DaboBlog

Disclaimer:

Este post puede considerarse como un acto de promoción dado que soy parte “interesada” o directamente implicada por mi participación en los casos que comento. Ante las (lógicas) posibles dudas, vamos a apelar a aquello de “pásate por ejemplo” por daboweb.com que en breve cumple 10 años y sólo verás un lugar más de ayuda informática, totalmente desinteresado, sin publicidad y hecho por amigos, no colaboradores, amigos, reitero, por y para la comunidad, aprovecho la ocasión para mandar un saludo a mis compañeros de Caborian.

Además, son más cinco años junto a vosotros por aquí en DaboBlog como para que os venga a contar películas en formato TS Screener (recuerda, descarga, pero con calidad).

¿Por qué esta entrada? Y tan tarde…

Bueno, era algo que tenía pendiente, a pesar de que intento conservar cierta actividad en las webs que promuevo o participo, colaborar con el podcast de mi amigo Dani, con el que he grabado unos audios sobre seguridad Wifi y seguridad en dispositivos móviles “para todos los públicos” (por cierto, sobre DaboBlog Podcast, pronto sacaremos un nuevo episodio, o eso espero;), como os decía, es frustrante por ejemplo, abrir Twitter y no poder leeros como me gustaría, no devolver todo el feedback que llega, dejar de publicar aquí con mayor regularidad o en Daboweb, DebianHackers, etc, pero uno da hasta donde da y tiene sus limitaciones. Acabo de ver que mi último post es del día 18 de Enero, día del famoso “Blockout“.

Situación actual.

Actualmente me encuentro inmerso entre una marea de cursos que estoy impartiendo (dentro de las actividades que llevo a cabo desde davidhernandez.es) y otra marea, pero en este caso, con APACHEctl.com junto a mis compañeros. Hablo de mareas de bytes, servidores web, auditorías de seguridad, terminales, intervenciones de urgencia, etc y todos los problemas a los que se puede enfrentar un autónomo en una época como esta, además de un proyecto en común que va gestándose con paso firme y a ritmo suave con Emma Fernández, buscando una diversificación en base a ciertos servicios que demandan algunos clientes.

Servidores y aplicaciones web, usuarios, condicionantes…

Y de mi actividad principal quería hablaros, servidores, seguridad, clientes, SysAdmins y algún ISP que en lugar de “Internet Service Provider“, bien podría ser un acrónimo de “Internet Sopla Pollas“. Sí, de varios hechos que he podido comprobar con mis propios ojos, algunos adelantados en medio de sensaciones entre el cabreo o la falta de comprensión por mi parte y…ciertamente hacen falta más de 140 caracteres para expresarlo. Eso sí, 140 caracteres son pocos, pero aunque tampoco quiero abusar de vuestro limitado tiempo en medio de una multitarea cada vez más acuciante, reconoceréis que a casi un post por mes, tengo que exprimir un poco el teclado ;)

Partamos de la base de que no siempre se puede actualizar como te gustaría o querría el cliente, existen ciertas dependencias entre algunas aplicaciones web, versiones del S.O, entornos de producción que no se pueden parar (de todo esto hablamos Sergio Hernando y yo en el “Especial Seguridad“) y situaciones en las que hay limitaciones tanto técnicas, comerciales o administrativas que impiden un estado ideal de algunos sistemas web en producción. Me tranquiliza en lo personal, saber que en ninguno de estos casos se den esas circunstancias.

Por otro lado, si alguien que trabaje en seguridad o sistemas no entiende que bajo ciertas condiciones, su infraestructura puede ser comprometida, debería pensar en cambiar de trabajo porque cuando viene un cliente buscando que le vendas una utopía, o veo en algún sitio web eso de “garantizamos al 100 % tu seguridad” me quedo alucinado o pienso ¡Qué envidia, si yo pudiera…!

A dos días de terminar de impartir un curso sobre SGSI, LOPD, LSSICE y todas las implicaciones y embrollos legales que se pueden dar cuando manejas datos de terceros, (aprovecho para saludar a esos 14 alumnos con los que tanto aprendo;), cada vez me doy cuenta de que en la solidez de la gestión de la seguridad entran en escena tantos protagonistas (ISP, Webmaster, sofware instalado, usuarios, SysAdmin, etc) que controlar todas esas variables al 100 % es prácticamente imposible, os recomiendo (sobre el factor humano) esta entrada “Por qué falla la seguridad” de los colegas de Security By Default.

¿Por qué? las acciones realizadas por personas a nivel individual influyen en tu trabajo y puedes preveer una actuación en concreto, pero no cambiar ciertas condiciones o costumbres del ser humano. De ahí que sea tan importante un “plan B” y sobre todo hacer que el “plan A” se vaya al carajo para ver cuánto tiempo tardas en poner en marcha ese “plan B” y dar por hecho que puedes encontrarte con el peor de los escenarios posibles.

Si lo ves o planificas de ese modo, no estarás poniéndote vendas en los ojos que acabarán seguramente provocándote una “ceguera operativa” cuando el escenario ideal se convierta en la peor de tus pesadillas, o la de tu cliente, si cuando contacta contigo y está siendo víctima de una fuga de información o ataque a sus sistemas, las cosas no van como debieran. Aún así, sé consciente siempre de tus limitaciones o carencias, e intenta aprender y aprovechar tus puntos fuertes, pero sin dejar de trabajar la parte que menos controlas o te gusta, para conseguir un mayor equilibrio. Créeme, hay gente “ahí fuera” que sabe mucho más de los que están (o estamos) a veces en un plano “mediático” (eventos, reseñas, referencias) en el que se vende mucho humo y prevalecen los conceptos en lugar de las realidades.

De servidores web bajo Debian Etch que jamás se han actualizado.

Con este (sub) título no debería extenderme mucho. Hablamos de una empresa que me contrató para impartir unas clases sobre administración de servidores web bajo GNU/Linux. Dicho cliente (de Asturias) tenía contratado un servidor dedicado con un proveedor local, no daré nombres ya que aún mantiene una relación contractual y no seré yo quien promueva más malas artes por su parte, pero tampoco seré quien recomiende sus servicios, quizás hasta me lean, seguro que se ven “retratados” por lo de MaxClients 40  TimeOut = 300. Sólo diré que son una empresa Asturiana de Hosting (a buen entendedor…).

