera de las libertades del software libre.
Terminal/Cliente liviano/delgado: Son computadoras personales de bajas prestaciones pensadas para ser terminales en una red, como por ejemplo las netbooks.
Efecto de red: Efecto por el cual la utilidad de un sistema viene dada y es proporcional a la cantidad de usuarios.
Peer-to-peer: Es una topología de red donde cada nodo puede actuar como cliente o servidor indistintamente.
Servicios federados: Servicios distribuidos sin un servidor central donde cada nodo opera de forma autónoma e intercambiando información con el resto de la red.
DRM: Sistemas para prevenir o limitar el acceso o la reproducción de textos o material audiovisual en formato digital.
Sistemas de virtualización: Tecnologías que permiten crear en una computadora varias instancias de pseudo-computadoras simuladas y aisladas entre sí.

©Gabriel Acquistapace (2010). Este artículo se distribuye bajo una licencia Creative Commons, Atribución, Compartir obras derivadas igual de Argentina. Para más información visite http://creativecommons.org/licenses/by-sa/3.0/deed.es_AR
Este artículo forma parte de “Argentina Copyleft. La crisis del modelo de derecho de autor y las prácticas para democratizar la cultura” publicación realizada en español y alemán que Vía Libre presentará en la Feria de Frankfurt 2010
La dictadura de Facebook Jueves, 7 de mayo de 2009.

Etiquetas: libertad, nube, privacidad, restrictivo, seguridad

Commentarios (0)

jul 16 2010

Millones de ruteadores caseros son vulnerables.

Categoría: Tecnología — admin @ 20:35

Craig Heffner, un investigador de la firma de seguridad Seismic, con base en Maryland, planea publicar a fines de este mes una herramienta durante la conferencia Black Hat, la cual afirma se puede utilizar con más de la mitad de los modelos existentes de ruteadores caseros, incluyendo la mayoría de los modelos de Linksys (como los populares WRT54G), Dell y Verizon.

La herramienta aparentemente aprovecha una vulnerabilidad en los ruteadores a través de una técnica conocida como DNS Rebinding y la mala costumbre de los propietarios de ruteadores caseros de dejar sin cambiar la clave de acceso predeterminada y otros ajustes importantes. Aunque el DNS Rebindig ha sido discutido por más 15 años, Heffner dice que jamás se había utilizado de esta forma.

Notebooks.com ha publicado una lista de modelos de ruteadores vulnerables y algunos consejos para hacer más seguros éstos.

Fuente: alcancelibre

Etiquetas: router, seguridad, vulnerabilidad

Commentarios (0)

jul 12 2010

Importante actualización de seguridad para CentOS 5 y Red Hat Enterprise Linux 5.

Categoría: Software libre — admin @ 21:06

Red Hat ha publicado paquetes de la versión 2.6.18-194.8.1.el5 del núcleo de Linux para Red Hat Enterprise Linux 5. Este lanzamiento corrige 9 importantes problemas de seguridad. Se recomienda a los usuarios de Red Hat Enterprise Linux 5 y CentOS 5 (y otras distribuciones derivadas) actualizar el sistema a la brevedad posible y reiniciar para que tomen efecto los cambios.

yum -y update
reboot

Los paquetes para CentOS 5 se basan sobre el paquete fuente correspondiente a kernel-2.6.18-194.8.1.el5 publicado por Red Hat. Corrigen lo siguiente:

Múltiples fallas en las implementaciones de mmap y mremap, lo que permitía a un usuario local aprovechar éstas para realizar un ataque de denegación de servicio o escalar privilegios (CVE-2010-0291).
Una falla de puntero nulo en la implementación futexes (Fast Userspace Mutexes). (CVE-2010-0622)
Una falla e puntero nulo en la implementación de NFS del núcleo. (CVE-2010-1087)
Una falla en la función sctp_process_unk_param() de la implementación SCTP (Stream Control Transmission Protocol). (CVE-2010-1173)
Una falla en la implementación del protocolo TIPC (Transparent Inter-Process Communication). (CVE-2010-1187)
Un desbordamiento de almacenamiento previo (buffer) en la implementación de GFS2 (Global File System 2). (CVE-2010-1436)
Una condición de carrera (race condition) en la gestión de firmas del núcleo que permitía a un usuario local ocasionar una falla del sistema a través de una denegación de servicio o bien escalar privilegios. (CVE-2010-1437)
Una falla en la función link_path_walk() del núcleo de Linux. (CVE-2010-108)
Ausencia de una verificación de permisos en la función gfs2_set_flags() de la implementación FFS2. (CVE-2010-1641)

Red Hat agradece a Jukka Taimisto y Olli Jarva de Codenomicon Ltd, Nokia Siemens Networks, y Wind River a nombre de su cliente, por reportar de manera responsable CVE-2010-1173; Mario Mikocevic por reportar de manera eresponsable CVE-2010-1436; y Dan Rosenberg por reportar de manera responsable CVE-2010-1641.

