Realmente, es un ataque muy simple y que prácticamente no consume ancho de banda en el atacante, por lo que en este momento cualquiera puede (con un mínimo esfuerzo) dejar totalmente inaccesible cualquier sitio web que esté alojado en un servidor vulnerable.

Para probar la vulnerabilidad

slowloris.pl

Requerimientos:

• perl
• IO::Socket::INET (perl -MCPAN -e 'install IO::Socket::INET')
• IO::Socket::SSL (perl -MCPAN -e 'install IO::Socket::SSL')
• GetOpt::Long (perl -MCPAN -e 'install GetOpt::Long')

Traducción (con algún comentario que no pude evitar):

“1 de cada 8 americanos (estadounidenses, querrán decir) lucha para tener suficiente para comer. Acelere el fin del hambre (en EEUU, claro está). Descargue Windows Internet Explorer gratis y donaremos 8 porciones de comida a Feeding America.“

Realmente, Microsoft debe estar desesperado por la constante caída en la utilización de Internet Explorer, además de haber perdido totalmente la línea.

Imagino a Philip Morris regalando cigarrillos bajo el slogan “Fúmese un cigarrillo y le regalamos una vianda a un pobre“.

Por lo pronto… ¿qué hacer? Yo descargaré IE8 desde tantas direcciones IP distintas como pueda. (Eso si, usarlo… ni con 5 whiskys encima.)

Ah, ¿qué? ¿todavía parece un chiste? Bueno… pase y véalo en el sitio de Microsoft.

Actualización: Como bien apunta Abel Chiola (¡Gracias por el dato, Abel!) la donación tiene un límite de u$s 1.000.000 (lo cual, según el importe de cada porción de comida, se logra con sólo 869.566 descargas. Ni vale la pena entonces ponerse a descargarlo. (Las cosas del marketing, vió?…)

La empresa de alojamiento web Vaserv utiliza un sistema de virtualización de servidores llamado HyperVM, que se complementa con un panel de gestión llamado Kloxo (anteriormente LxAdmin). Ambos productos (privativos) son desarrollados por la empresa india Lxlabs.

El 21 de mayo de 2009, un experto en seguridad apodado milw0rm descubre 24 problemas serios de seguridad en Kloxo. Inmediatamente (según informa luego), envía un email a Lxlabs (conteniendo un enlace al informe detallado), alertando sobre la existencia de vulnerabilidades graves. Dos días después, recibe una respuesta (sin firma) diciendo que a la brevedad lo verificarían.

Una semana después, reitera el aviso, recibiendo (al día siguiente) una respuesta en la que afirman que están trabajando en eso y que en un par de horas le informarían. Finalmente, el 4 de junio (14 días después del informe inicial), ante la falta de respuesta de Lxlabs (y notando que ni siquiera habían accedido al enlace con el informe detallado), se decide a hacer públicos los errores (y la historia).

4 días después (el 8 de junio) ocurre el desastre: un grupo de atacantes borra absolutamente todos los archivos de aproximadamente 100.000 sitios alojados en Vaserv (¡incluyendo las copias de respaldo!).

Al día siguiente, el jefe de Lxlabs (K T Ligesh, de 32 años), se suicida ahorcándose.

Algunas conclusiones

En varios sitios se han armado profusas discusiones sobre el tema (Slashdot, Barrapunto, ComunidadHosting, entre otros). Las opiniones se reparten entre las condolencias por la muerte de Ligesh, las condenas a la negligencia de Lxlabs y las imputaciones a los atacantes e incluso a milw0rm.

A la hora de repartir responsabilidades por lo ocurrido, según mi opinión (¡que por algo este es mi blog!), hay que separar varias cuestiones:

La estafa de Lxlabs

Basta contrastar la publicidad de Lxlabs respecto de las bondades de su producto en materia de seguridad, con el informe de los errores para darse cuenta de que se trata de una gran mentira: de los cinco puntos resaltados como grandes virtudes, los cuatro primeros son totalmente falsos y el quinto resulta totalmente irrelevante (y hasta cómico, en el contexto de lo sucedido).

