DaboBlog

Disclaimer:

Este post puede considerarse como un acto de promoción dado que soy parte “interesada” o directamente implicada por mi participación en los casos que comento. Ante las (lógicas) posibles dudas, vamos a apelar a aquello de “pásate por ejemplo” por daboweb.com que en breve cumple 10 años y sólo verás un lugar más de ayuda informática, totalmente desinteresado, sin publicidad y hecho por amigos, no colaboradores, amigos, reitero, por y para la comunidad, aprovecho la ocasión para mandar un saludo a mis compañeros de Caborian.

Además, son más cinco años junto a vosotros por aquí en DaboBlog como para que os venga a contar películas en formato TS Screener (recuerda, descarga, pero con calidad).

¿Por qué esta entrada? Y tan tarde…

Bueno, era algo que tenía pendiente, a pesar de que intento conservar cierta actividad en las webs que promuevo o participo, colaborar con el podcast de mi amigo Dani, con el que he grabado unos audios sobre seguridad Wifi y seguridad en dispositivos móviles “para todos los públicos” (por cierto, sobre DaboBlog Podcast, pronto sacaremos un nuevo episodio, o eso espero;), como os decía, es frustrante por ejemplo, abrir Twitter y no poder leeros como me gustaría, no devolver todo el feedback que llega, dejar de publicar aquí con mayor regularidad o en Daboweb, DebianHackers, etc, pero uno da hasta donde da y tiene sus limitaciones. Acabo de ver que mi último post es del día 18 de Enero, día del famoso “Blockout“.

Situación actual.

Actualmente me encuentro inmerso entre una marea de cursos que estoy impartiendo (dentro de las actividades que llevo a cabo desde davidhernandez.es) y otra marea, pero en este caso, con APACHEctl.com junto a mis compañeros. Hablo de mareas de bytes, servidores web, auditorías de seguridad, terminales, intervenciones de urgencia, etc y todos los problemas a los que se puede enfrentar un autónomo en una época como esta, además de un proyecto en común que va gestándose con paso firme y a ritmo suave con Emma Fernández, buscando una diversificación en base a ciertos servicios que demandan algunos clientes.

Servidores y aplicaciones web, usuarios, condicionantes…

Y de mi actividad principal quería hablaros, servidores, seguridad, clientes, SysAdmins y algún ISP que en lugar de “Internet Service Provider“, bien podría ser un acrónimo de “Internet Sopla Pollas“. Sí, de varios hechos que he podido comprobar con mis propios ojos, algunos adelantados en medio de sensaciones entre el cabreo o la falta de comprensión por mi parte y…ciertamente hacen falta más de 140 caracteres para expresarlo. Eso sí, 140 caracteres son pocos, pero aunque tampoco quiero abusar de vuestro limitado tiempo en medio de una multitarea cada vez más acuciante, reconoceréis que a casi un post por mes, tengo que exprimir un poco el teclado ;)

Partamos de la base de que no siempre se puede actualizar como te gustaría o querría el cliente, existen ciertas dependencias entre algunas aplicaciones web, versiones del S.O, entornos de producción que no se pueden parar (de todo esto hablamos Sergio Hernando y yo en el “Especial Seguridad“) y situaciones en las que hay limitaciones tanto técnicas, comerciales o administrativas que impiden un estado ideal de algunos sistemas web en producción. Me tranquiliza en lo personal, saber que en ninguno de estos casos se den esas circunstancias.

Por otro lado, si alguien que trabaje en seguridad o sistemas no entiende que bajo ciertas condiciones, su infraestructura puede ser comprometida, debería pensar en cambiar de trabajo porque cuando viene un cliente buscando que le vendas una utopía, o veo en algún sitio web eso de “garantizamos al 100 % tu seguridad” me quedo alucinado o pienso ¡Qué envidia, si yo pudiera…!

A dos días de terminar de impartir un curso sobre SGSI, LOPD, LSSICE y todas las implicaciones y embrollos legales que se pueden dar cuando manejas datos de terceros, (aprovecho para saludar a esos 14 alumnos con los que tanto aprendo;), cada vez me doy cuenta de que en la solidez de la gestión de la seguridad entran en escena tantos protagonistas (ISP, Webmaster, sofware instalado, usuarios, SysAdmin, etc) que controlar todas esas variables al 100 % es prácticamente imposible, os recomiendo (sobre el factor humano) esta entrada “Por qué falla la seguridad” de los colegas de Security By Default.

¿Por qué? las acciones realizadas por personas a nivel individual influyen en tu trabajo y puedes preveer una actuación en concreto, pero no cambiar ciertas condiciones o costumbres del ser humano. De ahí que sea tan importante un “plan B” y sobre todo hacer que el “plan A” se vaya al carajo para ver cuánto tiempo tardas en poner en marcha ese “plan B” y dar por hecho que puedes encontrarte con el peor de los escenarios posibles.

Si lo ves o planificas de ese modo, no estarás poniéndote vendas en los ojos que acabarán seguramente provocándote una “ceguera operativa” cuando el escenario ideal se convierta en la peor de tus pesadillas, o la de tu cliente, si cuando contacta contigo y está siendo víctima de una fuga de información o ataque a sus sistemas, las cosas no van como debieran. Aún así, sé consciente siempre de tus limitaciones o carencias, e intenta aprender y aprovechar tus puntos fuertes, pero sin dejar de trabajar la parte que menos controlas o te gusta, para conseguir un mayor equilibrio. Créeme, hay gente “ahí fuera” que sabe mucho más de los que están (o estamos) a veces en un plano “mediático” (eventos, reseñas, referencias) en el que se vende mucho humo y prevalecen los conceptos en lugar de las realidades.

De servidores web bajo Debian Etch que jamás se han actualizado.

Con este (sub) título no debería extenderme mucho. Hablamos de una empresa que me contrató para impartir unas clases sobre administración de servidores web bajo GNU/Linux. Dicho cliente (de Asturias) tenía contratado un servidor dedicado con un proveedor local, no daré nombres ya que aún mantiene una relación contractual y no seré yo quien promueva más malas artes por su parte, pero tampoco seré quien recomiende sus servicios, quizás hasta me lean, seguro que se ven “retratados” por lo de MaxClients 40  TimeOut = 300.

En el curso, a modo de ejercicio, fuimos creando paso a paso un servidor GLAMP y llegado el momento, se migraron algunos dominios a su máquina, en ese momento es cuando accedí al servidor dedicado contratado con esa empresa. Ya cuando hice un barrido rápido con Nmap lo vi claro pero…cuando haces un uname -a , cat /etc/debian_version o miras el source.list, puedes quedarte K.O.

El que el cliente tuviese una distribución de Debian de hace 5 años que ya no tiene actualizaciones desde finales de 2010 (ojo con Debian Lenny que desde hace unos días ya no recibirá actualizaciones de seguridad !!) puede considerarse bastante fuerte con unas 20 webs en producción. Pero…¿Cómo se queda uno si ve que la salida de tail /var/log/aptitude es = 0? WTF. Si, hay que joderse y “joder” al prójimo, jamás se había actualizado, no daba crédito y tras varias comprobaciones pude ver que era así de crudo y duro. En un primer momento pensé que había un problema con los logs, fue tan fácil como ir tecleando apache2ctl -V, mysql -v, etc, para ver que eran las versiones originales según venían en Debian 4.

