Día mundial de la privacidad

Enviado por el enero 28, 2010 Sin comentarios

Vía el blog de Bruce Schneier me he enterado de que hoy jueves es el día mundial de la privacidad.
De ahí puedes saltar a la Declaración de Madrid a favor de la privacidad que, si la lees pues hay de todo, pero no está mal.

Es curioso el tema de los sponsors… quien patrocina esta declaración o este día o esta iniciativa… hay empresas que no se por qué, me cuesta relacionarlas con el término privacidad!!

Bueno, cada uno mete el dinero donde quiere pero lo suyo sería que fuéramos un poco más coherentes ¿no?

Operation Aurora: La presión funciona

Enviado por el enero 21, 2010 Sin comentarios

Ayer hablaba de que Microsoft había decidido publicar el parche para corregir la vulnerabilidad de Internet Explorer que estaba generando todo el ruido mediático de la operación Aurora.

Pues bien, ayer tarde hizo público el parche que corrige la vulnerabilidad en Internet Explorer.
La información está en este boletín fuera de ciclo.

Ahora toca probar el parche (cuando lo publiquen) y actualizar… a ver si este parche, liberado rápidamente y bajo presión no nos trae ninguna sorpresa.

Está claro, la presión mediática funciona. :-(

Actualización: Desde anoche ya tenemos los parches:

Una de cal y otra de arena con Microsoft

Enviado por el enero 20, 2010 1 comentario

Nada mejor que un poco de mala publicidad para reaccionar.

Según la BBC, Microsoft ha decidido corregir el error que está generando todos gran parte de los problemas de la Operación Aurora de la que ya he publicado algún apunte.

Una de cal y otra de arena.

Ayer mismo se publicó un full disclosure, con un exploit de ejemplo, que permite elevar privilegios y afecta a prácticamente todos los sistemas Windows de Microsoft.

El anuncio en particular explica en detalle el error y dice que se informó a Microsoft en junio del pasado año pero que, como no han publicado ningún parche al respecto, han decidido meterles un poco de prisa para que corrijan un error grave.

Supongo que Microsoft, ya que publicará los parches para corregir los problemas de la Operación Aurora, aprovechará para corregir este problema a la vez… que avisados estaban.

A los atacantes: si quieres conseguir privilegios de administrador en una máquina con windows, lee el disclosure.

A los administradores de sistemas: En el propio anuncio hay unos consejos para mitigar los daños… ahora toca evaluar si puedes o no implantar esas medidas en tus sistemas.

Ahora y como otras veces, toca esperar a que se publique el parche.

Actualización:

Otros blogs españoles también hablan del problema:

Operation Aurora: Exploit disponible

Enviado por el enero 18, 2010 Sin comentarios

Hablaba el viernes de la Operation Aurora y de cómo Google y otras empresas habían sido atacadas aunque no todas lo reconocían públicamente y hoy (aunque la noticia es del mismo viernes) me entero de que el exploit ya circula libremente por Internet.

Es posible reproducir el ataque con Metasploit tal y como explican en esta página así que… estemos preparados para la tormenta.

Es previsible que en breve distintos grupos de crackers van a empezar a utilizar este exploit para generar sus propios ataques, contra sus propios objetivos así que en breve supongo que tendremos un nuevo virus.

Microsoft recomienda actualizar a IE8, a mi se me ocurre actualizar a Firefox :-) pero mientras tanto, los usuarios de Windows deberán esperar al parche y tener mucho cuidado con lo que ejecutan o las webs que visitan.

Actualización: (19/01/2010) No solo a mi se me ocurre recomendar actualizar a Firefox. Los gobiernos de Francia y Alemania también recomiendan no utilizar IE6 y migrar a Firefox.
Además se ha hecho pública una dirección IP (140.136.148.42) desde la que se controlaban las máquinas afectadas por uno de los ataques que utilizan la vulnerabilidad de Adobe Reader.

Operación Aurora: Ataques dirigidos contra distintas empresas desde China

Enviado por el enero 15, 2010 Sin comentarios

Estos primeros días de enero están siendo movidos en el mundo de la seguridad de la información.

Algunos de los grandes han reconocido que están siendo víctimas de ataques dirigidos aprovechando una vulnerabilidad Zero-Day de IExplorer que Microsoft reconoció ayer a través de su blog.

Lo bueno, que se está publicando información a través de diferentes medios y websites como Google, que habla de ataques desde China o McAffe, que habla de la operación Aurora o bien algunos otros, como twitter de George Kurtz o el twitter de ITSec.