Las reproduzco a continuación (resumidas y en castellano), ya que seguramente en breve serán quitadas del sitio web:

• Kloxo se ejecuta con el usuario ‘lxlabs’, que es un usuario normal del sistema, sin ningún permiso especial.
• El administrador de archivos nunca acepta un path completo proveniente del usuario.
• Un usuario no puede realizar ninguna operación sobre un archivo que no le pertenezca.
• Todas las ejecuciones de programas se realizan luego de cambiar al contexto del usuario que lo requirió.
• Kloxo registra cada cambio que se haya hecho en el sistema de archivos, así como también cada ejecucion de un programa externo.

Esto es, lisa y llanamente, una estafa. Pero una estafa bastante común en el mundo del software privativo, en donde el cliente no tiene más remedio (si acepta el trato) que confiar ciegamente en las propiedades que el proveedor asegura que su software tiene.

La estupidez de Lxlabs

Los errores en Kloxo son realmente patéticos. Lamentablemente nadie fuera de Lxlabs puede ver el código, pero basta analizar cada bug para darse cuenta de que el programa está escrito por gente que no tiene la más somera idea sobre seguridad.

La estupidez de Vaserv

Esto es menos evidente (y bastante más común), pero… ¿no hay bastante de estupidez en una empresa que utiliza un programa crítico para mover todo su negocio y confía ciegamente en el proveedor que se lo ofrece? Yo digo que sí.

La negligencia de Lxlabs

Recibir un email informando sobre 24 problemas graves, luego un segundo aviso, responderlos a ambos, y en 14 días ni siquiera dignarse a mirar de qué se trata merece, cuando menos, este calificativo.

La negligencia de Vaserv

La estupidez y negligencia de Lxlabs no excusan de ninguna manera a Vaserv de su responsabilidad, adquirida ante sus clientes al venderles un servicio como “seguro” y “estable”, y luego no tomar los recaudos para evitar semejante desastre.

Ante sus clientes, es claro que son ellos los únicos responsables (a estos, poco les importa si Vaserv eligió contratar el servicio de Lxlabs o de quien sea…).

La malicia de los atacantes

Casi por descontado, el o los atacantes, que causaron un daño terrible (e incalculable a priori) no tienen ningún justificativo para lo que hicieron.

Cabe destacar que, si bien hicieron un desastre, no lucraron con la vulnerabilidad (pudieron haberla usado para realizar estafas, robar información, y un largo etcétera.).

Otra aclaración: como puede verse en el informe de los problemas, la ejecución de las técnicas de ataque no requieren demasiados conocimientos. Bien podría haberlas realizado un niño con un poco de tiempo, ganas de experimentar y, claro está, una gran desaprensión por la información de terceros.

El rol de milw0rm

Amén del tiempo que dedicó para descubrir todas estas vulnerabilidades (seguramente, sin que nadie le pagara a cambio), tuvo la mejor disposición posible: Notificó detalladamente al responsable del software, esperó un tiempo prudencial, volvió a notificarlo. Fué sólo ante la inactividad de éste que se decidió a divulgar públicamente el problema.

Muchos critican esta actitud (hasta llegar al extremo de culparlo por el ataque). Hay que tener en cuenta, antes que nada, que habiendo encontrado semejantes errores bien podría haberlos vendido (en una buena suma) a alguna organización delictiva. ¿Qué más podría haber hecho, al no tener respuesta? Guardar silencio no es una opción, en el caso de querer hacer algo positivo: estaría siendo cómplice de la desidia (y la estafa) del proveedor, y seguramente el problema sería detectado por alquien más, quién sabe con qué actitud.

Aunque suene contradictorio (y esto es conocido y aceptado en los ámbitos relacionados con la seguridad), cuando el responsable de un programa es informado de un problema y pasado un tiempo razonable no hay respuesta, lo mejor que puede hacerse es divulgarlo, con el fin de evitar un mal mayor (y de paso, para que la negligencia de dicho proveedor quede puesta de manifiesto).

Conclusiones

Como puede verse, la salida simplista de cargar las tintas sobre el atacante que “volteó” 100.000 sitios de un plumazo (y que bien puede haber sido un adolescente desaprensivo) oculta a los mayores responsables del problema y las pérdidas de las víctimas.

Una buena forma de comenzar a reducir la frecuencia de ocurrencia de estos incidentes (y su impacto) es tomar conciencia de por qué ocurren.