Ahora bien, el listillo jamás había metido un update pero ojo, sí que había tenido tiempo para poner en el apache2.conf la directiva “maxclients” en 40. Todo ello con un “bonito” TimeOut de 300 seg, sí amigos, ¿el motivo? piensa mal y acertarás, claro, para ahorrar ancho de banda en su CPD…Limita a 40 conexiones o IPs diferentes en cada máquina y de ese modo, paga menos a su proveedor. Pero hay que ser malo o tener “mala fe” (vi el history y controlar, controlan) para dejar en 300 seg el TimeOut cuando sabes que si hay 40 IPs diferentes conectadas, hasta que se cierre una conexión de Apache que quede inactiva y dé paso a la 41, pasarán la friolera de 300 segundos, luego el cliente, ya se dio cuenta del motivo por el cual a veces le llamaban con eso de “es que me dicen que no se puede entrar a mi web”.

De servers con CentOS, un Cpanel sin actualizar y 3 joomlas crackeados.

Uno de los primeros síntomas por los cuales el cliente se da cuenta de que tiene un problema en su servidor, es en el momento que empiezan a venir e-mails rebotados o marcados como spam y entras en alguna (o varias) de las “blacklists” (o listas negras) habidas y por haber. Esa actividad inusual de envíos de correos desde el localhost, sin estar asociados a ningún dominio, ya es algo que debería mosquearte y luego llega “ese momento” (de la revelación).

El panorama no podía ser peor, una máquina con una versión de CentOS sin actualizar al igual que la versión de Cpanel desde la que se administraba, medidas de protección cuasi-nulas tanto a niveles más bajos del sistema, como protección de ataques de fuerza bruta, picos de tráfico indeseado, escaneos de puertos un tanto “intrusivos”, configuraciones del servidor bajo mi punto de vista inadecuadas para la gran cantidad de webs que alojaba, etc. El cliente pagando por una administración delegada que efectivamente no se estaba realizando, no en este caso a su proveedor de hosting, sino a un tercero. Dicho cliente había sufrido un ataque a varios de los Joomlas instalados (sí, mirad por ahí en las carpetas de imágenes a ver si veis algún .php que no debería estar ahí…), tenía todo un entorno de acceso remoto por una puerta trasera vía web para enviar spam de forma masiva, acceder a las bases de datos, subir ficheros, etc.

Ahh, también un servidor de IRC en la raiz “/”, desde esa máquina se habían realizado ataques de pishing haciendo de pasarela, algo que pudimos comprobar mientras hacíamos el análisis, reportando por mi parte a INTECO CERT la situación de un segundo servidor comprometido (que por cierto, actuaron muy rápido avisando al ISP o dueño del dominio ya que se palió casi al instante). ¿Vaya panorama eh?. Siendo sinceros, el administrador de ese sistema no hizo su trabajo, pero si te dedicas a desarrollar o implementar algún CMS como WordPress o Joomla, lo mínimo que deberías hacer es estar al tanto de las posibles actualizaciones de seguridad que van publicándose, nadie está a salvo de un “0 day”, pero de eso a dejar pasar varias ramas o versiones hay un paso…

De una “gran” empresa de hosting y “rayos por las nubes”.

Este tema fue quizás más extraño, se trataba de un sistema “On Cloud” de estos muy modernos en los que a golpe de click, vas clonando, arrancando máquinas bajo demanda y pensando que todo se soluciona así, a base de “clicks” y monitores o paneles web muy pomposos pero que no se enteran de lo que pasa por su interfaz de red (o sistema de ficheros NFS lento como el sólo…) no hablo de Amazon por cierto.

Por resumirlo, el cliente sufrió un ataque en 3 máquinas virtualizadas sin tener en marcha ninguna web visible, es decir, había unas direcciones IP con un servidor de aplicaciones, otro para MySQL y otro para Apache en pre-producción. Entraron “hasta la cocina” y se enteraron 7 días después. ¿Los motivos o vectores de entrada? bueno, por cuestiones “técnico-económicas” el cliente no quiso realizar una auditoría forense y si mal no recuerdo, pidió un clonado de los discos virtualizados por si en un futuro, viese pertinente hacerla.

Esta “aparentemente” y aparente gran empresa de hosting, una vez acabados los trabajos a realizar por nuestra parte (que en APACHEctl no estoy yo sólo;), después de estar tirando en plan bestia con varios servidores (yo) para probar todas las medidas implementadas (ataques de fuerza bruta, escaneos de puertos de esos que hacen algo de “ruido”, denegación de servicio intentando “floodear” algún puerto o servicio inundándolo de peticiones SYN – TCP,  el cliente pidió los resultados de ese día, y cuando comparó el resultado del sistema de control de logs que le instalamos con lo que pidió a su ISP, era como para darte la risa (por decir algo), “se ha detectado cierto tráfico ICMP“, os aseguro que monté una buena, y ojo, todas las soluciones instaladas por nosotros se basan en Software Libre o herramientas Open Source y su “ultra-mega firewall” por hardware, (imagina el típico “SonicWall de 9.000 €) desde el que se realizaba un NAT hacia las máquinas virtuales, no se enteró de nada…Acabo recordando que el cliente (empresa desarrolladora) se enteró 7 días después, teniendo que dar muchas e incómodas explicaciones al cliente final.

De otro “gran” ISP que cobra por administrar, no lo hace y entorpece.

Y además de no hacerlo, actualizar los sistemas del cliente, cuando ese o esos clientes (dos en una semana) piden acceso SSH, todo son problemas, no vamos a ir al tema legal y la denostada (por mi desde sus inicios) LSSI que dice que “el ISP no es responsable de los contenidos que aloja el cliente siempre que no sea el creador de sus contenidos, pero tiene que actuar con rapidez caso de que queden expuestos datos de terceros o la propia infraestructura web“, vamos a eso de “estoy siendo víctima de un ataque, no doy con ello y como vosotros no sois capaces de pararlo y dar con el vector de entrada, por favor, ceded el paso ya que cada minuto es vital para mi negocio.

Es lo que pasa con ciertas ventas o mejor dicho “fusiones” que queda mejor, es como lo de la Coca Cola de los 80, queda el nombre y algo del gusto de antaño, pero la esencia…se perdió entre tanta “alianza estratégica“. Aquí hablamos de máquinas comprometidas intentando redirigir el tráfico hacia sitios maliciosos (que afortunadamente se paró a tiempo) y clientes que se sientes totalmente impotentes frente a una situación muy dura en la que como he dicho, cada minuto, segundo, cuenta…

Podría seguir comentando algún tema localizado en una auditoría de seguridad que realizamos a unos 30 equipos, redes, servidores, etc, en una empresa hace unos días, pero quizás aún el cliente no ha leído el informe recién enviado y es mejor que lo vea con detalle desde la tranquilidad y no en pinceladas que pueda dejar aquí escritas. Tampoco voy a poner nombres, en muchos de estos casos, se están o bien finiquitando relaciones contractuales o arreglándolas, lo siento pero si me preguntas por algún sitio en el que confiar, pasa al siguiente párrafo…

¿Y ahora qué?

Podrás preguntarte…¿todo el mundo lo hace mal? no, ¿las cosas están feas ahí fuera? sí. No deja de ser toda una paradoja que cuando alguien dice que “mi hosting es genial, etc, etc” lo hacen porque simplemente ven que su web está activa y llegado el caso (no en todos los casos que comento), el servicio de atención al cliente es bueno, contestan en tiempo y forma, etc pero…cuando tienes problemas es el momento de darte cuenta de a quien le estás dando las llaves que abren (o pueden cerrar) las puertas de tu negocio.