En el curso, a modo de ejercicio, fuimos creando paso a paso un servidor GLAMP y llegado el momento, se migraron algunos dominios a su máquina, en ese momento es cuando accedí al servidor dedicado contratado con esa empresa. Ya cuando hice un barrido rápido con Nmap lo vi claro pero…cuando haces un uname -a , cat /etc/debian_version o miras el source.list, puedes quedarte K.O.

El que el cliente tuviese una distribución de Debian de hace 5 años que ya no tiene actualizaciones desde finales de 2010 (ojo con Debian Lenny que desde hace unos días ya no recibirá actualizaciones de seguridad !!) puede considerarse bastante fuerte con unas 20 webs en producción. Pero…¿Cómo se queda uno si ve que la salida de tail /var/log/aptitude es = 0? WTF. Si, hay que joderse y “joder” al prójimo, jamás se había actualizado, no daba crédito y tras varias comprobaciones pude ver que era así de crudo y duro. En un primer momento pensé que había un problema con los logs, fue tan fácil como ir tecleando apache2ctl -V, mysql -v, etc, para ver que eran las versiones originales según venían en Debian 4.

Ahora bien, el listillo jamás había metido un update pero ojo, sí que había tenido tiempo para poner en el apache2.conf la directiva “maxclients” en 40. Todo ello con un “bonito” TimeOut de 300 seg, sí amigos, ¿el motivo? piensa mal y acertarás, claro, para ahorrar ancho de banda en su CPD…Limita a 40 conexiones o IPs diferentes en cada máquina y de ese modo, paga menos a su proveedor. Pero hay que ser malo o tener “mala fe” (vi el history y controlar, controlan) para dejar en 300 seg el TimeOut cuando sabes que si hay 40 IPs diferentes conectadas, hasta que se cierre una conexión de Apache que quede inactiva y dé paso a la 41, pasarán la friolera de 300 segundos, luego el cliente, ya se dio cuenta del motivo por el cual a veces le llamaban con eso de “es que me dicen que no se puede entrar a mi web”.

De servers con CentOS, un Cpanel sin actualizar y 3 joomlas crackeados.

Uno de los primeros síntomas por los cuales el cliente se da cuenta de que tiene un problema en su servidor, es en el momento que empiezan a venir e-mails rebotados o marcados como spam y entras en alguna (o varias) de las “blacklists” (o listas negras) habidas y por haber. Esa actividad inusual de envíos de correos desde el localhost, sin estar asociados a ningún dominio, ya es algo que debería mosquearte y luego llega “ese momento” (de la revelación).

El panorama no podía ser peor, una máquina con una versión de CentOS sin actualizar al igual que la versión de Cpanel desde la que se administraba, medidas de protección cuasi-nulas tanto a niveles más bajos del sistema, como protección de ataques de fuerza bruta, picos de tráfico indeseado, escaneos de puertos un tanto “intrusivos”, configuraciones del servidor bajo mi punto de vista inadecuadas para la gran cantidad de webs que alojaba, etc. El cliente pagando por una administración delegada que efectivamente no se estaba realizando, no en este caso a su proveedor de hosting, sino a un tercero. Dicho cliente había sufrido un ataque a varios de los Joomlas instalados (sí, mirad por ahí en las carpetas de imágenes a ver si veis algún .php que no debería estar ahí…), tenía todo un entorno de acceso remoto por una puerta trasera vía web para enviar spam de forma masiva, acceder a las bases de datos, subir ficheros, etc.

Ahh, también un servidor de IRC en la raiz “/”, desde esa máquina se habían realizado ataques de pishing haciendo de pasarela, algo que pudimos comprobar mientras hacíamos el análisis, reportando por mi parte a INTECO CERT la situación de un segundo servidor comprometido (que por cierto, actuaron muy rápido avisando al ISP o dueño del dominio ya que se palió casi al instante). ¿Vaya panorama eh?. Siendo sinceros, el administrador de ese sistema no hizo su trabajo, pero si te dedicas a desarrollar o implementar algún CMS como WordPress o Joomla, lo mínimo que deberías hacer es estar al tanto de las posibles actualizaciones de seguridad que van publicándose, nadie está a salvo de un “0 day”, pero de eso a dejar pasar varias ramas o versiones hay un paso…

De una “gran” empresa de hosting y “rayos por las nubes”.

Este tema fue quizás más extraño, se trataba de un sistema “On Cloud” de estos muy modernos en los que a golpe de click, vas clonando, arrancando máquinas bajo demanda y pensando que todo se soluciona así, a base de “clicks” y monitores o paneles web muy pomposos pero que no se enteran de lo que pasa por su interfaz de red (o sistema de ficheros NFS lento como el sólo…) no hablo de Amazon por cierto.

Por resumirlo, el cliente sufrió un ataque en 3 máquinas virtualizadas sin tener en marcha ninguna web visible, es decir, había unas direcciones IP con un servidor de aplicaciones, otro para MySQL y otro para Apache en pre-producción. Entraron “hasta la cocina” y se enteraron 7 días después. ¿Los motivos o vectores de entrada? bueno, por cuestiones “técnico-económicas” el cliente no quiso realizar una auditoría forense y si mal no recuerdo, pidió un clonado de los discos virtualizados por si en un futuro, viese pertinente hacerla.

Esta “aparentemente” y aparente gran empresa de hosting, una vez acabados los trabajos a realizar por nuestra parte (que en APACHEctl no estoy yo sólo;), después de estar tirando en plan bestia con varios servidores (yo) para probar todas las medidas implementadas (ataques de fuerza bruta, escaneos de puertos de esos que hacen algo de “ruido”, denegación de servicio intentando “floodear” algún puerto o servicio inundándolo de peticiones SYN – TCP,  el cliente pidió los resultados de ese día, y cuando comparó el resultado del sistema de control de logs que le instalamos con lo que pidió a su ISP, era como para darte la risa (por decir algo), “se ha detectado cierto tráfico ICMP“, os aseguro que monté una buena, y ojo, todas las soluciones instaladas por nosotros se basan en Software Libre o herramientas Open Source y su “ultra-mega firewall” por hardware, (imagina el típico “SonicWall de 9.000 €) desde el que se realizaba un NAT hacia las máquinas virtuales, no se enteró de nada…Acabo recordando que el cliente (empresa desarrolladora) se enteró 7 días después, teniendo que dar muchas e incómodas explicaciones al cliente final.