Cuestiones éticas aparte, si hubiera tomado control de riocuarto.gov.ar no se me hubiera ocurrido hacer algo tan tonto como simplemente eliminar los datos de delegación. Por eso me quedé pensando (y dejo este artículo abierto a ideas y sugerencias): “¿Qué haría si tomara el control del dominio de la Municipalidad?”.

Disclaimer

Como está visto que hace falta, aclaro: No estoy proponiendo a nadie que ataque nada (ni el DNS de la Municipalidad, ni ninguna otra cosa). Este es un artículo humorístico.

Algunas ideas….

Cambiar el MX

Apuntar el registro MX a un servidor controlado por mí, derivando hacia él todo el tráfico de correo electrónico (SMTP). Luego, posiblemente, volver a inyectarlo hacia el servidor real. Si en 5 días no se dieron cuenta de que el dominio no estaba funcionando, imagino que en 1 año tampoco notarían esto.

¡Ah, por cierto! También estaría bueno tomar los mensajes más interesantes y publicarlos en un blog, justo en época de elecciones. :)

Agregar una entrada TXT

Agregar una entrada TXT en el DNS, usando SPF, para indicar que el único servidor SMTP válido del dominio riocuarto.gov.ar es W.X.Y.Z (alguna IP arbitraria de por ahí…). Apuesto que se hubieran pasado meses preguntándose por qué cuernos todo el correo enviado desde cuentas de riocuarto.gov.ar es tachado como spam por todos los servidores de Internet.

Cambiar el host www

Apuntarlo a www.cordobesitas.com.ar o algún sitio por el estilo (desconcertado va a quedar aquel que busque una foto del Intendente municipal…).

Otra muy buena sería redirigirlo a un servidor proxy que haga algunas modificaciones sobre el contenido original, como por ejemplo reemplazar todas las ocurrencias de “Jure” por “Jure en falso”, “Juez” o algo por el estilo. También se podría hacer algo más gracioso (e inofensivo) como dar vuelta todas las imágenes.

Definir hosts nuevos

Cosas como, por ejemplo, quienlevantalabasuraen.riocuarto.gov.ar, deremate.riocuarto.gov.ar o lasgaritasmascarasdelmundo.riocuarto.gov.ar. Algo más divertido podría ser darle algo de contenido a estos sitios…

¿Ideas?

Escucho ocurrencias… :)

¿Esto fue hecho adrede por los administradores informáticos de la Municipalidad? ¿Fue un error involuntario? ¿Se trata acaso de un nuevo ataque conducido contra los sistemas de la Municipalidad de Río Cuarto? Es difícil determinar la causa, lo que más llama la atención es el absoluto silencio de los medios locales con respecto al tema.

Delegación de dominio dada de baja

En el sitio del NIC Argentina (el organismo oficial que administra los dominios .ar), puede verse (en la opción “Trámites vía web” -> “Trámites por nombre de dominio”) que la delegación del dominio riocuarto.gov.ar ha sido dada de baja:

La situación es clara: El día 21 de mayo de 2009 a las 13:11 horas, mediante el trámite administrativo DEL3743701 la delegación de DNS del dominio riocuarto.gov.ar fue dada de baja. Esto significa que fueron eliminados los datos de los servidores de nombres encargados de la resolución de dicho dominio. A partir de ese momento dejaron de funcionar, por ejemplo, tanto los sitios web de la Municipalidad y del Consejo deliberante como las direcciones de correo de los funcionarios y dependencias municipales.

Posibles causas

La misteriosa desaparición del dominio puede deberse a alguna de las siguientes causas:

• Error de NIC Argentina: Algún administrador desprevenido, o alguna falla en el sistema del NIC ocasionaron la baja de la delegación. Esto es muy poco probable, ya que existe un trámite identificado mediante el cual se realizó la baja (DEL3743701).
• Error de un administrador de la Municipalidad de Río Cuarto: Algún administrador desprevenido realizó el trámite de baja de la delegación. Esto requiere la realización de un trámite vía web más la confirmación a través del correo electrónico. Cuesta creer que alguien pudiera cometer un error tan grosero (pero bueno, todo es posible…).
• Ataque a la Municipalidad: Alguien deliberadamente realizó el trámite de baja de la delegación. Esto requeriría de, al menos, acceso a la cuenta de correo electrónico utilizada ante NIC Argentina para la realización de trámites administrativos del dominio riocuarto.gov.ar. Si este fuera el caso, significa que alguien tomó control de dicha cuenta (o del servidor de correo), lo que implica un incidente bastante más grave aún.