Fuente: alcancelibre

Etiquetas: Centos, Red Hat, seguridad

Commentario (1)

jun 11 2010

Ex-asesor de la Casa Blanca dice: Microsoft es el eslabón más débil en la seguridad nacional de EE.UU.

Categoría: General — admin @ 0:02

«Microsoft tiene vastos recursos, literalmente miles de millones de dólares en efectivo o reservas de activos circulantes. Microsoft es un imperio increíblemente exitoso construido sobre la premisa de un dominio de mercado con bienes de pobre calidad.»

¿Quien creen que creen que dijo esta frase? ¿Acaso fue Steve Jobs? ¿Linux Torvalds? ¿Richard Stallman? Cualquiera supondría que fue alguno de ellos, pero la realidad es que ha sido Richard A. Clarke, quien fuese anteriormente un asesor de la Casa Blanca, y lo ha hecho en su más reciente libro titulado Cyber War: The Next Threat to National Security and What to Do About It (Ciberguerra: La Siguiente Amenaza A La Seguridad Nacional Y Qué Hacer Al Respecto).

Clarke es la misma persona que advirtió a la Casa Blanca, en repetidas ocasiones, respecto de AL Qaeda antes del 11 de septiembre de 2001.

Desde su libro extraemos: «Mientras que parece que da algún tipo de ventaja a EE.UU., de hehco la ciber guerra pone al país en un mayor riesgo que a cualquier otra nación. La enrome dependencia de nuestras redes financieras y de energía en la Red, nos deja abiertos para ataques en línea potencialmente devastadores. Son el público, la población civil de EE.UU. y las corporaciones de participación pública que dirigen nuestros sistemas nacionales clave, son los que más probablemente sufrirán durante una ciber guerra.»

En otras palabras, Clarke dice que EE.UU. es vulnerable a una guerra cibernética que tendría efectos devastadores en la economía y la vida de sus ciudadanos.

De entre todos los punto otcados pro Ars Technica, el más relevante involucra a Microsoft y GNU/Linux.

«[Microsoft] fue a la guerra en contra de Linux para detener su adopción por los comités de gubernamentales, a través de Bill Gates. Sin embargo, debido a que había agencia gubernamentales utilizando Linux, solicité a la NSA que hiciera una evaluación de éste. En un movimiento que inició la comunidad del código fuente abierto, la NSA se unió a esa comunidad al ofrecer públicamente correcciones para el sistema operativo Linux que mejoraría su seguridad [SELinux, entre otras cosas]. Me dio la clara impresión de que si el gobierno de EE.UU. promocionaba Linux, Microsoft dejaría de cooperar con el gobierno de EE.UU. Aunque a mi no me desconcertó, pudo haber tenido efecto en otros. Los programas de Microsoft aún son comprados por la mayoría de las agencias federales, aún cuando Linux es gratis.»

Clarke dice que Microsoft adoptó una línea ofensiva similar hacia los bancos e industria financiera, incitando las solicitudes de acceso por parte de especialista de seguridad para el código de Microsoft. Cuando los bancos amenazaron con utilizar Linux, Microsoft les urgió a esperar el lanzamiento de su siguiente [y decepcionante] sistema operativo —Vista.

Gente dentro de Microsoft mismo ha admitido que la compañía toma con poca seriedad la seguridad, aún cuando se han visto avergonzados por incidentes muy frecuentemente publicitados. Cuando Apple y Linux comenzaron a ofrecer una más seria competencia en años recientes, Microsoft mejoró su calidad. Pero lo que la compañía hizo primero fue ir en contra de mayores estándares de seguridad gubernamentales.

«Microsoft puede comparar voceros y cabilderos por una fracción del costo de crear sistemas más seguros. Son una de varias compañías dominantes en una ciber industria para quienes la vida como es actualmente está bien y cualquier cambio está mal.»

El libro de Clarke contiene una enorme cantidad de críticas en contra de Microsoft, sin embargo nos deja al mismo tiempo una gran preocupación en cuanto las recetas para el cambio, entre las cuales se menciona ordenar a los proveedores de servicio de acceso a Internet realizar inspecciones profundas de paquetes en busca de programas malignos.

Aunque estas propuestas de soluciones implicarían altos estándares para la privacidad, Clarke dice que a los ISP se les debe dar la protección legal necesaria de modo que tengan poco que temer respecto de ser demandados por detener la propagación los programas malignos, virus, ataques DDoS y gusanos, y que de hecho ésto debería ser una obligación para éstos en las nuevas regulaciones.