De otro “gran” ISP que cobra por administrar, no lo hace y entorpece.

Y además de no hacerlo, actualizar los sistemas del cliente, cuando ese o esos clientes (dos en una semana) piden acceso SSH, todo son problemas, no vamos a ir al tema legal y la denostada (por mi desde sus inicios) LSSI que dice que “el ISP no es responsable de los contenidos que aloja el cliente siempre que no sea el creador de sus contenidos, pero tiene que actuar con rapidez caso de que queden expuestos datos de terceros o la propia infraestructura web“, vamos a eso de “estoy siendo víctima de un ataque, no doy con ello y como vosotros no sois capaces de pararlo y dar con el vector de entrada, por favor, ceded el paso ya que cada minuto es vital para mi negocio.

Es lo que pasa con ciertas ventas o mejor dicho “fusiones” que queda mejor, es como lo de la Coca Cola de los 80, queda el nombre y algo del gusto de antaño, pero la esencia…se perdió entre tanta “alianza estratégica“. Aquí hablamos de máquinas comprometidas intentando redirigir el tráfico hacia sitios maliciosos (que afortunadamente se paró a tiempo) y clientes que se sientes totalmente impotentes frente a una situación muy dura en la que como he dicho, cada minuto, segundo, cuenta…

Podría seguir comentando algún tema localizado en una auditoría de seguridad que realizamos a unos 30 equipos, redes, servidores, etc, en una empresa hace unos días, pero quizás aún el cliente no ha leído el informe recién enviado y es mejor que lo vea con detalle desde la tranquilidad y no en pinceladas que pueda dejar aquí escritas. Tampoco voy a poner nombres, en muchos de estos casos, se están o bien finiquitando relaciones contractuales o arreglándolas, lo siento pero si me preguntas por algún sitio en el que confiar, pasa al siguiente párrafo…

¿Y ahora qué?

Podrás preguntarte…¿todo el mundo lo hace mal? no, ¿las cosas están feas ahí fuera? sí. No deja de ser toda una paradoja que cuando alguien dice que “mi hosting es genial, etc, etc” lo hacen porque simplemente ven que su web está activa y llegado el caso (no en todos los casos que comento), el servicio de atención al cliente es bueno, contestan en tiempo y forma, etc pero…cuando tienes problemas es el momento de darte cuenta de a quien le estás dando las llaves que abren (o pueden cerrar) las puertas de tu negocio.

No sé si habría que decir a la gente eso de “mira, piensa que un servidor web es como tu ordenador de casa, tiene que estar actualizado, pero también los programas que usas a diario, del mismo modo que tienes un antivirus, bla, bla, bla“. Pero mejor quédate con eso de, actualiza primero todos los CMS que tengas instalados en tu servidor (foros, blogs, etc), realiza o contrata una auditoría de seguridad al menos una vez al año, asegúrate de que efectivamente tu SysAdmin o ISP estén actualizando/administrando esa máquina, haz lo mismo que con los médicos, pide siempre una segunda opinión, (pásate por el “Especial SysAdmin“ con Ricardo Galli) créeme, si estás leyendo esto te confesaré que soy el primero que dudo de mi propio trabajo y entre los miembros de APACHEctl y allegados, no paramos de auditarnos y ponernos a prueba, además de tirarnos de las orejas si nos pillamos en un renuncio. Y ojo, por fiarte, no te fíes ni de nosotros al 100 % si llegas a contratarnos. Sí, somos humanos y como todos, podemos cometer errores por mucho que lo intentemos evitar.

Un abrazo y “tengan cuidado ahí fuera” -;).

Pdta; Según WordPress, son 2.714 palabras, lo sé, ni tanto ni tan poco ¿o era al revés? ;D.

Compartir

Tags: APACHEctl, Ataques, Blogs, CMS, Dabo, Forense, hosting, Internet, ISP, Opinión, Servidor Web, Sistemas, Software, Spam, Sysadmin, Webmaster

Hoy es un día de protesta en Internet. También aquí en DaboBlog, como muchos otros que están en el archivo del blog. Puede que veas muchas páginas con una imagen similar a la que verás dentro de unas horas en DebianHackers, donde Diego y yo, nos hemos sumado al llamado “Blockout“, allí somos dos, ante la duda, decidimos realizar el “cierre-protesta“. Tanto en Daboweb como en Caborian, hemos expresado nuestro rechazo.

En mi caso, he optado por informar ya que varias personas me han preguntado ¿qué es lo de la SOPA? y si todos cerramos, la información fluirá por los medios tradicionales que “tradicionalmente” están manejados por grandes corporaciones en las que la difunden según le convenga a quien pone los euros.

No es menos cierto que, hablando de mi, tengo una opinión también subjetiva, la diferencia con esos medios es que vivo desde hace años con la sensación cada vez mayor que tanto mi libertad de expresión, como algo tan irrenunciable como mis Derechos y Libertades Civiles, se ven recortados dando igual el Gobierno esté al frente del País.

Hace siete años, cuando este blog no era aún ni un proyecto, ya escribí en Daboweb  este texto en contra de la LSSI, una Ley con la que muchos perdimos algo tan preciado como la privacidad en Internet y por ende, en la “vida real” (pocas diferencias ya). También aquí me hice eco del cierre de la web de un amigo, “El Agujero Negro” LSSI mediante.

Cabe recordar que fue aprobada por el Partido Popular, no está de más decir que el PSOE, cuando llegó al poder, dijo que la iba a derogar, falso, lejos de hacerlo la potenció y al final nos acabaron contando eso de la Ley Sinde (ahí expresé mi opinión), luego con el cambio que pintaba bien (a medias, según leo lo que escribí), para acabar siendo avalada por el PP, PSOE y CIU.(Si quieres entender el movimiento “No les votes” ahí tienes toda la información necesaria).