No sé si habría que decir a la gente eso de “mira, piensa que un servidor web es como tu ordenador de casa, tiene que estar actualizado, pero también los programas que usas a diario, del mismo modo que tienes un antivirus, bla, bla, bla“. Pero mejor quédate con eso de, actualiza primero todos los CMS que tengas instalados en tu servidor (foros, blogs, etc), realiza o contrata una auditoría de seguridad al menos una vez al año, asegúrate de que efectivamente tu SysAdmin o ISP estén actualizando/administrando esa máquina, haz lo mismo que con los médicos, pide siempre una segunda opinión, (pásate por el “Especial SysAdmin“ con Ricardo Galli) créeme, si estás leyendo esto te confesaré que soy el primero que dudo de mi propio trabajo y entre los miembros de APACHEctl y allegados, no paramos de auditarnos y ponernos a prueba, además de tirarnos de las orejas si nos pillamos en un renuncio. Y ojo, por fiarte, no te fíes ni de nosotros al 100 % si llegas a contratarnos.

Un abrazo y “tengan cuidado ahí fuera” -;).

Pdta; Según WordPress, son 2.664 palabras, lo sé, ni tanto ni tan poco ¿o era al revés? ;D.

Compartir

Tags: APACHEctl, Ataques, Blogs, CMS, Dabo, Forense, hosting, Internet, ISP, Opinión, Servidor Web, Sistemas, Software, Spam, Sysadmin, Webmaster

Es curioso, no hace falta irse a grandes empresas para darse cuenta de que las “golosinas”, en forma de atractivas campañas de marketing (off-online), promoción “dospuntocero” a tope y mucha presencia “social”, les resultan más atractivas que mirarse un poco el ombligo y dotar a sus empleados de una formación básica en seguridad (ya no digo medio/avanzada que sería lo deseable). Quien dice a sus empleados, dice a la propia empresa.

Hasta que “di el salto” y me puse a trabajar por cuenta propia, no para mi mismo que es una frase hecha ya que siempre lo haces para terceros, durante más de 20 años haciéndolo para diferentes empresas, este hecho siempre ha sido algo recurrente. La seguridad preocupa poco, o más bien sólo cuando sucede un desastre o incidente serio que hace girar la cabeza hacia ese lado y encender las alarmas (tarde ya) con la correspondiente pérdida de negocio, datos, prestigio o clientes.

Lo más triste es que precisamente, quienes más protección deberían tener en sus equipos, sí, esos que están en los escalafones más altos en la cadena de mando/responsabilidades, suelen implicarse poco o casi nada y están más pendientes de instalar la aplicación móvil “chorra” del momento, para mostrarla orgullosos en sus iPhone, Blackberry o Galaxy “extra large”, que de ver qué sucede a través del cable de red de su empresa. Y así nos va…

En medio de todo, llegan los gurús del “Social Media” que se llenan la boca de acrónimos tal y como cité en esta entrada, vendiendo atractivas motos especialmente preparadas para quienes “quieren creer” (que ojo, hacen su trabajo y algunos muy bien) y esa empresa, o más bien sus responsables, cuando ven su página en Facebook, su cuenta de Twitter, un blog, empiezan a girar “en círculos”  (de Google +) y se emborrachan del “me gusta” y el “+1″…

Y con la borrachera, o más bien después de ella, llega el olvido. Las resacas “sociales” son duraderas porque actúan a largo plazo, la visión “borrosa” impide ver lo que tienes frente a ti y claro, ¿cómo van a venir a chafarte la fiesta?.

Que estamos en una época de crisis es algo de todos sabido, que es importante conseguir nuevos clientes o no perder los que ya tienes también, pero precisamente, pensando en esos clientes actuales o futuros, la formación en seguridad se debería considerar un activo para la empresa y no esa parte “fea” o de color gris tirando a negro tal y como la ven algunos.

Un equipo de trabajo preparado para evitar fugas de información, incidencias en ocasiones críticas y con una base en seguridad de la información, hará que esa empresa obtenga un valor añadido de cara al exterior y que interiormente sea más sólida.

Si tienes una empresa, estás leyendo esto y sigues sin usar SSL en tu correo, tienes el mismo password en todos los sitios (quizas pegado ahí cerca de la pantalla) o no te acuerdas de la última vez que lo has cambiado, tu smartphone no tiene un código de bloqueo, el disco duro de tu portátil no está cifrado ni cuentas con algún sistema de protección adicional, a tu sistema le faltan los pertinentes parches de seguridad, tienes antivirus ineficaces o sin actualizar, no sabes quien, cuando, cómo y hasta dónde acceden a tu intranet, tienes un montón de papeles en la mesa con datos de tus clientes, o no cuentas con un sistema de backups fiable, etc, quizás debas replantearte tranquilamente y con la mente despejada en qué invertir (o no malgastar en muchas ocasiones) tu dinero.

Invertir en seguridad informática es hacerlo en algo real, tangible y con resultados a corto, medio y largo plazo. Tienes una puerta blindada, contratas un servicio de vigilancia, alarmas de última generación y hasta puedes ver lo que sucede en tu empresa vía una webcam y el móvil pero ¿Qué sucede con lo que no ves?

No lo olvides, “los chicos malos” usan otras puertas y pasan sin avisar…

Compartir

Tags: formación, Hacking, Malware, Opinión, Seguridad Informatica

# Disclaimer;

Este post está dedicado sin mala leche y con cariño, a esos maqueros que tenéis a bien seguirme, a pesar de que sobre Mac apenas publico o comento nada (salvo en el podcast dentro de la sección “Manzanas Traigo” y siempre como “invitado” para dar otro punto de vista) y de que la temática principal del blog está relacionada con GNU/Linux, servidores web, seguridad y opinión.

Escribiendo esta entrada, estoy pensando que quizás no estaba mal hacer un especial en el podcast sobre seguridad en GNU/Linux, Windows y Mac OS X, seguro que tenía una buena acogida, pero desde luego, el post no va sobre eso, ya que sería demasiado largo y escribiendo sólo yo, seguro que me quedaba un tanto subjetivo y no muy imparcial a pesar de que conozco los 3 sistemas operativos y en Daboweb, a diferencia de aquí, hablamos de todos ellos.

Pues bien, como sé que sois unos cuantos, quería simplemente con ese título del post en forma de claro “titular” pro GNU/Linux pero NO en contra de Mac OS X, llamar vuestra atención y para nada buscar flames que en 5 años nunca he promovido, al menos conscientemente y que sinceramente ni los necesito o me dan de comer.

Datos de Symantec

Empiezo poniendo el gráfico ya que se ve mejor la situación actual de este troyano a Diciembre de 2010 según podemos leer en la fuente original “The Register”.

Obviamente, también los sistemas Windows se ven afectados por este malware, quizás la gran diferencia, es que un usuario medio de Windows, es más consciente de los peligros a los que se enfrenta y suele tener más herramientas instaladas en su sistema para combatirlos, Partiendo de la base de que la cuota de usuarios es claramente superior en Windows, en Mac OS X llega a un 16 % de infecciones.

¿Cómo actúa Jnanabot – OSX/Koobface? Aclaro, según la gráfica sólo afecta a Leopard o anteriores, pero tampoco he leído que no afecte a 10.6, aunque es un ejemplo

Este tipo de troyanos “multiplataforma” son de sobra conocidos por la gente interesada en la seguridad, digo “multiplataforma” porque se basan en Java y ahí puede caer cualquiera de los 3 sistemas operativos con diferentes niveles de impacto pero en patrón de actuación es muy similar. Permanecen ocultos una vez se alojan “cómodamente” en tu sistema, utilizando según Symantec “un fuerte cifrado” y puedes desde llegar a ser parte de una Botnet (o red troyanizada de ordenadores “zombies”), realizar ataques DDoS, publicar mensajes en tu cuenta de FaceBook, etc. También se podría hablar de su función P2P y el acceso a tu disco duro…

¿Por qué no está ahí GNU/Linux a pesar de que sí puede verse afectado?

