Archivos Mensuales: Marzo 2009

El hábito no hace al monje pero ayuda a reconocerlo

Acababa de publicar el apunte anterior y estaba esperando la salida de mi avión…

Se acercan 4 ó 5 personas en el típico grupo donde se ve quien manda (uno habla y los demás sonríen, asienten y escuchan.

Casualmente deciden parar cerca de mi…

Que si hablé con fulano, que si tenemos que reunirnos con mengano, que si le dije al Ministro Patatín, que si el plan yo_que_se… Vamos que sin conocer a la persona esa se podían atar algunos cabos.

Una búsqueda en Google con 2 ó 3 términos clave que habían salido en la conversación de ese hombre y… ahí estaba, la foto de Don Fulanito, presidente de una gran empresa española, no diré el nombre porque no aporta nada al apunte.

Lo importante del apunte es la falta de concienciación, de las personas en general y la alta dirección en particular, en temas de seguridad corporativa.

Es el típico ejemplo: un aeropuerto, rodeado de gente a la que ni conoces, hablando, dando detalles, ¿pavoneandose? como si estuviera en su despacho rodeado de sus colaboradores…

A ese directivo y su equipo le hace mucha falta un plan de concienciación para proteger la información, planes y demás activos de la empresa.

¿Cómo puede un departamento de Seguridad de la Información atacar un problema así?

Perdida y encontrada

No daba un duro por ella…

Hace 4 días me olvidé en el avión una Nintendo-DS…con su funda, auriculares y su cartucho M3. Cuando vuelo suelo llevar la consola y un libro para pasar el rato.

El caso es que nada más subir al avión dejé la consola en el sitio de las revistas que hay en cada asiento… Y allí se quedó.

Anoche, cuando preparaba la bolsa para volver a Toulouse hoy… ¿y la DS?

Así que nada más llegar al aeropuerto me marcho para “Objetos perdidos” y le cuento la película a la mujer que me ha atendido… En menos de 5 minutos ya tenía de nuevo mi DS!!!

Increible ¿no?

Ya tengo con qué entretenerme ahora, cuando termine de publicar esto 🙂

Máster en Software Libre en la URJC: KDE una introducción

A principios de febrero tuve una ponencia en el Máster en Seguridad de la Información y las Comunicaciones de la UAX y en el apunte en el que hablaba de mi participación en dicha ponencia añadía que lo siguiente era una ponencia en el Máster en Software Libre de la URJC.

Pues bien, hace una semana estaba yo charlando con la gente del Máster en Software Libre.
Espero que los alumnos y la gente de la URJC que por allí estaban quedaran contentos con mi participación. Lo que si es seguro es que yo lo pasé MUY bien.

Os dejo aquí las transparencias de la presentación de KDE, una introducción…. Los más puristas, por favor recordad que es sólo una introducción.

Básicamente es eso, una introducción a KDE desde el punto de vista de una desarrollador (de segunda, porque muchas veces tengo la impresión de que los traductores somos desarrolladores de segunda 😉 ) con un perfil no estrictamente técnico ni involucrado en temas de programación, C++ y todas esas cosas.
Hablé de varias cosas, entre otras de la traducción de KDE-ES y de cómo nos organizamos en KDE-ES.

Después de mi ponencia, le tocó el turno a Rodrigo Moya que nos habló de GNOME.

Fue una tarde agradable, charlando con geeks de software libre, de la comunidad, de KDE, de GNOME, … y de otras muchas cosas.

Para repetir. 🙂

¿Qué hacemos cuando nadie mira?

En el mundo real hay muchas personas que se comportan de forma diferente si piensan que nadie les mira. En función de si pensamos que nos miran o no hacemos o dejamos de hacer algunas cosas.

Alguno dirá – “no me importa que me miren, no tengo nada que esconder” – ya que es lo típico, lo que estoy harto de escuchar, pero claro, una cosa es que no tengamos nada que esconder y otra cosa es que no queramos tranquilidad para movernos sin tener a alguien encima, …

Como comenté hace unos días, el hecho es que cada vez es más difícil estar en una situación en la que no mire nadie. Lo sepamos o no, es muy probable que alguien está mirando. La privacidad está infravalorada.