Silencio de radio

A la fecha de publicación de este artículo ya han transcurrido cinco días. Seguramente cualquier ciudadano que haya querido acceder a un sitio de la Municipalidad de Río Cuarto, o comunicarse por email con alguna autoridad, habrá notado la existencia del problema (ni hablar de quienes trabajan en el ámbito municipal). Sin embargo, no ha habido (hasta donde sé) ninguna comunicación oficial, ni medio de prensa que se haya hecho eco del incidente.

Cinco días sin sitios web, sin email (y vaya a saber con qué otros inconvenientes) no constituyen un incidente menor; máxime teniendo en cuenta el abultado presupuesto que nuestra Municipalidad destina al área informática (prometiéndonos “ciudades digitales” y “conectadas” cuando en este momento ni siquiera pueden recibir un mensaje de correo electrónico).

Una vez más, el resultado es lamentable.

Actualización 1: (para los “técnicos”)

Para comprobar que riocuarto.gov.ar en la práctica no existe como dominio en Internet, podemos hacer la siguiente prueba (en GNU/Linux):

dig @ns1.retina.ar ns riocuarto.gov.ar

Con esto, le estamos preguntando al servidor DNS ns1.retina.ar (una de las autoridades de la zona gov.ar) cuál es el servidor de nombres del dominio riocuarto.gov.ar. La respuesta es nula. (Puede reemplazarse ns1.retina.ar por cualquiera de los otros NS de la zona gov.ar, que pueden a su vez obtenerse con el comando “dig ns gov.ar“.)

Actualización 2: (26 de mayo de 2009, 11 hs)

Según me comenta un amigo, los administradores acaban de enterarse del problema (porque alguien les avisó). Parece increible que hayan pasado 5 días sin siquiera notar el “inconveniente”. Veremos cuánto más tardan ahora en solucionarlo…

Actualización 3: (fui yo)

Ahora, según dice gente de la Municipalidad, parece ser que el culpable del incidente fui yo. Según afirman, media hora después de dado de baja el dominio yo ya lo sabía (¿cómo lo sabrán, si ellos se enteraron recién hoy?). ¿Cómo lo hice? Supuestamente accedí a una de las cuentas de correo habilitadas para las gestiones ante el NIC.

No se si se habrá notado, pero en todo el artículo traté de utilizar terminología bastante neutra, sin calificativos que pudieran resultar ofensivos para los responsables del problema. Como todavía me queda media vuelta de rosca, antes de que se me zafe la tuerca del todo, voy a esperar los acontecimientos de las próximas horas (a ver si siguen echándome la culpa de su incompetencia), antes de despacharme con el arsenal de adjetivos que tengo en la punta de los dedos.

Por ahora, agradecido, señores. Si se enteraron de este problema fue por mi artículo (como ya antes se enteraron de varios problemas de seguridad en reuniones personales y sin que les haya cobrado un centavo). Denle nomás, échenme la culpa, trátenme de “bobo”, vienen bárbaro…

Actualización 4: (en vía de solución)

Hace unos momentos uno de los administradores de la Municipalidad (a quien conozco, y que como suponía no fue el babieca al que se le ocurrió matar al cartero) me comunicó que ya fue iniciado el trámite en el NIC Argentina para restablecer el funcionamiento de riocuarto.gov.ar.

Por mi parte (como ciudadano riocuartense), espero que se solucione a la brevedad, se aclare qué y cómo ocurrió, y no vuelva a suceder.

Actualización 5: (la prensa se hace eco)

Finalmente, a las 20 horas del día 26 de mayo, el diario Puntal publica una nota sobre el incidente. Claro que, como lamentablemente era de esperarse, se trata de minimizar el problema. Según declara un responsable técnico al diario:

“Esto provoca que al cargar la dirección www.riocuarto.gov.ar en el navegador no se encuentre el servidor, hasta tanto se realice el trámite que vuelve a relacionar el nombre con nuestro IP, que ya fue iniciado”.