El PSOE le cedió al PP el segundo apellido “Wert” y se aprobó la Ley Sinde-Wert. Una herramienta de cierre masivo de webs por la vía rápida que le da a la industria discográfica, cinematrográfica, editorial o la mal llamada en mi opinión, cultural, ya que la cultura, como el conocimiento debe ser libre y no es patrimonio de unos pocos, sino de todos.

Esto no es un tema de “los chavales de las descargas”, ese es el mensaje que quieren hacer llegar ciertos grupos de presión, para que el punto y final sea ir contra el usuario directamente, algo que de hecho ya está pasando. ¿Por qué digo esto? a los hechos y fechas no muy lejanas me remito. El mensaje de “sólo vamos a ir contra las webs que se lucran bla bla bla” es como todo demás, un caramelo envenenado (como lo del Canon digital) que yo desde luego no me lo voy a tragar, de esos, ya he tenido que probar muchos y quien se lo quiera creer que se lo crea, yo no.

Y con la Ley SOPA hemos topado, sí, resulta que también las hostias nos vienen (como muchas otras veces) desde el otro lado del charco entre “barras y estrellas”. SOPA o acrónimo de “Stop Online Piracy Act” (“Ley de cese a la piratería en línea”), es otra “herramienta” más de cierre masivo de webs (podríamos hablar de los cables de Wikileaks, la Ley Sinde-Wert, la SOPA, etc)

Algún apunte (De Wikipedia);

El proyecto de ley originalmente propuesto permite que tanto el Departamento de Justicia de los Estados Unidos, como los propietarios de derechos intelectuales, puedan obtener órdenes judiciales contra aquellos sitios de internet que permitan o faciliten el infringimiento de los derechos de autor. Dependiendo de quién sea el que solicite la orden judicial, las acciones previstas contra el sitio web podrían incluir:

• Restricción al acceso a empresas que brindan un servicio de facilitación de pago tales como PayPal o que ofrecen dinero a cambio de colocar publicidad online.
• Restricción en los buscadores que vinculan con tales sitios.
• Requerimiento a los proveedores de internet, para que bloqueen el acceso a tales sitios.

El proyecto de ley convierte en un crimen al streaming no autorizado de contenidos protegidos por copyright, y prevé una pena máxima de cinco años de prisión por cada diez piezas musicales o películas descargadas dentro de los seis meses desde su estreno. El proyecto además brinda inmunidad a todos aquellos proveedores de Internet que voluntariamente lleven a cabo acciones contra tales sitios haciendo además responsable al sitio web infractor de cualquier daño producido al titular de los derechos, incluso sin tener que demostrarlo

Ha sido Wikipedia el principal impulsor del “Blockout” o “cierre técnico” de Internet a modo de protesta, apoyado fuertemente por Google. De todos modos, nos quejamos mucho de EEUU pero ahora mismo la SOPA se sirve “fría”, más bien está “congelada”, sí, a diferencia de lo que sucede en España, allí han puesto el freno,

Hay que aclarar que empresas como Apple o Microsoft no aparecen en la lista de las 142 compañías que la apoyan ya que se “esconden” tras estas siglas “BSA” (Puedes comprobar la lista). Tampoco hay que olvidar “otras” (Hadopi, etc, en Mangas Verdes).

Pero…¿Y si dejamos que sea Mafalda  la que nos explique por qué le sigue sin gustar “la SOPA”…Pero ojo, no nos olvidemos de lo que pasa aquí por favor. Hay muchos frentes abiertos, nos jugamos mucho en cada movimiento que hacen, no te calles, alza la voz.

Compartir

Primero fue Twitter…

Bueno, sobre lo de Twitter y el cambio de password vía web no voy a hablar mucho porque los habituales de DaboBlog lo sabéis. Ya hice la demo en el pasado FIMP, demostrando que se podía acceder (en el caso que presenté) con un cliente móvil con la contraseña antigua todo el tiempo que quisieras hasta que que cerrase la sesión (también lo mencioné en el 5EBloggers del ENISE e hice otra demo vía móvil a varios compañeros de mesa). A modo de recordatorio, en caso de pérdida de un móvil u otro dispositivo ya sabéis, o borrado remoto, o ir a Twitter y revocar el acceso a la aplicación. Aún cambiando vía web el password, seguirán conectados a tu cuenta.

Ahora Dropbox.

Leer el resto de;”[FAIL] Primero fue Twitter y ahora Dropbox. Cambias el password y hasta el “logout” sigues conectado.”

Compartir

Tags: Bugs, Dropbox, Hacking, nube, Password, Seguridad Informatica, Twitter

#Y añado, voy insertando más fotos (Licencia Copyleft) en el post

Nota, estamos intentando unificar el hashtag de Twitter con #acampadaxixon en lugar de #acampadagijon.

A pesar de que muchos siguen insistiendo en que movimientos como “No les votes” lo que buscan es o bien, decantarse por la abstención o buscar sólo una intención de voto “en contra de”, está claro que para muchos ciudadanos, el hartazgo está llegando hasta niveles ya casi imposibles de soportar.

Fruto de ese hartazgo, el pasado 15 de Mayo comenzó un movimiento descentralizado (tal y como comenzó Internet) de personas juntándose con personas simplemente y de varias formas (ahora se diría “hashtags”) para decir bien alto ” Estamos hartos”.

Ahora mismo me encuentro en la plaza mayor de Gijón concentrado con gente que tiene la misma sensación que yo, la misma que muchos de vosotros, esa sensación de que algo tiene que cambiar y además rápido. Aquí, entre y junto a estas personas, podéis ver como siempre se puede decir o hacer algo, cada uno a su manera pero…no penséis que el esfuerzo cae en saco roto.

Por mucho que quieran “el control”, no podrán con nosotros. Ya dijeron eso de “porque somos Legión”…

Unas fotos con mi móvil que a falta de una Wifi es con lo que conecté desde mi Debian para dejaros algún documento gráfico de este movimiento de personas.

Más info; “No les votes” y “Democracia real ya” (Manifiesto).

La mía, cortesía de Nacho (entropía)

Pincha en el enlace inferior para ver todas las fotos.