Como experimento, hace unos meses monté PleaseProxy.me, un sistema de proxy anónimo a través del que, supuestamente, se puede navegar sin dejar rastros…
Evidentemente eso no es del todo cierto, cuando navegas dejas rastros, lo quieras o no los dejas en:

  • el ordenador desde el que navegas,
  • el servidor al que te conectas,
  • el proxy de tu proveedor de Internet o de tu oficina, …
  • el trayecto, posiblemente en los routers por los que pasan tus paquetes.

Con PleaseProxy.me limitas un poco el impacto en la privacidad de tu navegación pero como contrapartida (no hay nada gratis) dejas muchos de los rastros de tu navegación en PleaseProxy.me además de que tu proveedor (o en tu empresa si navegas desde la oficina) pensaré que tienes algo que esconder porque usas un proxy anónimo y el servidor al que te conectas puede denegarte el acceso por el mismo motivo.

Además los proxys anónimos no son del todo anónimos y todo depende del administrador del proxy en concreto.

Independientemente del tema del proxy y volviendo al título de este apunte, os dejo una captura de los sitios más visitados en PleaseProxy.me y cada cual que saque sus conclusiones. 🙂

Las redes sociales y el porno, eso es lo que hacemos en Internet cuando creemos que nadie mira.

De etch a lenny (I)

Hace unos días Debian liberó su nueva versión estable, lenny.

Desde entonces me había sujetado para no actualizar mis máquinas con etch, la anterior versión estable de Debian… no se, prefiero dar unos días al software para que se pruebe antes de hacer este tipo de actualizaciones, … el proceso de actualización podría fallar y, cuando estás administrando de forma remota un servidor, el que no arranque puede ser una cosa crítica… ¿no puedo ir a USA a darle al botón ni a trabajar delante del monitor!

Ahora bien, cuando sale una nueva versión estable de Debian… es realmente estable. Lenny llevaba en pruebas mucho tiempo. Suelo trabajar con testing en mi ordenador personal y la verdad es que suele funcionar MUY bien, como digo uso testing (a veces incluso con algún paquete de unstable) para el uso diario de mi portátil y nunca me ha dejado tirado! 🙂

Así que el proceso es el siguiente:

  • Backup, backup, backup, … realizar copias de seguridad de todos los datos, configuraciones y demás… hay que esperar lo mejor pero prepararse para lo peor.
  • # apt-get update
  • # apt-get upgrade – (estos dos comandos son sólo para tratar de hacer que el cambio sea menos traumático pero no creo que sean imprescindibles).
  • Actualizamos el fichero /etc/apt/sources.list y ponemos lenny en vez de etch.
  • # apt-get update
  • # aptitude install dpkg aptitude apt
  • # aptitude dist-upgrade
  • Esperamos 2-5 minutos (o algo más si tu conexión a Internet no es rápida o tienes MUCHO software que actualizar).
  • Contestamos a 4-5 preguntas sobre si queremos que sobreescriba algunos ficheros de configuración de tu sistema actual o no.
  • Ya está, ya tengo una Debian Lenny corriendo en mi sistema.

Con eso es bastante… bueno casi, hay que reiniciar pues se debe haber cambiado el kernel de la máquina durante la actualización…

Adios a mis uptimes de 111 y 130 días sin reiniciar los sistemas!

Bueno, en mi caso ha necesitado algo más, el abrir un “ticket” a mi proveedor de VPS, Slicehost que sobre la marcha han actualizado el kernel.

  • El anterior: 2.6.16.29-xen
  • El nuevo: 2.6.24-22-xen

Te tenido un pequeño contratiempo al ir a reiniciar mis servidores virtuales, creo que por el hecho de ser servidores virtuales…
El problema es que al reiniciar para que cargaran el nuevo kernel, ¡los servidores estaban sin red! (¿me toca ir a USA a darle al botón de reset?). 😉

Me pongo en contacto con Slicehost por su sistema de chat, me atienden instantáneamente, les cuento el problema… que he pedido que me actualicen el kernel y a la vuelta mis servers estaban si red… y tras 1 (largo) minutillo de espera me dicen que hay un problemilla con el udev y que pruebe borrar dos ficheros de /etc.