Según podemos leer en la fuente original sobre la opinión de Dean Turner, director de Symantec’s Global Intelligence Network y hago una transcripción literal,

“Turner dijo que los ataques de Jnanabot en la plataforma de código abierto no eran capaces de sobrevivir a un reinicio”.

Ahora es cuando alguno puede pensar aquello de… “claro, como Symantec no puede entrar en el mercado del escritorio hablando de GNU/Linux, por eso buscan más “pegada” en el tema Mac al ser un mercado que interesa”. Yo me quedaría de veras con otro dato, el 16 % de las infecciones se dan en sistemas Mac, olvida a GNU/Linux ahora y entiende que a pesar de que no es el típico malware que infecta a “cientos de miles” sino a “miles” de equipos, el ratio para mi es lo suficientemente alto como para que sea tomado en serio si usas Mac.

Incluso, aunque en mi equipo según Dean Turner no tenga impacto, os aseguro que estoy muy al tanto de mi firewall, el estado de mis conexiones, puertos abiertos, etc. Quizás, si eres un usuario de esos que tienen una confianza ciega en Mac OS X,  tú también deberías hacer lo mismo y empezar a ver a ese sistema como algo de tu propia responsabilidad, no de la Apple y el “tío Jobs” que por lo visto no está para muchos trotes…

Según Secunia, Mac OS X fue el sistema más afectado por vulnerabilidades en 2010.

Creo que no estaría mal que le dieses un vistazo a este informe que puedes descargar desde aquí en formato PDF para darte cuenta de algo que llevo tiempo diciendo en mi condición de “invitado” en la parte Mac del podcast. En la mayor parte de las ocasiones, sobre las actualizaciones de Mac OS X no se dice toda la verdad, en Daboweb procuramos llamar a las cosas por su nombre y si te suscribes a la lista de correo de seguridad de la propia Apple, te darás cuenta de lo que te digo, cambia mucho lo que lees en el icono de  “Actualización de software” de OS X, a lo que realmente te llega a esa lista, que no es otra cosa que todas las vulnerabilidades reales en cada aplicación, servicio u otra parte del sistema.

Quizás ahí podemos ver otro ejemplo de la diferencia en cuanto a temas de seguridad en GNU/Linux, donde la gran mayoría no tenemos miedo a saber que sucede con nuestro sistema, sino más bien a la falta de información, aceptamos que hay bugs como algo natural y sólo esperamos que puedan ser solventados de la forma más rápida y eficaz posible, pero no que se nos “maquille” la información que recibimos para darnos una sensación de falsa seguridad. Sí, es una de las grandes ventajas del software libre, otra más.

El 2011 puede ser un buen momento para empezar…

Pero no he escrito esto para “evangelizar” a nadie, simplemente creo que es un buen momento para iniciar el año con mejores prácticas en cuanto a la seguridad, que mires en las preferencias del sistema / seguridad a ver qué sucede con tu firewall, que instales aplicaciones como Little Snitch para que ver que aplicaciones salen a internet y de qué forma y no sólo para bloquear a Adobe y sus updates que te dejarían sin tu Photoshop.

También este 2011 puede ser el punto de partida para que le des un vistazo a esa “flamante” App Mac Store (que los linuxeros ya tenemos hace años algo similar pero free en nuestros equipos por cierto, gracias por el comentario AJ) buscando alguna de las soluciones anti malware que incluyen (varias gratuitas) y que no van a ralentizar tu sistema, sino más bien evitar que “vayas tan rápido que te des un buen leñazo”…

¿Es Mac OS X un sistema inseguro?

Sinceramente y por mi propia experiencia de años atrás cuando lo usaba conjuntamente con Debian, es un sistema robusto y sobre la base “bastante” seguro. Pero lo es, cuando quien lo usa es consciente de lo que se trae entre manos, adquiere unas buenas prácticas de seguridad, cuando está debidamente parcheado (no sólo el sistema base sino también sus aplicaciones) y preparado para las nuevas amenazas que llegan desde La Red. Algo que desde luego tampoco puede olvidar un usuario de Windows ni tampoco un linuxero, ojo.

Compartir

Tags: Apple, Ataques, Bugs, Facebook, Firewall, GNU/Linux, Jnanabot - OSX/Koobface, Mac OS X, Malware, Opinión, Software, Troyano

[1] Recuerdo que cuando éramos Webmasters todo era más fácil. Ese título o más bien autoafirmación de ser “el maestro de la web” era una bicoca, sólo con conseguir colgar algo en Internet, podías lucirlo con orgullo en: “contacta con” el Webmaster.

Luego, empezabas a leer a Jacob Nielsen, sus estudios sobre “usabilidad” y te lo empezabas a creer, de alguna forma, honrabas un poco ese tecnológico “gentilicio”.

Todos éramos felices hasta que Google se adueñó de la creación de Tim Berners Lee, perdimos fuerza y nos puso en “su sitio”. Otro día, de pronto pasamos a ser “responsables de un sitio web“, LSSI mediante…

La WWW fue relegada por la “2.0″ y con ella, llegaron los sucesores del sufrido Webmaster. ¡Quién se lo iba a decir! tantos años ahí, para morir enterrado por los “maestros, de los acrónimos” [140]

Compartir

Tags: Google, LSSI, Opinión, Webmaster

Actualización 25/10/2010. Ya hay finalistas -;).

Actualización II (Ganó Security By Default, enhorabuena a todos-;)

Bueno, se hizo justicia, como finalistas 3 blogs íntegramente dedicados a la seguridad informática, con mucho peso en este medio. Una mezcla de solera, innovación y buen hacer. Enhorabuena a los 3 y mucha suerte en la final. Acabo con el tema de Bitácoras ya -;).

Los Finalistas por orden alfabético son:

• Kriptópolis
• Security By Default
• Un informático en el lado del mal

Más información en el post oficial

De Kriptópolis puedo comentar que les conozco desde que tengo casi uso de razón en La Red. Con algún parón puntual de un tiempo a esta parte (a ver si esto sirve para que recuperen el ritmo de siempre-;) , decir que en mis tiempos aprendí mucho ahí y me alegro por la gran comunidad que les sigue,

Acerca de Security By Default ya he escrito algo debajo, han aportado nuevas ideas y formas de comunicar, abarcando desde cuestiones más técnicas a las de “todos los públicos”, es un blog hecho por varios autores y han tenido muy buena acogida entre el gran público aficionado a la seguridad. Para mi es ya uno de los “imprescindibles”.

Sobre Chema Alonso poco puedo decir porque toca mayormente temas de MS y ciertamente no sigo el día a día de su trabajo pero lo haré, (que va más allá de MS, ojo) si te das una vuelta por su blog, podrás ver contenidos muy interesantes. Se dedica a impartir charlas y conferencias por todo el mundo y no deja a nadie indiferente por su estilo personal y directo. Cuenta con un gran grupo de seguidores y mantiene una gran actividad.

Entrada original;

Lo de “ahora sí” es porque el proceso de clasificación ya ha finalizado, concretamente ayer Viernes a las 12 de la noche, quedando DaboBlog en el último “corte” en un sorprendente (luego vamos a ver si merecido o no) 6º lugar en la categoría “Mejor blog de seguridad informática“.