Leer el resto de;”En directo desde La Plaza Mayor de Gijón. #acampadaxixon #nolesvotes #democraciarealya #nonosvamos #spanishrevolution #yeswecamp”

Compartir

Tags: Asturias, Cibercultura, democraciarealya, Gijón, nolesvotes, Solidaridad

Me parece muy bien que un gran número de desarrolladores de Spotify usen GNU/Linux tal y como dicen en el “flamante” anuncio de su blog (ENG), también que nos tengan en cuenta, pero sobre todo, me siento ¿honrado? al ser considerado por ellos como un usuario “Premium”.

Y es que sus “brillantes desarrolladores” (no dudo que lo sean, lo dicen ellos), después de largos días y noches sin dormir por lo que se ve, han conseguido según sus propias palabras, llevar a nuestros escritorios una versión de Spotify que, si bien comparte muchas similitudes con las de Windows o Mac OS X (Ohh Wait !! cómo lo hará la gente de Firefox, Audacity, VLC u Open Office) no da soporte entre otras cosas a los archivos locales.

Además, como no han encontrado la forma de insertar la publicidad, sólo se ofrece para usuarios con cuentas “Premium”…Imagino que para quienes ya estén pagando, será una buena noticia, pero quizás para el resto de mortales que no pagamos y que lo usamos puntualmente bajo Wine, sólo es una (más) brillante estrategia comercial buscando llegar al corazón de esos usuarios con el síndrome del “Pingüino apaleado”.

Un síndrome que hemos de quitarnos de encima ya que cualquier distro de GNU/Linux (incluso una inestable como la rama que uso de Debian) cumple perfectamente con el cometido para que el ha sido programada y sólo faltaba ahora que nos volviéramos locos porque los “Nerds Developers” de Spotify, con sus cuentas premium, vengan a salvarnos haciéndonos pasar por caja con una versión que no tiene al menos lo mismo que un usuario de Mac o Windows.

No le puedo pedir lo mismo a una compañía como Spotify que a una comunidad de desarrolladores, hay software cerrado como Skype por citar un ejemplo que sin tener las mismas funcionalidades que sus versiones para Windows o Mac, cumplen con lo que necesito y por eso lo uso, pero prefiero mil veces usar Spotify bajo Wine (que lo habré usado no más de 10 veces) que caer en esa trampa tan medida y populista que se han montado.

Vamos a hablar de negocios que es de lo que va esto ¿no? Primero he de decir que me parece muy respetable que alguien pague por este servicio, alternativas hay, pero con su dinero cada uno hace lo que quiere. Y como yo miro mucho en qué lo gasto, he de deciros que me parece muy injusto que tenga que pagar la misma cantidad para usar nativamente Spotify que ese usuario de Windows o Mac, sin tener sus mismas funcionalidades.

A ver si se enteran, muchos usuarios de GNU/Linux no estamos en esto sólo porque (mayormente que no siempre) sea de uso libre y gratuito, valoramos el software bien hecho y si tenemos que pagar por algo, llegado el caso pagamos como cualquier otro usuario, pero lo hacemos por una mínima calidad gracias precisamente a la gran cantidad de alternativas que tenemos y sobre todo, no nos gusta pagar lo mismo por menos.

Compartir

Tags: Debian, GNU/Linux, Opinión, Software, Spotify, wine

Bueno, todos sabemos que Oreixa es muy Caborian pero…¿tanto cómo podemos ver en el vídeo?

Reconozco que lo que más escalofríos me dio fue verle abrir la funda al final con el cubo debajo ;D. Tranquilos que ya le preguntaremos en el podcast por la “pruebecita”. La prueba al completo en Planeta Mac. (Estás fatal bro-;)

En palabras de Oscar;

Hoy vamos a probar la Laptop Drybag, una funda estanca que permite llevar nuestros MacBook de forma segura en lugares con agua o humedad, y que forma parte de su línea WATATAIT.

Compartir

Tags: Caborian, Hardware, Laptop Drybag, Macbook, Oscar Reixa, Videos, YouTube

Hola amigos, acabo de terminar de grabar con Oscar y Gorka la sección “Manzanas Traigo”, dedicada al mundo Apple en el Podcast (el Sábado grabo con Forat “Kernel Panic”, sobre GNU/Linux) y justo después, me ha llegado un aviso de nueva versión de Safari desde la lista de correo “Apple Security”.

Hasta ahí todo normal, me digo; “nada, lo publico en Daboweb ahora”, pero…mi sorpresa ha llegado cuando leyendo mis fuentes RSS, en algún lugar dedicado a noticias sobre el mundo de la manzana, leo que Apple sobre este update dice;

Se recomienda instalar esta actualización a todos los usuarios de Safari, ya que incluye mejoras del funcionamiento, la estabilidad y la seguridad de la aplicación como las siguientes:

Se ha mejorado el funcionamiento de Top Sites.
Se ha mejorado la estabilidad de los módulos de otros fabricantes.
Se ha mejorado la estabilidad de los sitios web con formularios en línea y gráficos SVG (Scalable Vector Graphics).
Se ha corregido un problema que impedía a Safari modificar la configuración de algunos routers Linksys.
Se ha solucionado un problema que impedía a algunos usuarios de iWork.com añadir comentarios a documentos.
Para obtener información detallada acerca del contenido de seguridad de esta actualización, visite la siguiente página web: http://support.apple.com/kb/HT1222?viewlocale=es_ES.

Y claro, luego para colmo, en un blog muy visitado sobre Apple (contra el que no tengo nada vaya por delante), leo que corrige varios bugs pero “muy repetitivos” y es en ese momento cuando me voy al enlace de arriba, donde Apple dice;

Para obtener información detallada acerca del contenido de seguridad de esta actualización, visite la siguiente página web: http://support.apple.com/kb/HT1222?viewlocale=es_ES.

Y no hay nada !!! sobre lo que se ha corregido en esta versión hablando de seguridad. Claro, al final quizás lo acaban metiendo en esa “pseudo-sección” dedicada a las actualizaciones de seguridad de Apple, pero en lugar de desinformar, lo que deberían hacer es indicar claramente cuales son las vulnerabilidades corregidas.