Tras borrar esos ficheros, reinicio y todo perfecto!
Se trataba de unos ficheros de /etc/udev que hacían mención a la red y que al cambiar de kernel… bueno, el fallo del que os hablaba.

Slicehost tiene un sistema que te permite acceder a la consola de tus VPS de forma remota, a través de un navegador web y eso me ha permitido salvar perfectamente la situación de que mis servidores se levantaran sin red en USA y yo estuviera en Madrid.
Una consola con alguna limitación, … pero muy práctico. Esta funcionalidad es la típica cosa que no usas nunca salvo cuando las cosas se ponen muy feas y entonces agradeces que esté ahí y que funcione tan bien.

También tienen una aplicación muy sencilla que te permite hacer algunas cosas desde un iphone.

Lo dicho, ya tengo DXCal.com, PleaseProxy.me, un servidor DNS y alguna cosilla más en Debian lenny… ahora a esperar otros días a ver si todo ha ido tan bien como parece y puedo actualizar mi otro servidor (el que soporta a este blog entre otras 1000 cosas!) que sigue en etch.

Paranoia… ¿o no?

En el blog de Bruce Schneier hay una entrada para reflexionar.

No dice nada nuevo… así que debe ser por cómo lo dice pero recomiendo su lectura (aviso, la entrada es en inglés).

Básicamente expone una serie de hechos que pueden llegar a generar paranoia… ¿o no?

En el artículo habla, sin entrar en detalles de que a día de hoy vamos dejando huellas digitales en nuestra vida diaria y todo se graba.

Nuestras compras con tarjetas de débito/crédito se almacenan, nuestras operaciones con tarjetas de programas de cliente se guardan y es posible establecer patrones de compra de cada uno de nosotros, nuestras visitas a distintas tiendas on-line permiten analizar todas y cada una de nuestras búsquedas, … los chips de RFID que se empiezan a integrar en pasaportes, DNI y otras tarjetas y productos, de las cámaras que existen en las ciudades y que es posible que puedan incorporar (si no lo hacen ya, en un futuro próximo) capacidad de reconocimiento facial, reconocimiento automático de las matrículas de los coches en los aparcamientos (supongo que los habreis visto ya porque están puestos en casi todos los aparcamientos públicos), en los coches de la policía, …

Habla también de los códigos de identificación que incluyen las máquinas digitales de fotografías e impresoras que permiten identificar exactamente con qué dispositivo se ha hecho una fotografía o se ha imprimido una hoja en particular, …

No dice nada en el artículo de los teléfonos móviles de los que no nos despegamos ni un minuto a lo largo de las 24h del día y que permiten al menos a las operadoras saber exactamente dónde estamos físicamente, con quien nos comunicamos… y dónde está la persona con la que nos comunicamos.

Tampoco menciona los buscadores de Internet (Google y compañía) que conocen exactamente nuestros intereses mediante las búsquedas que realizamos, el uso de nuestros ordenadores personales queda registrado por cualquiera de las barras de herramientas gratuítas de esas que se instalan y que supuestamente nos ofrecen ayudas de seguridad para la navegación, o … evidentemente que nuestros desplazamientos físicos en el mundo real quedan siempre registrados ya sean por los billetes de avión, tren que compramos o bien cuando respostamos en cualquier gasolinera con sus cámaras de seguridad o los pagos del combustible con tarjeta, …

Las compañías de gas o luz pueden conocer los patrones de ocupación de nuestra vivienda, saber y/o preveer cuando estamos en nuestra casa, las horas, nuestros periodos vacacionales, ausencias largas, …

Las compañías de seguros (médicos y de cualquier otro tipo) conocer y preveer nuestras enfermedades, alergias o cualquier otro problema, …

Todo se graba, es posible hacer un análisis a posteriori de toda esa informacióninteligencia… pero claro ¿dónde queda la privacidad del ciudadano?

A veces me da por pensar que no se si interesa profundizar mucho en todo esto porque la mayoría de las cosas, aunque lo puedan parecer no son exageraciones futuristas y catastrofistas… son el presente y no se habla de cosas que pueden suceder sino de cosas que están sucediendo aquí y ahora.

Todo es paranoia… o no.