Claro, provoca eso… y varias cosas más. Entre ellas, que otros dominios como emos.gov.ar y concejoriocuarto.gov.ar tampoco funcionaran (ni para acceder a los sitios web, ni para el envío de correo electrónico, “pequeño detalle” que omiten). Por supuesto, tampoco dicen que el problema se produjo un jueves y fue detectado recién el martes siguiente.

Y luego, para colocar la guinda sobre la torta, dicen que:

“se encuentran investigando … para intentar dilucidar si alguna persona ingresó con la contraseña intencionalmente o si se trata de algún error en los sistemas de NIC ARGENTINA”

Claro, si, seguro. NIC Argentina tiene registrados más de un millón de dominios. Y tiene un error que permite a alguien modificar un dominio a su antojo. Y solamente le ocurre a la Municipalidad de Río Cuarto. Perfectamente probable, cómo no. (Me cerraba más la hipótesis de que había sido yo que accedí a la cuenta de correo.)

Actualización 6: (¿final?)

En este momento (27 de mayo de 2009) el dominio riocuarto.gov.ar está funcionando nuevamente.

El diario La Voz del Interior también publicó la noticia (de forma mucho más detallada y cercana a la realidad que Puntal). Nobleza obliga, tengo que agradecer a Nicolás Llamosas por haberme librado de los rumores difamatorios que circularon ayer por la Municipalidad (y, Nicolás, no era necesario el reconocimiento público por algún aporte previo, pero se agradece doblemente).

Ojalá NIC Argentina coopere brindando la información necesaria para intentar descubrir el origen de este incidente y ojalá se tomen las medidas para que este (u otro) ataque no pueda tener éxito en el futuro.

Un “hacker” riocuartense

El primer entrevistado es un autoproclamado “hacker” que dice dedicarse a la seguridad informática (sería todo un hallazgo encontrar a un experto en la materia en la ciudad de Río Cuarto), quien hace afirmaciones como la siguiente:

“Se­ría me­jor si no hu­bie­ra hac­kers. Por­que los hac­kers son la con­se­cuen­cia de la so­cie­dad.”

Tal sinsentido se contradice con lo expresado por él mismo en otra parte de la entrevista, donde explica que:

“Ser hac­ker sig­ni­fi­ca for­zar los sis­te­mas a lo má­xi­mo, eso im­pli­ca co­no­ci­mien­tos y ver si hay fa­llas de se­gu­ri­dad y có­mo es­tá he­cho, sim­ple­men­te eso. No ha­cer da­ño, ni nin­gu­na ac­ti­vi­dad ile­gal.”

“Una de las mo­ti­va­cio­nes de un hac­ker es el de­sa­fío mis­mo de ha­cer es­to y la bús­que­da de co­no­ci­mien­tos. Hay mu­chos hac­kers que vi­ven de eso, de la se­gu­ri­dad, con los co­no­ci­mien­tos que se van ad­qui­rien­do. Otro mo­ti­vo es el pen­sa­mien­to de que las co­sas de­ben es­tar bien he­chas. Y, cuan­do es­tán mal, se tra­ta de de­rri­bar­las pa­ra que se vuel­van a ha­cer bien.”

Queda de manifiesto que el tal “Zar” (así es como se hace llamar) ni siquiera tiene bien en claro qué es ser un hacker. Si bien es cierta su definición, no se entiende por qué para él sería mejor que no hubiera personas con esa disposición, ni por qué son una consecuencia supuestamente indeseable de la sociedad (y menos se entiende cuando compara el “hackeo” con vender marihuana).

Para finalizar, con respecto al ataque al sitio de LV16 este personaje se despacha diciendo que:

“Yo ubi­qué a es­te hac­ker, a par­tir de in­di­cios. Cru­zan­do da­tos se con­si­gue. Es un chi­co de 17 años, que vi­ve en Mar del Pla­ta, que per­te­ne­ce a un gru­po que se co­no­cen por Fa­ce­book y Mes­sen­ger, que con­si­guie­ron una re­ce­ta pa­ra hac­kear una pá­gi­na y que­rían ver si ser­vía. Fue ca­sual. Uno de ellos es de Ve­na­do Tuer­to. Pe­ro, al chi­co no le va a pa­sar na­da.”