No pido que tengan la transparencia que se lleva a cabo y que compruebo cada día en el mundo de GNU/Linux y el software libre en general, o que puedo leer a diario por ejemplo en las listas de correo de seguridad de Debian, no la pido porque es incompatible con su forma de actuar y de llevar el negocio como tengan a bien.

Pero una compañía que se jacta de ser todo lo contrario a Microsoft, desde luego que al final hablando de seguridad lo es, ya que por lo menos, un usuario de Windows puede saber exactamente sin estar suscrito a ninguna lista de correo de seguridad, que parches y “por qué” se actualiza el software que tiene instalado, sin ser Microsoft históricamente una compañía ejemplar informando sobre la seguridad de sus productos.

Esta forma de actuar frente a la seguridad (por oscuridad u omisión que igual ahí me excedo), me parece totalmente irresponsable ya que el usuario de Windows o Mac OS X que use Safari, debe saber que si no se realiza esa actualización, quedará expuesto a vulnerabilidades que van desde errores de corrupción de memoria, un cierre inesperado de la aplicación o, lo que es más importante, desbordamientos del búfer o la ejecución de código arbitrario en el sistema afectado, desde viendo imágenes manipuladas especialmente con un determinado perfil de color incrustado (también Tiffs o BMP manipulados, hablando de Windows), pasando por el salto de restricciones en la opción de aceptar cookies o no leyendo fuentes RSS, o múltiples bugs en su potente motor “Webkit” visitando sitios webs manipulados para lograr la ejecución de código arbitrario mientras se procesan ciertos ficheros HMTL o XML, etc, etc.

La lista completa de bugs corregidos para que podáis ver a  lo que me refiero (que ahí si que se dice con claridad) está en la entrada que he publicado en Daboweb sobre el lanzamiento de Safari 4.0.5.

¿Es inseguro o un mal producto Safari? si no se actualiza si, un mal producto desde luego que no si nos referimos a esta actualización. Yo navego con Iceweasel, (Firefox según la política de licencias y filosofía de Debian) y estos bugs son habituales en cualquier navegador o software, se parchean y fn del problema, (que a veces también en Firefox se han heredado bugs y “torpedos” de meses atrás, ojo) lo que no es tan habitual, es que prevalezcan a la hora de informar al usuario las mejoras en “Top Sites” o que no puedas hacer comentarios a documentos en iWork.com…

Este tipo de actuaciones y detalles tan “sutiles” para vender una imagen que no se ajusta a la realidad, hacen que para mi, Apple hablando de software, (sobre su hard, uso Debian en un MacBook y después de 3 años el resultado es de 10) tenga muy poca credibilidad y más bien parezca que quieren seguir vendiéndole al usuario tipo de Mac OS X (que de tonto no tiene un pelo), esa moto de “Hala, sé feliz produciendo que nosotros nos preocupamos de todo”.

Y luego vienen los disgustos porque claro, cuando no dices claramente “Actualiza que puede ser que dejes de producir tan felizmente”, el usuario medio puede pensar “No tengo un router linksys que configurar, tampoco uso iWork.com así que ¿para qué actualizar?”.

Es sólo mi opinión, no soy quien para dar ejemplos de ética o actuaciones impecables, Mac OS X es un buen sistema operativo, pero es difícil abstraerse del tufillo a realidad maquillada que Steve Jobs imprime a muchas aspectos del funcionamiento de la compañía.

Compartir

Tags: actualizacion, Apple, Bugs, GNU/Linux, Mac OS X, Microsoft, Navegador, Opinión, Safari, Software

Y que no somos sólo los usuarios, creadores de contenidos, etc, quienes vemos serios problemas en una Ley (o más bien anteproyecto de Ley) de Economía Sostenible, más conocida cómo “La nueva Ley de Internet“, que es una auténtica aberración para nuestros derechos y libertades sobre la que ya opiné en DaboBlog.

Vía internet (punto) Microsiervos, me acabo de enterar de que El Consejo General del Poder Judicial y el Consejo Económico y Social han publicado sus objeciones y “peros” al Anteproyecto de Ley de Economía Sostenible. Quizás ahora, viniendo de quienes vienen estas objeciones, algunos se tomen más en serio nuestra lógica preocupación…

Toda la información en Buffet Almeida.

Compartir

Tags: Cibercultura, Internet, Legal, LSSI, webs

Imagino que si no fuera por YouTube principalmente y muchas animaciones que te envía el spammer-colega o compañero de trabajo de turno que compite por ser el que envíe la gilipollez más grande del día (sin usar el campo CCOO, con copia oculta en el mail), muchos ni conocerían la tecnología Flash.

A pesar de que para muchos sitios web el uso de Flash se hace cuasi-imprescindible, afortunadamente, cada vez se tienen más en cuenta los estándares web que dicta no sólo el W3C (con oficina en Gijón por cierto) sino el sentido común.

No hace falta leer a Jacob Nielsen (cuando empecé a hacer webs, muchos de sus libros sobre usabilidad me abrieron los ojos) para darse cuenta de que lo importante del contenido que se publica en Internet es que se vea. Si, parece una obviedad pero…¿cómo vamos a hablar de estándares cuando ni siquiera ves el maldito contenido?

No os voy a engañar, yo mismo hace unos 6 o 7 años, me “pegué” con el Flash y recuerdo una “intro” de Daboweb (que tiempos aquellos-;) con una animación en Flash, pero todo tiene su momento. De todos modos mi cabreo con  Flash quizás es exponencial a lo mucho que me viene dando por el saco de unos años a estas fechas…

Si lo viese puntualmente en alguna web o micro-site de esos que ahora están tan en alza, quizás sería otra cerrada y molesta a veces cerrada tecnología más, de esas que cuando usas GNU/Linux quieres evitar a toda costa y de fácil olvido. Pero…no.

Quizás el titulo es más bien un “titular” o lo que a mi me gustaría, pero “la batalla del vídeo” que estamos viviendo es un paso para que al menos, servicios tan usados como el vídeo vía web (no sólo YouTube), se liberen (más bien los usuarios) del yugo de antaño Macromedia, ahora Adobe Flash.