Fuente: alcancelibre

Etiquetas: EEUU, Microsoft, seguridad

Commentarios (2)

may 11 2010

WordPress bajo ataque a gran escala

Categoría: General — admin @ 23:23

El reconocido sistema de gestión de contenido utilizado por innumerables blogs -como el nuestro- se encontraría bajo un ataque a gran escala, teniendo como primeros afectados algunos sitios alojados por el proveedor DreamHost.

Al parecer los primeros indicios de este ataque se habrían detectado la semana pasada, viéndose afectados algunos sitios con sistemas de gestión basados en PHP (como la solución de comercio electrónico Zen Cart), para luego comenzar a extenderse hacia otros sitios gestionados con WordPress. Posteriormente comenzaron a surgir otros sitios afectados operados por GoDaddy, BlueHost y Media Temple.

En teoría las páginas que se han visto afectadas habrían sido infectadas con un script que, además de instalar un malware en los computadores de los usuarios, evita que algunos navegadores (los que utilizan la API de navegación segura de Google) emita una alerta cuando se visite alguna de las páginas vulneradas.

Hasta el momento no se ha encontrado ninguna evidencia que demuestre que la causa del ataque sea alguna vulnerabilidad de WordPress, por lo que se piensa que podría ser producto de un robo masivo de contraseñas, una vulnerabilidad en algún complemento de WordPress o de un ataque de fuerza bruta.

Mas información en sucuri.net

Fuente: fayerwayer

Etiquetas: ataque, PHP, seguridad, Wordpress

Commentarios (0)

may 05 2010

Grave falla de seguridad en facebook

Categoría: General — admin @ 21:35

Después del enorme agujero de seguridad que se encontró en Facebook que permitía a cualquier usuario, ver las conversaciones de sus contactos, la red social decidió cerrar momentáneamente el chat por temas de mantenimiento.

La falla de seguridad, permite a los usuarios, a través de la configuración de privacidad y en el modo Previsualizar Mi Perfil, ver las diferentes conversaciones de todos los contactos que tengamos agregados, así como sus peticiones pendientes. A mi gusto, se trata de una de los errores más grandes que puede cometer un servicio basado en la nube.

Lo peor del asunto es que no es la primera vez que Facebook se ve metido problemas graves de privacidad y da para pensar mal. Yo honestamente no uso el chat de Facebook, tengo suficiente con MSN Messenger y Gtalk, como para perder mi tiempo -y ahora mi privacidad- en un chat más.

La gente de Facebook declaró que se está “reparando un bug que nos fue reportado. Debiera volver a la normalidad pronto. Debido a este bug, las personas podían ver los mensajes de chat de sus amigos y los requerimienos de amistades por un tiempo limitado si manipulaban la opción ‘vista previa de mi perfil’ de forma específica. Hemos arreglado ese problema y removimos el chat apenas nos enteramos. Nos disculpamos por los inconvenientes”.

Los dejo con el video que demuestra paso a paso, como se hace este exploit:

Fuente: fayerwayer

Etiquetas: error, Facebook, seguridad

Commentario (1)

abr 17 2010

La RIAA/MPAA busca que se apruebe un spyware que borre automáticamente archivos con copyright

Categoría: derechos — admin @ 18:45

Los apropiadores de contenido (MPAA y la RIAA) han presentado un plan [PDF] a la Oficina internacional de la Aplicación de Propiedad Intelectual (IPE) que promueve la innovación estadounidense, abogando por la defensa de la protección y el respeto de los derechos de propiedad intelectual en todo el mundo. El problema es que básicamente requiere que el usuario renuncie a la privacidad.

Entre otras cosas su plan contempla:

Spyware en su computadora que detecta y elimina material que infringe derechos de autor
Censorware (software de control de contenido) obligatorio en todas las conexiones a Internet para interceptar las transferencias de material ilícito
Orillar la búsqueda a reproductores personales, laptops y memorias USB
Intimidación Internacional para obligar a otros países a aplicar las mismas políticas
Aplicación de justicia por parte de la policía federal y agencias (incluyendo el Departamento de Seguridad Nacional)

En otras palabras, la industria del entretenimiento piensa que el consumidor voluntariamente debe instalar un software que escanea constantemente nuestros equipos e identifica (y tal vez borra) archivos “ilegales”.

Algo bastante loco, pero ya hemos visto que a esta industria no le importa sacrificar consumidores por defender la aplicación de derechos de autor y por otro lado ACTA podría hacer realidad esto si la humanidad lo pemrite. Algún día entenderán que la propiedad intelectual no existe y que los artistas no van a continuar mucho tiempo mas vendiendo por centavos su trabajo para que otros ganen millones.