Debajo os inserto la lista de los 10 primeros puestos de esta última clasificación final hasta el cierre de las votaciones, como se publicó el pasado Lunes ha podido variar. Ahora no sé si sigo el 6º, o en qué puesto estaré, entre los 3 primeros claramente no. Lo digo porque durante esta semana también se ha votado, de todos modos, en 48 horas se sabrá como ha quedado cuando se nombren a los finalistas (o no sé si quedará así y sólo dirán los finalistas)

Como decía, ahora queda que el próximo Lunes se haga público el nombre de los 3 finalistas por cada categoría. Por lo que he leído en Bitácoras, se han nominado a 12.000 blogs con cerca de 65.000 votos, lo cual no está nada mal a efectos de participación.

// Disclaimer;

Durante todo este mes no he querido hablar del tema ya que (equivocado o no), soy de los que piensa que si te dan un premio, tiene que ser porque lo merezcas, no por el hecho de pedirlo. En mi caso influyó también el que de haber hablado, inevitablemente hubiese salido a la palestra el tema Daboweb Vs DaboBlog y ahí directa o indirectamente, ya estaría marcando una tendencia.

Es por ello que ni desde Daboweb (que también optaba y hay detrás una gran comunidad de usuarios), DaboBlog, el propio podcast (donde también nos seguís bastante gente) o a través de Twitter, donde, si se hace una búsqueda con; “Daboblog premios bitácoras” sólo sale un resultado (ahora serán dos) de mi gran amigo David haciendo “un poco de spam” según sus palabras (quizás alguien más me citó pero no sale).

Por lo que el resultado, hablando de mi, si no he hecho ningún movimiento para promoverlo, me provoca un cierto conflicto interno y a mis teorías conspi-paranoides sobre este tipo de premios (que no se puede generalizar, claro está).

Viendo mi propio caso, he de entender por tanto que la gente puede votar errónea o acertadamente, pero no es tan “manipulable” (quedaría mejor ¿manejable? da igual, se entiende bien) quizás como muchas veces se dice, porque he visto movimientos muy fuertes pidiendo el voto y no lo he visto prácticamente reflejado en el resultado final. Otro tema muy diferente es la respuesta a la pregunta “¿los que suelen quedar arriba en estos eventos son los mejores?”.

No necesariamente, hay gente a la que sigo que casi no tienen repercusión pero que sacan unos post que te dejan clavado. Pero también están los de gran pegada, sobre los que suelo pensar que si tanta gente está de acuerdo, por algo será. Eso sí, nada mejor que nuestro propio criterio para elegir lo que más nos convence.

// Acabo, necesitaba aclararlo.

Dicho esto, también es normal que el responsable de un blog, quiera dar a conocer a sus seguidores que está en la disputa del premio, ya que de otro modo, sus seguidores no se enterarían. Entiendo a su vez que si ves que otros blogs están en una posición más alta que tú, sin ajustarse a la temática , te lo puedas tomar como algo personal (los años, 39, ayudan a que en mi caso cada vez sean menos cuestiones) e inicies una campaña quizás más fuerte de lo que uno mismo desearía para que se haga lo que a tu modo de ver, puede ser “justicia” (casi siempre más subjetiva que objetiva si eres parte interesada, me incluyo, como eso de “qué es mejor o peor”).

Esas “odiosas” comparaciones…

Sí, (casi) siempre son odiosas, pero os podéis poner en mi lugar, la más cercana para mi reside en el mismo servidor que este blog y en mi cabeza, se trata de Daboweb, una comunidad de ayuda y seguridad informática con muchos años de solera en la Red, que ha ido viviendo los propios cambios de Internet en la que publicamos 6 personas (ahí se pueden ver las trayectorias) y que lleva mi nombre “de casualidad” o más bien porque tenía que ponerle uno. Según veo, Daboweb está en el puesto 32 y en mi humilde opinión, si hablamos de ajustarse a una temática, merecería en buena lógica estar ahí más arriba que DaboBlog.

Pero es que si sigo comparando con ejemplos cercanos, está el blog de Alfon, puesto 50, “Seguridad y Redes”, gran amigo y redactor a su vez en Daboweb donde se puede leer su impresionante trabajo con las capturas y análisis de tráfico de red, hasta Chema Alonso (enhorabuena por tu merecida posición) reseñó y recomendó su blog (“Un informático en el lado del mal”) seguir al bueno de Alfon.

Entonces ¿lo merezco?

No, claramente, otro tema es que cada uno está en su derecho de votar a quien le parezca, no son en este caso “los premios Bitácoras” quienes marcan los resultados, sino los usuarios o los propios blogs con sus posicionamientos ante ellos. Otro asunto es la decisión final si depende de un jurado, eso daría para otro post.

Un caso parecido al mío y de mi círculo de amistades más cercano es el de Forat de forat.info, ha quedado en el puesto 44, pero su temática principal es GNU/Linux (como la mía aquí) aunque también dedica parte de sus contenidos a la seguridad.

Hay más colegas en esa lista o comunidades con las que mantengo una buena relación vía mail, Twitter, etc, sobre todo por Daboweb, pero también gracias al podcast aunque unos cuantos de ellos alguna vez se pasan por aquí a dejar un comentario o aportación. En DaboBlog siempre se han podido leer contenidos relacionados con la seguridad, unos más en el plano técnico y otros de opinión (privacidad, pero mezclados con otros, principalmente GNU/Linux, aunque después de embarcarme con Diego en DebianHackers, dedico menos a esa temática aquí.

¿Y por qué ese puesto?

Sinceramente no lo sé, este último año he estado quizás más activo. Pensando en el motivo por el cual puedo estar ahí en ese 6º lugar, tiene que ser primero porque se esté votando en mi caso más mi participación en otros sitios o una combinación de todo ello, que a DaboBlog, repito que de seguridad “pura” (o más bien “sólo de”) escribo en Daboweb y quizás algunos que me leen aquí y allí han querido valorar ese trabajo en forma de voto. No lo sé, la verdad.

También ha podido influir imagino mi participación en el pasado EFIMP de Gijón junto a Oreixa (con Fernando De La Cuadra, Ontinet-ESET que nos dedicó una de sus columnas en la revista Linux +). La parte de mi charla estaba destinada a seguridad en servidores GNU/Linux, control, análisis de tráfico web, etc. Aquí podéis leer el resumen de los temas en los que me centré. Recibí bastante feedback, de hecho sigue y fue muy enriquecedor. Pero fui muy claro en mi ponencia, hablé de experiencias personales, como un usuario normal que ha tenido que buscarse la vida aprendiendo sobre administración de sistemas para canalizar el tráfico de sus webs.

Pero si algo puede tener más peso tendría que ser el podcast, ahí además me relaciono de un modo más directo con muchos amigos por Twitter y como lo hacemos un grupo de 5 personas, llegamos a más gente. Hemos hablado en muchas ocasiones de seguridad pero tampoco como para ser considerado un podcast específico de seguridad, ni mucho menos. Pinceladas o reseñas de post que publicamos en nuestros blogs y alguna pista, sobre todo hablando de servidores web que tampoco es una temática “para todos los públicos” (objetivos, hablando de usuarios que se preocupan por la seguridad).

Entonces ¿Lo agradezco?

Por supuesto, agradezco profundamente vuestros votos, ese 6º puesto (parcial-pre-final) tendrá un lugar de honor en la lamentable sección “autobombo” del blog para la posteridad ;D. Para un apasionado como yo desde hace años por la seguridad, no deja de ser un detalle de cercanía que se acuerden de uno espontaneamente y de motu propio, os lo podéis imaginar cuando no puse aquí ni el botón o logo de “votar” a los premios Bitácoras. Pero lo agradezco ya que entiendo que son votos de “cercanía” o algo parecido imagino, porque la seguridad en DaboBlog no es la temática principal. Seguramente si este resultado fuese en Tecnología o Podcasting, no estaríais leyendo esto, me provocaría una controversia menor o sería algo anecdótico.