Os aseguro que no es un capricho, además de un MacBook con Debian, como ya comenté en esta entrada, tengo instalado en un PowerPC G4 Ubuntu 9.10 (muy contento por cierto) y amigos, por alucinante que os parezca, no hay soporte oficial para Flash en esa plataforma.

Si tenemos alguna gran iniciativa como puede ser Gnash que lucha contra viento, código cerrado y mareas de ingeniería inversa imagino, para dotarnos a los usuarios de un plugin libre para ver contenido en Flash, (“líbrenos del Flash !!!”) Llegando a hacerlo posible en ocasiones y en otras no, si son animaciones o vídeos creadas en las más modernas versiones de Adobe Flash.

Esta nueva etiqueta “Vídeo” de HTML 5, hará posible que se vean los vídeos directamente soportados desde el propio navegador, sin plugins externos como Flash (hablamos de navegadores que respeten los estándares por supuesto).

Algunos ya la soportan, pero hablando del problema de Flash,  igualmente muchos móviles siguen sin reproducirlo, sin ir más lejos el iPhone, (Nokia desde hace años si que lo hace) por lo que muchos usuarios del teléfono de Apple (entre los que me encuentro, no, no fue una inocentada, ya lo dije-;) me entenderán perfectamente. Vale, se puede reproducir un vídeo de YouTube que esté insertado en una web en el reproductor multimedia integrado, pero no una web hecha en Flash.

Ahora se esta discutiendo acerca del codec de vídeo a usar, obviamente apuesto por OGG frente a H.264 que es lo que recomienda la FSF (fundación del software libre) ya que cuanto más abierto sea, mejor para el usuario final y a los hechos me remito con el propio Flash, pero sé que se llegará a un buen entendimiento porque al final, imperará el sentido común o así lo quiero creer.

Pero sobre todo, puede ser el principio del fin del Flash a lo largo y ancho de Internet, o al menos el paso a un merecido segundo plano después de años de un protagonismo ganado a fuerza de pasar por encima de muchos usuarios que para ellos, simplemente parece que no existen.

Si señores de Adobe, ahora les ha salido un incómodo grano en el culo y no es de los que se quitan con Hemoal, no, este igual les estalla y manda a la mierda (Macromedia y ahora Adobe nos han mandado a muchos) a su maldito Flash pero por la vía rápida.

Estoy contengo, porque algo bueno de todo esto saldrá y Google sabe mover bien sus piezas como hemos podido ver con la inclusión de algunos de sus vídeos en HTML 5. ¿El principio del fin? torres más altas han caido…

Compartir

Tags: Adobe, estándar, Flash, FSF, GNU/Linux, Google, iPhone, Móviles, Navegador, Plugins, PowerMac, PowerPC, Software, W3C, YouTube

Y hoy hablaremos de política…

Rompo fugazmente una de mis máximas de no alimentar aquí a la clase política ni sus intereses (que deberían ser los míos, “deberían”) ya que, por un lado a pesar de que soy un demócrata convencido y me gusta estar al día de lo que acontece en el mundo, siguiendo la actualidad en Internet, prensa escrita o la radio principalmente (RN1 para más señas), considero que hay otros lugares que cubren mucho mejor que yo esos huecos dedicándose a la política principalmente. Pero hoy no me voy a callar.

Desde el más absoluto hartazgo.

Aquí escribe un ciudadano cualquiera que está harto pero de TODA la clase política. No voy a entrar a valorar ahora la campaña desinformativa que el PP en plan muy pro-internauta, derechos en La Red, etc, etc,está llevando a cabo porque ellos fueron quienes nos la metieron más que doblada la LSSI (tag en DaboBlog) de la que me quejé sin paliativos hace años cuando vio la luz, mejor mirad este enlace en “Kriptópolis” sobre la precursora de todo esto y denostada “Ley de Servicios de la Sociedad de la Información. A partir de ahí, muchos perdimos el anonimato en Internet, que algunos tenemos memoria por mucho que otros se empeñen en querer borrarla.

Porque va a resultar que Rajoy es poco menos que Richard Stallman (presidente de la Free Software Foundation). A ver si no confundimos los términos, que algún departamento de imagen del político de turno le abra un FaceBook o un Twitter a ese político de turno para que “lave” esa imagen, dándole un aspecto entre “cool” y “geek” a partes iguales, no quiere decir que a algunos de esos políticos (obviamente no puedo meter en el saco a todos) les interese una mierda nuestras libertades o derechos, tanto en La Red como fuera de ella.

Donde dije “digo” digo “Diego”.

Y digo que no voy a entrar porque ahora mismo “no toca”, lo que toca es decir y bien alto que el PSOE, (vuelvo a la LSSI, cuando estaban en la oposición dijeron “cuando lleguemos al poder, haremos algo con esa Ley” y lo que hicieron fue potenciarla aún más)es quien ahora nos la ha metido “extra doblada” a todos.

Imagino que en la sede de la innombrable $G@€, hoy brindarán con un cava del bueno a la salud de Zapatero y la Ministra González-Sinde. No es para menos, lo que no han conseguido con ninguna sentencia hasta la fecha dictada por un  Juez, se lo ofrece el Gobierno en bandeja y además por vía rápida, en 4 días para ser más exactos.

Autoría de la imagen JR Mora.

No hace mucho, Zapatero dijo frente a las cámaras “no se cerrará ninguna web” “hay que defender la libertad de expresión” ¿Qué expresión la de los faranduleros?, hoy nos enteramos de que si se cerrarán y además en 4 días, si hace falta acogiéndose a las “dudosas” medidas cautelares que no dejan de ser un instrumento legal para dar el cerrojazo por la vía rápida en base al “por si acaso” y una vez hecho el daño, luego vamos con el procedimiento “garantista” (claro, después de haber cerrado la web primero). Daré un repaso rápido al procedimiento aunque aquí lo explican mejor que yo (visto en Menéame donde también se hacen eco de nuestro rechazo a estas medidas).