PD: Uso GNU/Linux, como piensan plantarme un spyware???

Fuente: www.fayerwayer.com

Etiquetas: inconstitucional, privacidad, seguridad

Commentarios (2)

mar 11 2010

Comprueba la seguridad de tu equipo con Tiger

Categoría: Software libre — admin @ 23:02

Tiger es una aplicación que puede ser usada tanto para realizar auditorias de seguridad del sistema como para detectar intrusiones. Su funcionamiento es sencillo y mediante un simple comando podremos realizar un test de seguridad de nuestro equipo e, incluso, obtener un log en formato .html. Nos facilitará esto realizar nuestras propias búsquedas posteriores acerca de los fallos reportados, en su caso. Tiger realizará comprobaciones de nuestros passwords, cuentas de usuarios, configuración del ftp, búsqueda de rootkits, chequeos de procesos, etc.

Tiger se encuentra en los repositorios de numerosas distribuciones. Si no lo encontráis podéis proceder a descargarlo desde su web oficial.

El man de tiger nos muestra las posibles variables que podemos aplicar a la orden básica “tiger”. En este caso, y para empezar, utilizaremos tiger para que nos haga el chequeo de seguridad, muestre el log en un archivo .html y lo guarde en el directorio que nosotros indiquemos. Por ejemplo, siendo root, ejecutamos:

tiger -H -l /home/usuario/mislogs

Con este comando hemos ordenado a tiger realizar sus tests, crear un archivo .html con la relación de resultados y que lo guarde en /home/usuario/mislogs. El tiempo que consuma el proceso puede variar en función de la potencia de vuestro equipo, de la configuración del mismo y servicios instalados.

Para ver el archivo, deberemos abrirlo (también como root) con nuestro navegador web. Por ejemplo:

firefox security.report.usuario-laptop.100305-13:47.html

Si tenéis problemas al abrir el archivo html, renombradlo eliminando los dos puntos “:”.

Listo. Ahora “sólo” nos queda leer el log y comenzar a investigar sobre lo que nos anuncia.

Fuente: www.linuxzone.es

Etiquetas: seguridad, Software libre, Tiger

Commentarios (0)

ene 13 2010

Disponible BackTrack 4

Categoría: Software libre — admin @ 20:40

BackTrack es una distribución GNU/Linux basada en Ubuntu, está específicamente diseñada para realizar auditorías de seguridad de redes, por lo cual es muy popular entre administradores y usuarios que necesitan realizar ese tipo de tareas, incluye numerosas aplicaciones de testeo de seguridad y análisis forense.

Pueden bajar el live DVD o la imagen vmware desde la pagina oficial de DESCARGA, tambien ofrecen sus respectivos torrents.

Etiquetas: BackTrack, Linux, seguridad

Commentarios (0)

ene 13 2010

Varias empresas cubanas se pasan a Linux por seguridad

Categoría: Software libre — admin @ 20:27

Según el semanario oficial Trabajadores, varias empresas del Estado adoptarán “Nova”, la adaptación cubana de Linux. La publicación no dijo cuántas ni qué empresas lo aplicarían.

“Por el momento estamos tratando de insertarnos en los entornos que predominan en las empresas (…) Tratamos de llegar con una interfaz lo más parecido a la que los usuarios conocen, en este caso Windows”, dijo Ángel Goñi, que dirige el proyecto desde su creación en 2005.

Según datos oficiales, un 80 por ciento de las redes de Cuba y un 20 por ciento de las terminales corren sobre Linux.

La Aduana cubana ya utiliza este sistema de código abierto, al igual que los ministerios de Educación Superior y el de Informática.

Cuba considera el uso de Linux como una cuestión de seguridad nacional.

Las autoridades comunistas de la isla sostienen que el software del gigante estadounidense Microsoft es un arma de doble filo, porque el fabricante puede pasar sus códigos a las agencias de seguridad del enemigo.

“No tenemos forma de protegernos si no es a través del software libre, que nos permite ser independientes”, dijo a Trabajadores el decano de la Universidad de Ciencias Informáticas, Alain Guerrero.

La mayoría de los ordenadores de la isla utilizan copias piratas de Windows, cuya licencia no puede adquirirse en Cuba debido al embargo comercial estadounidense de 1962.

A diferencia de los programas comerciales, los códigos de programación de Linux son de libre acceso y pueden ser modificados por los usuarios para adecuarlos a sus necesidades.

El anuncio de que Linux empezaría a ser utilizado por las empresas estatales cubanas coincide con un momento de aparente enojo de las autoridades cubanas con el Gobierno del presidente estadounidense, Barack Obama.

Fuente: www.laflecha.net

Etiquetas: Cuba, Linux, seguridad

Commentarios (0)

Pages: 1 2 3 Next