No se que datos habrá cruzado el tal “Zar”, pero el autor de dicho ataque dejó un comentario en mi artículo sobre el tema invitando a cualquiera a agregarlo a MSN. En breve publicaré una entrevista que le realicé, y donde queda de manifiesto lo errado de las especulaciones de este supuesto experto en seguridad.

La guinda sobre la torta (y el helado en la frente)

Más allá de lo anecdótico de las contradictorias y hasta simpáticas afirmaciones del supuesto hacker “Zar”, realmente preocupa ver que el Dr. Oscar Taurian (Director del Centro de Cómputos de la Universidad Nacional de Río Cuarto) haga afirmaciones como esta:

“Por ejem­plo, Cien­cias Eco­nó­mi­cas tie­ne el ser­vi­dor de­sac­tua­li­za­do y se lo pue­de usar pa­ra ata­car a las otras má­qui­nas.”

El Dr. Taurian (que no es doctor en informática, sino en alguna otra cosa) parece desconocer una norma básica de la seguridad informática. Utilizando un medio público acaba de dar una excelente pista a cualquiera que desee atacar la red de la UNRC, apuntando con el dedo al servidor de la Facultad de Ciencias Económicas. Imagine el lector a un comisario declarando en un periódico que el Banco X tiene un pésimo sistema de seguridad. Totalmente ridículo.

Fuentes confiables…

Así cubre uno de los principales medios periodísticos de Río Cuarto el problema de la seguridad informática. Lo hace consultando a supuestos expertos que no son tales y publicando sus afirmaciones como hechos. ¿Se conducirán de la misma manera en otras áreas como la economía y la salud? Da que pensar.

A continuación, una captura del sitio http://productos.arnet.com.ar tal como se veía a las 3am del 21 de abril de 2009 (en este momento ya lleva varias horas y los dominios afectados son varios, pero se ve que los técnicos de Arnet están durmiendo…)

(clic en la imagen para ampliarla)

La lista de sitios atacados (todos con el mismo “deface“) incluye:

• contenidos.arnet.com.ar
• productos.arnet.com.ar
• formularios.telecom.com.ar
• prensa.telecom.com.ar
• www.arnetbiz.com.ar
• www.personalfest.com.ar
• productos.arnetbiz.com.ar
• moda.arnet.com.ar
• blogdelpadre.arnet.com.ar
• concursos.arnet.com.ar
• diadelamigo.arnet.com.ar
• agentes.arnet.com.ar
• che.arnet.com.ar
• musica.arnet.com.ar
• cultura.arnet.com.ar
• cine.arnet.com.ar
• radios.arnet.com.ar
• babasonicos.arnet.com.ar
• elcapricho.arnet.com.ar
• buscador.arnet.com.ar
• home.arnet.com.ar
• mailing.arnet.com.ar
• quiereme.arnet.com.ar
• fiestas.arnet.com.ar

Los autores aparentemente son los mismos que atacaron (con todo éxito) Poringa, el sitio de Cumbio y la página de la presidencia de México.

Parece que en Arnet (Telecom Argentina) también cuecen habas. Esta vez sí, es para reirse un rato.

Según afirma el Subsecretario de Comunicación, Carlos Ordoñez, la seguridad del sitio se había revisado luego de ocurrido el reciente ataque a la web de la radio LV16. Pero a la luz de los hechos, se ve que no hicieron muy bien los deberes…

A simple vista, el sitio web de la Municipalidad de Río Cuarto, sigue siendo vulnerable a ataques de inyección SQL (situación que es harto conocida por muchas personas desde hace tiempo), lo cual podría permitir un nuevo ataque en cualquier momento.

Llama la atención lo expresado en la nota periodística, en el sentido de que “creen que demorarán varios días en recomponer el sistema” (si sólo fue un “defacement” al sitio web, contando con los backups correspondientes, deberían poder resolverlo en una hora). Evidentemente o no contaban con las copias de respaldo, o el daño ha sido bastante más grave de lo que aparenta.