También agradezco mucho a todos los blogs de la categoría su postura y el respeto mostrado tanto a mi candidatura espontánea, como a mi incursión en los 10 primeros lugares de esa lista. Más si cabe cuando un montón de ellos (a los que sigo) si que tienen como temática principal la seguridad informática. Ya lo dije al principio del post, mi escepticismo con las listas, los premios, etc viene de lejos. Siempre suelo pensar que “son más de los que están” y me acuerdo más de los que no están…

Y como muestra me vale por ejemplo la de una comunidad amiga, hablo de DragonJar, que debería estar ahí mucho más arriba que yo (o entre los ganadores más bien, ya que publican y “respiran” seguridad por los 4 costados) e hicieron un ejercicio de sinceridad público pidiendo el voto a las claras y sin medias tintas, no en plan “bueno, no pido el voto pero si quieres vótame”, con el lógico razonamiento de que Genbeta no es un blog de seguridad,

No tengo nada en contra de Genbeta, pero por mis ideas estoy más cerca de proyectos personales-colectivos que empresariales que demuestran que “el dinero no lo es todo” aunque a veces lo parezca. Es de justicia decir también que ellos también publican sobre el tema, pero puntualmente, aunque si no han realizado ninguna práctica para conseguir votos en esa categoría, que no lo sé, si fuese así no lo compartiría ya que bien pueden optar a otros premios, son los usuarios quienes les estarán votando y eso también hay que respetarlo (para nada me refiero a DragonJar que ha tomado una postura muy valiente, sino a nivel general). Pero también es igual de respetable que no compartas ese puesto en la lista ya que, no nos engañemos, Genbeta no es un blog de seguridad, tampoco DaboBlog.

Por todo eso agradezco el trato recibido, “las comparaciones pueden odiosas”, el mío puede ser parecido al “caso Genbeta”, sólo me consuela o me hace sentir mejor el hecho de que la seguridad en mi caso, sí es una temática de interés principal en el plano personal y a mi manera, intento compartir o ayudar bien sea a un usuario que veo en nuestros foros de Daboweb o publicando allí temas relevantes, charlando en el podcast sobre estos temas, publicando aquí y allá o dejando algún tip en Twitter para quien le pueda servir, etc.

Afortunadamente, sea lo que sea, es algo compartido…

Y es que este blog, o lo que es lo mismo, mi “reducto” un poco fuera de la órbita de Daboweb y Caborian, ya no es “tan mío”, una parte de ese 6º puesto (o el que sea) les pertenece a Diego, Forat, lur u Oreixa por su apoyo y participación incondicional en el podcast, quizás lo que más haya incidido en esos votos. Eso no lo hago sólo, sino acompañado por mis 4 fieles compañeros de micro, por eso veo ese lugar en la lista como algo compartido.

Pero también os pertenece a todos y cada uno los que hacéis posible que DaboBlog siga adelante con vuestros comentarios, sugerencias, aportaciones o las necesarias críticas para mejorar. El podcast ha conseguido sobreponerse a mi ya conocida irregularidad. Habiendo roto la estadística ya que, desde hace un año, hemos cumplido en fecha, lugar y formato.

En un par de días se sabrá quienes son los tres finalistas, desde aquí les mando mi más sincera enhorabuena a los que opten a ese premio final (que nadie piense que se van a forrar, creo que dan una estatuilla junto a un smartphone, es más la repercusión mediática que supone) en “la Casa Encantada” en Madrid. A ver si mi buen amigo Kids de Blogoff (que imparte un taller sobre seguridad por cierto), me manda alguna foto.

Me costaría mucho decidirme por 3 finalistas, (no me gustaría ser del jurado) pero, resultados aparte, supongo que serían Security by Default (a quien les vería como justos ganadores) por su aparición en La Red con tanta fuerza y tan buenos contenidos, seguidos de Sergio Hernando, por su trayectoria que sigo desde hace años y para acabar, el propio Alfon de Seguridad y Redes, aquí iría mi voto por amistad o cercanía, pero avalado por su gran labor durante años. Pero inevitablemente, querría votar a otros, aunque amigos, de eso van los concursos, te guste o no, tiene que ganar uno y el nivel es impresionante, podría poner ahí 10 nombres más y acertar.

Lo dicho, gracias y mucha suerte a todos, cuando acabe esto, seguiré leyendo a la misma gente y si tuviese que destacar algo, ese “algo” sería ese excelente nivel en seguridad que podemos lee diario en nuestro idioma. Con eso me quedo -;).

# Añado y por “alusiones” -;)

Sergio Hernando Habla de blogs de seguridad y premios Bitácoras 2010

Gracias de verdad por tus palabras, también por acordarte de Alfon y Daboweb. ¿Os parece poco premio?

Daboblog. David es una de las personas a las que sigo con regularidad, y ya hace bastante tiempo de ello. Es una persona con amplios conocimientos en el mundo GNU/Linux y la seguridad, y me gusta como escribe. Muy recomendable. Además mantiene y participa en una comunidad mayor, Daboweb, y desde hace algún tiempo, graba interesantes podcasts.

Seguridad y Redes. El blog de Alfon. Otro de los que levanta poco ruido, pero que luego no deja de crear contenidos muy interesantes. Bastante relevante en lo que a contenido técnico se refiere. Indispensable.

Compartir

Tags: Bitácoras, DaboBlog, Daboweb, Opinión, Premios, Seguridad Informatica

Ayer acepté la invitación que amablemente me hizo llegar Iván (treki23.com) y me puse al micro para opinar en su podcast sobre mi visión y experiencias vividas con GNU/Linux, además de entrar en las inevitables (odiosas a veces, lo sé) comparaciones con Windows o Mac OS X en diversos ámbitos de la informática, en respuesta a los temas que nos planteó Iván sobre temas o preguntas que incluso a él mismo, como usuario actual de Mac OS X y anteriormente de Windows, le interesaban.

Estuve junto a David (Nafri) amigo de Iván y un linuxero de pro a quien tuve el gusto de conocer aunque fuese a través del cable de red. Además de compartir con él puntos de vista y una pasión por GNU/Linux en mi caso que me puede llevar a perder cierta objetividad, fue un placer escuchar su experiencia como usuario y las opiniones que plasmó en el podcast.

Mi opinión en este caso tiene que ser tomada como eso, una opinión más de alguien que ha usado los 3 sistemas operativos con diferentes grados de profundización en ellos. Partiendo de la base de que no me gusta ser tomado como un ejemplo de nada, porque hablando de software, los asiduos ya sabéis de mis devaneos con él, mi mejor consejo,

“Prueba, compara y decide“.

Yo lo tengo muy claro, estoy disfrutando del mejor sistema operativo que en mi caso puedo usar -;).

El audio y más info en “Podcast 70 de Treki23“

Compartir

Tags: GNU/Linux, Mac OS X, Opinión, podcast, Windows

Aclaro antes de nada que no soy usuario de FaceBook, los motivos los expuse en esta entrada e incluso dediqué un post íntegro al tema de FB exponiendo mi punto de vista sobre el uso que se le suele dar, en detrimento a veces de los blogs personales.  Añado que del mismo modo que dejé de usar Twitter para volver pasado un tiempo, con FB no diré “de este agua no beberé” porque quizás “me ahogue” o se me atraganten las palabras. De ejemplos sobre estas cosas está lleno el archivo de DaboBlog -;).