Así se actuará;

Si ahora un “creador” (uff que término más abstracto) entiende que los derechos de su obra están siendo explotados, bien sin pasar por caja o fuera de su control, tendrá un nuevo marco jurídico para denunciarlo e iniciar un movimiento legal en contra del sitio web que a su modo de ver “incumpla” los puntos citados en esta Ley que se complementa con la no menos abstracta Ley de Economía Sostenible.

Se creará una segunda sala por el Ministerio de Cultura con una Comisión de Propiedad Intelectual permanente. Estará formada por 4, 5 o 6 personas. Entre ellos y con poder de decisión, un Juez de reputada carrera profesional ¿elegido por quién? que no esté en activo actualmente, también un representante de los creadores, una figura relevante en el ámbito tecnológico, usuarios de La Red y consumidores.

Sobre el papel, un buen reparto, digo sobre el papel porque ahora mismo, a falta de una jurisprudencia sólida en este ámbito que según informan llegará en unos meses, esta especie de “vacio legal” o posible falta de cultura informática (cibercultura) de la judicatura en general (además de la gran mayoría de la clase política), todo el peso de la decisión de cierre recaerá realmente en el Juez designado para dictaminar si entran en conflicto la protección de esos derechos de los “creadores” (que somos todos dicho sea de paso) o autores y las libertades que nuestra Constitución “se supone” que nos brinda.

Aunque se entiende que la decisión final recaerá en un Juez (no el de la comisión) y a la postre, será quien decida si esa web vulnera algún derecho de terceros. Luego podríamos hablar largo y tendido de si no le llegará la información muy sesgada o de si es necesario actuar tan rápido en temas que no tienen ni de lejos el interés o gravedad de otros muchos que no se atienden en tiempo y lugar adecuados.

Según leemos en el enlace que os comenté antes del ABC;

Cuatro días porque el juez sólo entenderá de ese punto concreto, no entrará en el fondo de la cuestión, sobre si se vulnera o no la propiedad intelectual de un contenido. La Audiencia Nacional sólo garantizará que la medida restrictiva no daña o conculca la libertad de expresión o cualquier otro derecho fundamental protegido por la Constitución. Así, la Sala tendrá 4 días para notificar, oír a las partes y decidir si se aprueban o suspenden las medidas restrictivas propuestas por Cultura. Todo apunta a que en los primeros meses de funcionamiento, la Audiencia Nacional va a tener mucho más trabajo.

Una vez comprobado que se protegen todos los derechos y libertades fundamentales se tomará la decisión correspondiente y el proceso sigue un curso legal. Es decir, las medidas entrarían en vigor de manera cautelar para proteger el contenido de mayores daños, pero las partes aún tendrían oportunidad de recurrir las medidas (la web) o solicitar indemnizaciones (el creador o productor) a los que hayan infringido la ley, dentro de un proceso civil ordinario, que se prologará a buen seguro durante años.

Tras la aprobación hoy en el Consejo de Ministros, el paquete de medidas pasará el visto bueno del Consejo de Estado y del Consejo General del Poder Judicial y continuará el trámite, junto con la Ley de Economía Sostenible.

Primero cerramos y luego “juzgamos”.

Así que amigos, con las “medidas cautelares” hemos topado. De momento se cierra y luego, ahí ya sí con la parsimonia habitual de la justicia que sufrimos en España, se entrará en un proceso que puede tardar años en finalizar y unos gastos que casi nadie podrá sufragar.

Como bien dice Javier de la Cueva en otra aclaratoria entrada de La Información, se protegen los derechos de los autores pero ¿por qué no los derechos de las tintorerías, y por qué no de los garajes?

Del mismo modo, también se preguntan mis amigos de Cajón Desastres ¿Es que es más importante el patrimonio de los artistas, que el patrimonio o los asuntos del resto de ciudadanos?.

Hasta hoy, ningún Juez había dicho que compartir archivos era un delito si no había ánimo de lucro, habíamos podido defender nuestros derechos demostrando como mi amigo Wogker del Agujero Negro que no es lo mismo alojar contenidos con derechos de autor que enlazar a quienes los alojan. Eso, a pesar de que amparándose en la LSSI y a modo de golpe bajo, por “supuestamente” no poner los datos personales de el responsable de la web, alguna buena multa le ha llegado a más de uno.

Pero también habíamos conseguido que antes de aplicarse por recomendación de la $G@€ una medida de cierre cautelar sobre una web, un Juez se lo pensase dos veces. Todo ello pasando por caja religiosamente recuerdo pagando un canon tan injusto como rentable para quienes lo reciben.

Y a mi hasta hoy admirado Bono de U2, que como ejemplo para proteger su obra, pone la censura gubernamental que se ejerce en China, tengo que decirle que posiblemente él, que tanto ha luchado por los derechos de los demás en muchos frentes (cosa que no se puede negar), esté o bien con la crisis de los 50 o inmerso en una onda mesiánica que le impide ver la realidad.

En lugar de ir del hotel al concierto “pro” lo que sea, bien podía pasarse un año en esa China tan abierta y global que parece admira y luego contarnos la experiencia.

Ayer Viernes alguien se ha reido de nuestra lucha, nuestro esfuerzo y tantas horas frente al teclado creando y compartiendo información. ¿Qué van a conseguir? Unirnos más frente a la nueva apisonadora legal.

Siempre nos quedará Internet.

No vais a poder, no, seáis del color que seáis ya que ninguno me representáis ni me entendéis, ni podéis llegar a saber cuales son mis motivaciones o lo que hablando de mi, me ha llevado a ayudar a crear comunidades como Daboweb o Caborian.

Para el nuevo órgano ¿gestor o censor?, a ver si tenéis cojones y cerráis Google como medio de acceso a toda esa información que, según vosotros os estamos “robando” que para robo el canon digital. Mucho artista pero del lloriqueo es lo que hay, como decimos en Caborian “hartistas” con “h” de los que “hartan”.

Os podéis ir todos a la más profunda, oscura como vuestros intereses y absoluta mierda.

(Recomendado), La opinión de David Bravo sobre la nueva Ley de Internet.

(Recomendado), La nueva Ley para torpes (en Rafa Espada).

Compartir

Tags: $G@€, Actualidad, Angeles González-Sinde, Cibercultura, Cultura, Denuncia, Internet, Legal, LSSI, Opinión, Política