Por ahí se lee que el problema viene de la última vulnerabilidad descubierta en Adobe Reader y Adobe lo niega y trata de limpiar su imagen tras los múltiples problemas que ha causado estos días.

Las informaciones que hay disponibles por la red hablan de ataques especialmente dirigidos contra empresas y organismos en concreto, no muchos, pero en varios sectores incluidos el de la defensa. De momento pocos reconocen que han sido objetivo de estos ataques, otros probablemente no vayan a anunciar que el ataque les ha afectado a ellos… pocos reconocerán que les han robado información como ha hecho Google.

¿Estará el gobierno Chino detrás de estos ataques o serún las mafias? ¿Espionaje industrial u otra cosa? ¿Hasta qué punto se pueden empezar a tomar medidas drásticas como cortar TODO el tráfico con China salvo el tráfico deseado? ¿Se puede desconectar al país? ¿Pueden las empresas permitirse el lujo de desconectar al gigante?

Existen muchas páginas con bloques de IP de China, Korea, configuraciones para IPtables para cortar el tráfico asiático,scripts para bloquear tráfico de determinados países como China o Afganistán.

Son días para estar atentos a los logs, escuchar a los usuarios por si comentan cosas raras, vigilar los informes de los helpdesk en busca de incrementos de problemas por visrus, leer las noticias de seguridad y preparar planes de actualizacián de parches de seguridad para actualizar rápidamente cuando los fabricantes (especialmente Microsoft) publique las soluciones a los problemas de sus productos.

Operation Aurora

Añadiendo swap dinámica a mi sistema

Enviado por el enero 4, 2010 2 comentarios

Hace poco por tocar donde no debía y sin leer toda la documentación antes de darle al “enter” perdí el inicio de mi portátil y me quedé sin el “triple boot” en mi ordenador:

  • MAC OS X: para las tareas de jailbreak con el iPhone.
  • Windows XP: para los concursos de radioaficionado con el N1MM.
  • Linux/Debian: para todo lo demás. :-)

Hoy andaba yo probando KLog generando el paquete de KLog para Debian y… uff qué lento se está volviendo esto… ¿Quién se está comiendo mi memoria?

Así que un vistazo al

free -m me dice que no tengo SWAP!!

Olvidé general la partición de swap cuando instalé los sistemas operativos y ahora no tenía ganas de andar cambiando particiones y demás… asi que la swap en fichero.
Un vistacillo al buscador de turno y caí en este URL donde te cuentan cómo instalar un fichero de swap dinámica en Debian… ¡ No conocía esta aplicación !

La instalación es sencilla… como casi todas las instalaciones de Debian:

aptitude install dphys-swapfile

Ya tengo 4Gb de Swap y el sistema ya no se me queda tan tostao como antes!

¿Quién dice que Linux es difícil? :-)

Fin de una etapa: Hasta luego KDE-ES.

Enviado por el diciembre 23, 2009 Sin comentarios

Hace unos días envié un mensaje a la lista de correo electrónico del grupo de traductores de KDE al español, KDE-ES.

Básicamente y para ahorraros la lectura del mensaje, en él presentaba mi ¿dimisión? ¿renuncia? o no se cómo decirlo, básicamente anunciaba que dejo la coordinación del equipo, exponía algunas de las razones que me han llevado a tomar esta decisión y proponía un plan para elegir al nuevo coordinador así como también presentaba como candidato a Eloy Cuadra, que creo que es una persona preparada, que conoce perfectamente la forma de trabajo del equipo y que lo hará MUY bien.

No me he cansado de traducir… es algo que llevo haciendo, yo diría que por lo menos unos 12 años y probablemente lo siga haciendo pero, entre unas cosas u otras ya no tengo el tiempo para dedicarle a KDE-ES todo lo que necesita (que dicho sea de paso, tampoco es tanto) así que antes de seguir ocupando un puesto sin poder subir las traducciones de los compañeros con la celeridad que requiere, sin atender a los recién llegados todo lo bien y rápido que me gustaría o sin mantener al día mis traducciones del paquete KDEBase, … antes de llegar a ser un lastre para el equipo, prefiero apartarme a un lado y dejar que otra persona coja el relevo y pueda seguir tirando y que KDE-ES siga creciendo y haciendo un trabajo tan bueno como el que ha hecho hasta ahora.

Hay que decir que el grupo de KDE-ES es un grupo de traductores MUY válidos, que trabajan a tope siempre que hace falta y consiguen que los usuarios de habla hispana de KDE dispongan de un sistema en español, con una calidad de las traducciones yo diría que bastante buena, superior en muchos casos a las traducciones de muchos programas propietarios y de pago.