Pero que no use este servicio, no quiere decir que dado el gran nivel de implantación que tiene, no siga de cerca sus evoluciones. Es casi imposible abstraerse o mantenerse totalmente al margen de un fenómeno de masas como el que nos ocupa.

Tal es la aceptación de FB, que si no fuese porque siendo linuxero uno ya sabe como es lo de pertenecer a una minoría, (a mucha honra y sin ningún complejo) seguro que pensaba que el “problema” o el “rarito” soy yo,  porque las cifras marean y el negocio, en términos de rentabilidad, es como para que muchos gurús del business “se lo hagan ver”.

Lo cierto es que no está nada mal sobre el papel esta nueva funcionalidad (existente desde hace tiempo) que FaceBook va a habilitar muy pronto para todas sus cuentas. Se trata del concepto OTP, acrónimo de “One Time Password”. Como diría un castizo, “passwords de usar y tirar“. Necesitas conectarte a FB, mandas un SMS en plan sorteo de la TV con el texto “otp” al 32665 (no sé si se cobrará, menudo-otro-más-negocio) y te llega a tu móvil una clave para usarla sólo una vez y con una duración estimada de 20 minutos.

Tres problemas muy comunes en cierto tipo de usuarios, unos porque pasan y otros porque no saben…

Esto, sobre el papel, solucionaría de un plumazo ese “viejo” problema del usuario de dejar su sesión abierta en ordenadores públicos (y mira que es fácil darle a “logout”-”desconectar”-”cerrar-sesión”;). También, al ser una clave temporal, ese mismo usuario que “a veces” deja sin cerrar su sesión, puede que solucione otro problema conocido.

Sí, ese que se da cuando usas una red wifi abierta alegremente (y encima lo tuiteas) en la que puede que un sniffer esté capturando tráfico en plan industrial. Con el “OTP” de FaceBook, quizás tengas suerte y durante esos 20 minutos de uso te libres o, cuando acabe el esnifado de paquetes, antes del volcado-análisis posterior, la clave haya caducado.

Asimismo, el posible tercer problema de este tipo de usuarios (no exagero, ni es nada peyorativo, lo he visto) que no es otro que darle compulsivamente al recuadro de “recordar mi contraseña”, también quedaría resuelto ya que, pasados esos 20 minutos (teóricamente) con esa clave no se podría hacer nada (me gustaría saber el tiempo medio de sesión por usuario en FB, sinceramente no tengo ni idea).

Y los usuarios que pasan, seguirán pasando…

Y podría seguir pero el post sería demasiado largo para llegar a la misma conclusión por mi parte. En mi opinión, a ese tipo de usuario sinceramente no le veo enviado un SMS a FaceBook para iniciar una sesión “segura” en un ordenador público, lo entrecomillo ya que el término “ordenador público” es algo en contraposición a “seguro”.

Es más, esta medida (muy acertada, bien por FB en este caso, ojo,  siempre que sea sin coste) la veo más bien para usuarios que normalmente no se conectan a lugares como FaceBook o Gmail en ordenadores públicos o redes sin cifrado de ningún tipo. La veo para gente que se preocupa por la seguridad mínimamente y que intentan hacer un uso responsable de los servicios donde se almacenan datos personales.

Oye, “me dejas un momento el móvil para ver una cosa”

A los usuarios que pasan de todo, usando esta Web 2.0 tan “amiga y sociable” que nos venden alocadamente y luego son los que más se quejan del servicio que reciben (sí, esto es curioso, los que más pasan son a veces los que más se quejan), les veo más bien intentando cogerle a su pareja-jefe-amigo-amiga de turno el móvil para enviar el SMS y pillar fuera de juego a sus “objetivos”.

Este es otro detalle también muy curioso, no utilizarían para ellos mismos jamás este servicio, pero en cambio, el otro uso (y más con la picaresca nacional siempre tan en alza) les viene a la mente en el minuto “0,5″.

Usuarios y “usuarios”…

Hay gente que pasa de todo, se queja mucho sin aportar nada y no pone ningún interés y en cambio, hay otros “usuarios” que por motivos de otra índole (darían para otro DaboBlog entero), no pueden adquirir unos mínimos conocimientos para usar hoy en día Internet con unas mínimas garantía de privacidad.

Esos intentan hacer las cosas bien (como vemos muchas veces en nuestros foros de ayuda en Daboweb) y les suceden continuamente casos como los tres que reseño arriba; sesiones que no se cierran, uso de redes sin cifrar, almacenar passwords, aunque podría ir un largo etc, pero no porque pasen de todo, sino porque no han cogido bien el concepto o porque les falta una base sólida en cuestiones informáticas.

Lo de siempre, eso tan comentado-olvidado de la educación...

Quizás algún día, alguien se empiece a tomar en serio la estrecha relación existente entre la vida real y electrónica, ese día, en las escuelas, los lugares de trabajo o el “hogar del jubilado”, igual se empieza la casa por los cimientos y se le explica a ese futuro usuario que, antes de conectarse a FaceBook, mandar un correo o contratar un viaje por Internet, lo importante es que por no proteger tu correo, te revienten la cuenta de FaceBook y contraten un viaje online pero con tu tarjeta de crédito y no a tu nombre desde luego…

Recomendada, para este tipo de usuarios la charla de Kids en el interqué (quedan plazas)

Compartir

Tags: Cibercultura, Facebook, Internet, Opinión, Password, Redes, Seguridad Informatica

Me parece muy bien que un gran número de desarrolladores de Spotify usen GNU/Linux tal y como dicen en el “flamante” anuncio de su blog (ENG), también que nos tengan en cuenta, pero sobre todo, me siento ¿honrado? al ser considerado por ellos como un usuario “Premium”.

Y es que sus “brillantes desarrolladores” (no dudo que lo sean, lo dicen ellos), después de largos días y noches sin dormir por lo que se ve, han conseguido según sus propias palabras, llevar a nuestros escritorios una versión de Spotify que, si bien comparte muchas similitudes con las de Windows o Mac OS X (Ohh Wait !! cómo lo hará la gente de Firefox, Audacity, VLC u Open Office) no da soporte entre otras cosas a los archivos locales.

Además, como no han encontrado la forma de insertar la publicidad, sólo se ofrece para usuarios con cuentas “Premium”…Imagino que para quienes ya estén pagando, será una buena noticia, pero quizás para el resto de mortales que no pagamos y que lo usamos puntualmente bajo Wine, sólo es una (más) brillante estrategia comercial buscando llegar al corazón de esos usuarios con el síndrome del “Pingüino apaleado”.

Un síndrome que hemos de quitarnos de encima ya que cualquier distro de GNU/Linux (incluso una inestable como la rama que uso de Debian) cumple perfectamente con el cometido para que el ha sido programada y sólo faltaba ahora que nos volviéramos locos porque los “Nerds Developers” de Spotify, con sus cuentas premium, vengan a salvarnos haciéndonos pasar por caja con una versión que no tiene al menos lo mismo que un usuario de Mac o Windows.

No le puedo pedir lo mismo a una compañía como Spotify que a una comunidad de desarrolladores, hay software cerrado como Skype por citar un ejemplo que sin tener las mismas funcionalidades que sus versiones para Windows o Mac, cumplen con lo que necesito y por eso lo uso, pero prefiero mil veces usar Spotify bajo Wine (que lo habré usado no más de 10 veces) que caer en esa trampa tan medida y populista que se han montado.