Algo que preocupa: El servidor web actúa también como MX (mail exchanger) del dominio riocuarto.gov.ar, con lo que todos los emails dirigidos a ese dominio pasan por el mismo (si no es que se almacenan en él). La pregunta es ¿habrá logrado el atacante acceder a información confidencial? La nota no lo dice, y probablemente tampoco pueda tenerse certeza al respecto.

Lo que da bronca: ¿es esta la forma de administrar la información del municipio y los ciudadanos? Evidentemente, no.

Actualización

El diario Puntal también se hace eco de la noticia.

Consultando el sitio Zone-H.org veo que lo que dice Ordoñez no es correcto. El servidor de la Municipalidad de Río Cuarto fue atacado al menos 3 veces con anterioridad:

• 29 de diciembre de 2002
• 2 de abril de 2007
• 21 de septiembre de 2008 (bajo la gestión actual)

Esto significa que además, nos están mintiendo…

Actualización (II)

Así se veía el sitio luego del ataque (clic para ampliar):

Para no seguir prolongando el suspenso, aquí va la respuesta.

Los países coloreados con gris conservan un vestigio de la Edad Moderna y aún de la Edad Media: no existe en ellos una total separación entre la religión y el estado. Dicha separación, requisito fundamental para la verdadera libertad de culto, surge a partir del renacimiento y se consolida en la Revolución Francesa, la Independencia de los EEUU y demás revoluciones burguesas. Podemos, en ese sentido, decir que los países en gris están atrasados en el sentido histórico de la palabra.

Nótese que, a excepción del Reino Unido, Noruega y Dinamarca, en el resto de los casos se trata de países no desarrollados.

Es realmente increible que, ya entrados en el siglo XXI, en estos países (en los cuales está, lamentablemente, incluida la Argentina) no exista todavía una completa libertad de culto. Por ejemplo, la constitución de nuestro país dice en su artículo segundo que “El Gobierno federal sostiene el culto católico apostólico romano“, con lo cual no solamente fija a la religión católica como oficial, sino que se compromete a su sostenimiento económico. Más aún, en su preámbulo invoca la protección de “Dios”, y en el artículo 19 le reserva el derecho de juzgar las acciones privadas (siendo, claro está, la Iglesia Católica su representante en este mundo).

En nuestro país resulta natural encontrarse con crucifijos, estampitas y todo tipo de imágenes e íconos religiosos tanto en escuelas públicas como en reparticiones oficiales, hospitales, cuarteles militares, comisarías, etc. A nadie parece preocuparle que eso contraría la libertad de elección de las personas y puede hasta ofender a quien profese creencias distintas a las impuestas por la Iglesia Católica. Y esto por no mencionar el hecho de que parte de los impuestos que pagamos todos los ciudadanos van directamente a las arcas de dicha institución, por más evangelista, musulmán, budista o ateo que sea el contribuyente.

El hecho de que aún existan estados confesionales es comparable al mantenimiento de monarquías tradicionales (otra de las grandes rupturas que provocó la Revolución Francesa).

Dejando de lado el caso de los estados musulmanes (que son la mayoría de los estados confesionales), que es mucho más complejo, me pregunto cuándo llegará el día en que los pocos países americanos que aún permanecen sujetos a la Iglesia Católica, rompan ese lazo y permitan a sus ciudadanos una verdadera libertad de culto. No creo que ocurra pronto.

Algunas pistas:

• No tiene que ver con el nivel de desarrollo económico.
• No tiene que ver con ningún deporte.
• Tiene que ver con el desarrollo, en algún sentido.

¿Alguien arriesga?

Actualización: Después de haber hecho pensar un rato a más de uno, aquí está la respuesta.

Al volver a estar en línea apareció un artículo relatando lo acontecido, acompañado de varias adhesiones de políticos y distintas organizaciones, todas condenando lo que consideraban un ataque a la libertad de prensa y hasta hablando de censura.

Ahora bien, analizando algunas cuestiones técnicas (y sin tener mayores detalles sobre lo acontecido), la cosa se parece más al producto de la negligencia y la ignorancia de quienes llevan adelante dicho sitio web que a un ataque orquestado con el fin de acallar la voz de un medio de prensa.