Ahora y… desde la distancia se me ocurre una reflexión: Llevo unos o casi 10 años coordinando el equipo… mi cargo de coordinador parece que era vitalicio.

¿Son vitalicios los puestos de coordinador en los proyectos de software libre? Quiero decir… Siempre se ha dicho que en el software libre es la meritocracia la que ofrece, da y quita el liderazgo de los proyectos.

¿Ocurre realmente así? No se si la gente del grupo LibreSoftware habrán hecho algún estudio al respecto :-)

Resumiendo y para terminar que me lio a hablar, … en unos días KDE-ES tendrá otro coordinador.

Mucha suerte y a seguir currando!

Sistema de escuchas telefónicas

Enviado por el diciembre 11, 2009 Sin comentarios

Tenía este apunte en la recámara desde hace tiempo y entre unas cosas y otras ahí estaba… El tema ya no es de actualidad pero os dejo el apunte:

Parece que está de moda hablar del sistema del gobierno para hacer escuchas a la telefonía móvil (SITEL).

Es un poco ingenuo pensar que hasta ahora no era posible escuchar o acceder a las conversaciones telefónicas desde equipos del gobierno con la ayuda de las operadoras… porque sin ellas no seria posible, supongo que en eso estamos todos de acuerdo.

El problema no es hacer un seguimiento en particular o escuchar y grabar lo que dice fulanito… eso es fácil y me da que está resuelto desde hace tiempo, el problema es procesar toda la información interesante que hay en el ruido de todas las conversaciones. El problema es la inteligencia, el obtener información útil de la fuente, de todo el ruido que es la telefonía móvil.

Realmente a nadie le importa, o no se puede sacar mucha información útil de lo que yo pueda estar diciendo por teléfono cuando hablo con un amigo o un familiar en una conversación estrictamente privada… Otro caso es si hablara de determinados temas más o menos sensibles, temas que pudieran afectar a la seguridad nacional…

¿Cómo saben los señores del gobierno que al que tienen que escuchar es a mi? ¿Cómo saben cuando hay que escucharme? Ese es el problema.

Los recursos son limitados y, aunque consigan grabar TODAS las conversaciones que se producen en un día… ¿Van a poder analizarlas todas? Eso es más difícil, hay que decidir a quien se escucha y/o hacer muestreos más o menos aleatorios con la esperanza de pescar a alguien.

La otra cara de la moneda.

Las personas que tienen cosas que el gobierno puede querer escuchar deberían saberlo y me da a mi que lo saben, y si lo saben, probablemente tomen las medidas oportunas para que no sea posible (o al menos no sea sencillo) que se intercepten sus comunicaciones.

Por ejemplo, existen móviles con chips criptográficos (hardware) que cifran las comunicaciones extremo a extremo… algo así como encapsular la conversación de voz en un tunel, como haríamos con los datos si usamos un tunel SSH.

Esos móviles pueden ser caros y no se pueden conseguir con puntos en tu operadora favorita. Muchas veces están controlados y, aunque tuvieras el dinero, no están a la venta.

De nuevo… la gente que tiene miedo de que el gobierno pueda estar detrás de ellos probablemente tengan el dinero y los contactos para acceder a esos teléfonos con criptografía.

Como resumen… esos sistemas de escucha que usa el gobierno no valen para escuchar a los que realmente no quieren ser escuchados… solo sirven para escuchar a los particulares o delincuentes sin medios que no pueden acceder a esos terminales con criptografía para cifrar las conversaciones… o a los que, teniendo cosas que esconder no son conscientes del riesgo.

¿Qué podemos hacer los particulares que queremos tener más tranquilidad de que no se interceptan nuestras conversaciones y, lamentablemente también los delincuentes?

Hoy en día tenemos teléfonos con potencia suficiente como para cifrar/descifrar por software las conversaciones telefónicas. A día de hoy podemos hacer llamadas mediante un smartphone que cifre la voz antes de enviarla a nuestro interlocutor que la descifrará y nos devolverá cifrada la respuesta de una forma confidencial.

Criptografía (¿simétrica?) lo suficientemente ligera como para poderla hacer en tiempo real con un teléfono más o menos normal y lo suicientemente robusta como para dificultar la escucha.