Vamos a hablar de negocios que es de lo que va esto ¿no? Primero he de decir que me parece muy respetable que alguien pague por este servicio, alternativas hay, pero con su dinero cada uno hace lo que quiere. Y como yo miro mucho en qué lo gasto, he de deciros que me parece muy injusto que tenga que pagar la misma cantidad para usar nativamente Spotify que ese usuario de Windows o Mac, sin tener sus mismas funcionalidades.

A ver si se enteran, muchos usuarios de GNU/Linux no estamos en esto sólo porque (mayormente que no siempre) sea de uso libre y gratuito, valoramos el software bien hecho y si tenemos que pagar por algo, llegado el caso pagamos como cualquier otro usuario, pero lo hacemos por una mínima calidad gracias precisamente a la gran cantidad de alternativas que tenemos y sobre todo, no nos gusta pagar lo mismo por menos.

Compartir

Tags: Debian, GNU/Linux, Opinión, Software, Spotify, wine

Hola amigos, acabo de terminar de grabar con Oscar y Gorka la sección “Manzanas Traigo”, dedicada al mundo Apple en el Podcast (el Sábado grabo con Forat “Kernel Panic”, sobre GNU/Linux) y justo después, me ha llegado un aviso de nueva versión de Safari desde la lista de correo “Apple Security”.

Hasta ahí todo normal, me digo; “nada, lo publico en Daboweb ahora”, pero…mi sorpresa ha llegado cuando leyendo mis fuentes RSS, en algún lugar dedicado a noticias sobre el mundo de la manzana, leo que Apple sobre este update dice;

Se recomienda instalar esta actualización a todos los usuarios de Safari, ya que incluye mejoras del funcionamiento, la estabilidad y la seguridad de la aplicación como las siguientes:

Se ha mejorado el funcionamiento de Top Sites.
Se ha mejorado la estabilidad de los módulos de otros fabricantes.
Se ha mejorado la estabilidad de los sitios web con formularios en línea y gráficos SVG (Scalable Vector Graphics).
Se ha corregido un problema que impedía a Safari modificar la configuración de algunos routers Linksys.
Se ha solucionado un problema que impedía a algunos usuarios de iWork.com añadir comentarios a documentos.
Para obtener información detallada acerca del contenido de seguridad de esta actualización, visite la siguiente página web: http://support.apple.com/kb/HT1222?viewlocale=es_ES.

Y claro, luego para colmo, en un blog muy visitado sobre Apple (contra el que no tengo nada vaya por delante), leo que corrige varios bugs pero “muy repetitivos” y es en ese momento cuando me voy al enlace de arriba, donde Apple dice;

Para obtener información detallada acerca del contenido de seguridad de esta actualización, visite la siguiente página web: http://support.apple.com/kb/HT1222?viewlocale=es_ES.

Y no hay nada !!! sobre lo que se ha corregido en esta versión hablando de seguridad. Claro, al final quizás lo acaban metiendo en esa “pseudo-sección” dedicada a las actualizaciones de seguridad de Apple, pero en lugar de desinformar, lo que deberían hacer es indicar claramente cuales son las vulnerabilidades corregidas.

No pido que tengan la transparencia que se lleva a cabo y que compruebo cada día en el mundo de GNU/Linux y el software libre en general, o que puedo leer a diario por ejemplo en las listas de correo de seguridad de Debian, no la pido porque es incompatible con su forma de actuar y de llevar el negocio como tengan a bien.

Pero una compañía que se jacta de ser todo lo contrario a Microsoft, desde luego que al final hablando de seguridad lo es, ya que por lo menos, un usuario de Windows puede saber exactamente sin estar suscrito a ninguna lista de correo de seguridad, que parches y “por qué” se actualiza el software que tiene instalado, sin ser Microsoft históricamente una compañía ejemplar informando sobre la seguridad de sus productos.

Esta forma de actuar frente a la seguridad (por oscuridad u omisión que igual ahí me excedo), me parece totalmente irresponsable ya que el usuario de Windows o Mac OS X que use Safari, debe saber que si no se realiza esa actualización, quedará expuesto a vulnerabilidades que van desde errores de corrupción de memoria, un cierre inesperado de la aplicación o, lo que es más importante, desbordamientos del búfer o la ejecución de código arbitrario en el sistema afectado, desde viendo imágenes manipuladas especialmente con un determinado perfil de color incrustado (también Tiffs o BMP manipulados, hablando de Windows), pasando por el salto de restricciones en la opción de aceptar cookies o no leyendo fuentes RSS, o múltiples bugs en su potente motor “Webkit” visitando sitios webs manipulados para lograr la ejecución de código arbitrario mientras se procesan ciertos ficheros HMTL o XML, etc, etc.

La lista completa de bugs corregidos para que podáis ver a  lo que me refiero (que ahí si que se dice con claridad) está en la entrada que he publicado en Daboweb sobre el lanzamiento de Safari 4.0.5.

¿Es inseguro o un mal producto Safari? si no se actualiza si, un mal producto desde luego que no si nos referimos a esta actualización. Yo navego con Iceweasel, (Firefox según la política de licencias y filosofía de Debian) y estos bugs son habituales en cualquier navegador o software, se parchean y fn del problema, (que a veces también en Firefox se han heredado bugs y “torpedos” de meses atrás, ojo) lo que no es tan habitual, es que prevalezcan a la hora de informar al usuario las mejoras en “Top Sites” o que no puedas hacer comentarios a documentos en iWork.com…

Este tipo de actuaciones y detalles tan “sutiles” para vender una imagen que no se ajusta a la realidad, hacen que para mi, Apple hablando de software, (sobre su hard, uso Debian en un MacBook y después de 3 años el resultado es de 10) tenga muy poca credibilidad y más bien parezca que quieren seguir vendiéndole al usuario tipo de Mac OS X (que de tonto no tiene un pelo), esa moto de “Hala, sé feliz produciendo que nosotros nos preocupamos de todo”.

Y luego vienen los disgustos porque claro, cuando no dices claramente “Actualiza que puede ser que dejes de producir tan felizmente”, el usuario medio puede pensar “No tengo un router linksys que configurar, tampoco uso iWork.com así que ¿para qué actualizar?”.

Es sólo mi opinión, no soy quien para dar ejemplos de ética o actuaciones impecables, Mac OS X es un buen sistema operativo, pero es difícil abstraerse del tufillo a realidad maquillada que Steve Jobs imprime a muchas aspectos del funcionamiento de la compañía.

Compartir

Tags: actualizacion, Apple, Bugs, GNU/Linux, Mac OS X, Microsoft, Navegador, Opinión, Safari, Software

Bueno, al final sigo siendo usuario de Microsoft xD, no es que vaya a aumentar mucho su cuenta de explotación pero algo es algo ¿no?.

Ahora más en serio, desde hace mucho tiempo usaba Google Translate para darle una forma inicial a algún texto que casi siempre acaba aquí o en Daboweb, pues bien, no recuerdo como un día empecé a usar Bing Translator y con el paso de varias semanas, ahora tiene un lugar en la barra de marcadores de mi Iceweasel.

Y es que, partiendo de la base de que la mayoría de las traducciones en línea son un fiasco, Bing con textos algo técnicos ,(hablando de informática, no sé en otras cuestiones que tal irá) no se desenvuelve nada mal y como a mi me va bien con él, sólo entro de puntillas para haceros esta recomendación. A pesar de las mejoras que veo, está claro que te servirá para usarlo a modo de grandes rasgos e ir desarrollando después, no “de primeras”.

Ya me contaréis en los comentarios si usáis otros métodos (aplicaciones, Widgets, etc) para estos fines -;)

Compartir

Tags: Bing, Google, Microsoft, Opinión, traductor