A ver si me doy una vuelta por la Internet y busco algún programa de esos… :-)

Manifiesto en defensa de los derechos fundamentales en internet

Enviado por el diciembre 3, 2009 Sin comentarios

Ante la inclusión en el Anteproyecto de Ley de Economía sostenible de modificaciones legislativas que afectan al libre ejercicio de las libertades de expresión, información y el derecho de acceso a la cultura a través de Internet, los periodistas, bloggers, usuarios, profesionales y creadores de internet manifestamos nuestra firme oposición al proyecto, y declaramos que…

1.- Los derechos de autor no pueden situarse por encima de los derechos fundamentales de los ciudadanos, como el derecho a la privacidad, a la seguridad, a la presunción de inocencia, a la tutela judicial efectiva y a la libertad de expresión.

2.- La suspensión de derechos fundamentales es y debe seguir siendo competencia exclusiva del poder judicial. Ni un cierre sin sentencia. Este anteproyecto, en contra de lo establecido en el artículo 20.5 de la Constitución, pone en manos de un órgano no judicial -un organismo dependiente del ministerio de Cultura-, la potestad de impedir a los ciudadanos españoles el acceso a cualquier página web.

3.- La nueva legislación creará inseguridad jurídica en todo el sector tecnológico español, perjudicando uno de los pocos campos de desarrollo y futuro de nuestra economía, entorpeciendo la creación de empresas, introduciendo trabas a la libre competencia y ralentizando su proyección internacional.

4.- La nueva legislación propuesta amenaza a los nuevos creadores y entorpece la creación cultural. Con Internet y los sucesivos avances tecnológicos se ha democratizado extraordinariamente la creación y emisión de contenidos de todo tipo, que ya no provienen prevalentemente de las industrias culturales tradicionales, sino de multitud de fuentes diferentes.

5.- Los autores, como todos los trabajadores, tienen derecho a vivir de su trabajo con nuevas ideas creativas, modelos de negocio y actividades asociadas a sus creaciones. Intentar sostener con cambios legislativos a una industria obsoleta que no sabe adaptarse a este nuevo entorno no es ni justo ni realista. Si su modelo de negocio se basaba en el control de las copias de las obras y en Internet no es posible sin vulnerar derechos fundamentales, deberían buscar otro modelo.

6.- Consideramos que las industrias culturales necesitan para sobrevivir alternativas modernas, eficaces, creíbles y asequibles y que se adecuen a los nuevos usos sociales, en lugar de limitaciones tan desproporcionadas como ineficaces para el fin que dicen perseguir.

7.- Internet debe funcionar de forma libre y sin interferencias políticas auspiciadas por sectores que pretenden perpetuar obsoletos modelos de negocio e imposibilitar que el saber humano siga siendo libre.

8.- Exigimos que el Gobierno garantice por ley la neutralidad de la Red en España, ante cualquier presión que pueda producirse, como marco para el desarrollo de una economía sostenible y realista de cara al futuro.

9.- Proponemos una verdadera reforma del derecho de propiedad intelectual orientada a su fin: devolver a la sociedad el conocimiento, promover el dominio público y limitar los abusos de las entidades gestoras.

10.- En democracia las leyes y sus modificaciones deben aprobarse tras el oportuno debate público y habiendo consultado previamente a todas las partes implicadas. No es de recibo que se realicen cambios legislativos que afectan a derechos fundamentales en una ley no orgánica y que versa sobre otra materia.

Este manifiesto, elaborado de forma conjunta por varios autores, es de todos y de ninguno. Se ha publicado en multitud de sitios web. Si estás de acuerdo y quieres sumarte a él, difúndelo por Internet.

Translations needed for KLog 0.5.0

Enviado por el noviembre 26, 2009 Sin comentarios

The following text comes from an email sent to the KLog’s mailing lists to ask for help to translate KLog.

===============
Good afternoon,

During last summer I started the migration of KLog to the new Qt4.[1]

It is not being easy but I have received a VERY valuable help of Andrew, who joined the KLog’s development team and we changed some things of the development mode of KLog[2].

Anyway, KLog 0.5.0 is not far from be ready for distribution and I am writting this email to request your help with the translation of KLog.

You will be able to find the PO/POT files in the SVN server of KLog[3].

If you have some spare time and you want to help KLog a lot of users will thank you.

I still don’t have a final date for KLog… I want to close some bugs[4] before releasing the QT port of KLog although I think I will not close all bugs before releasing, just the most “criticals” and any bug that may cause data loss or data corruption.

You can download KLog from the SVN and start testing it. I will be happy to receive all your comments.

Thank you very much for your help.

[1] http://jaime.robles.es/blog/rewritting-klog-for-kde4/
[2] http://jaime.robles.es/blog/klog-050-on-the-way/
[3] http://svn.berlios.de/wsvn/klog/trunk/po/#_trunk_po_
[4] http://developer.berlios.de/bugs/?group_id=608