En el comienzo de la nota de LV16 puede leerse lo siguiente (el énfasis ha sido agregado por mí):

La libertad de prensa es un bien muy preciado, que no se dimensiona su grandeza hasta que uno es callado, borrado, hasta que nuestra palabra no puede llegar al otro lado… Este martes LV16.com no pudo actualizar su página debido a la ignorancia de un personaje, que oculto tras las sombras y sus “pseudos conocimientos” hackeo nuestro sitio web.

Si bien el ataque a un sitio web es una actitud destructiva y reprochable, rasgarse las vestiduras hablando de un ataque a la libertad de prensa no me parece apropiado en este caso. Con respecto a la ignorancia y los “pseudos conocimientos” (si en castellano existe tal término) de quien produjo el daño, más bien parece que lo que impidió a la gente de LV16 operar con su sitio web fue la ignorancia del programador de mismo. El atacante (aunque con malas intenciones), parece haber usado bien sus conocimientos.

He aquí por qué: el sitio web en cuestión es susceptible (”es“, aún lo sigue siendo) de ser atacado mediante una técnica básica de extracción y/o adulteración de información en sistemas web, conocida como “inyección SQL” (”SQL Injection“, en inglés). Básicamente dicha técnica consiste en manipular los parámetros que envía el navegador para acceder a las distintas funciones de un sitio (notas, fotos, etc., en este caso), logrando alterar el funcionamiento normal del mismo.

Cómo construir una aplicación web evitando ataques por Injección SQL no requiere de un doctorado en informática: es una cuestión básica, que debiera conocer cualquier programador que se dedique a dicho rubro (aunque, lamentablemente, son muchísimos los casos de páginas con errores de este tipo).

¿Podemos echar toda la responsabilidad sobre, quizás, un adolescente dañino que, en sus experimentos aprendiendo sobre seguridad de aplicaciones web, saca de operación el sitio web de una empresa? ¿No recae gran parte de la culpa en el programador desaprensivo e ignorante que no toma los recaudos mínimos para que su aplicación sea segura? Pero claro, siempre es más fácil (y tiene mejor difusión) hablar de conspiraciones, censura y libertad de prensa; ya que nunca faltarán quienes se sumen en apoyo de la supuesta víctima.

En otro párrafo de la nota de LV16 puede leerse lo siguiente (nuevamente, el resaltado es mío):

Debido al accionar de esta persona LV16.com ha perdido todo su archivo informativo, fotográfico y documental, fruto de cinco años de mucho trabajo y esfuerzo.

Nuevamente, se responsabiliza exclusivamente al atacante por la pérdida de cinco años de trabajo, sin hacer un mea culpa y reflexionar sobre estupidez mayúscula de no tener una copia de respaldo de la información que se encuentra en el sitio web (¡en cinco años!). Cualquier administrador de sistemas (por pobre que sea su formación o escasa su experiencia) sabe que jamás puede prescindirse de copias de respaldo, realizadas periódicamente. De haberse roto el disco duro del servidor, seguramente LV16 estaría hablando a los cuatro vientos del malévolo disco que se llevó el fruto de su esfuerzo y acalló la voz de la prensa.

Pasando en limpio: Si el programador hubiera tenido las nociones básicas, el ataque no habría sido posible. Aún sin contar con esto, si hubieran tenido copia de respaldo de la información, el problema se hubiera solucionado en una hora (sin las repercusiones, las adhesiones y demás…)

Para finalizar (y por si aún es necesaria la aclaración): no estoy negando lo reprochable del acto de atacar un servidor y aprovecharse de la vulnerabilidad de un programa para causar daño. Tal accionar es condenable, y el culpable debería ser individualizado y castigado. Pero esto de ninguna manera justifica la falta de profesionalismo de quienes llevan adelante el sitio lv16.com, ni mucho menos los habilita a utilizar la bandera de la libertad de expresión para justificar su ignorancia.

PD: Antes de publicar este artículo intenté comunicarme con LV16 por email y a través de su sitio, para ponerlos sobre aviso del problema de seguridad, que aún persiste. No tuve ninguna respuesta de ellos.

Actualización (12 de marzo de 2009): En la mañana de hoy se comunicó conmigo el encargado del area técnica de LV16, mostrando una buena predisposición e interesado por conocer los detalles del problema. Aparentemente, la vulnerabilidad por inyección SQL ha sido solucionada.

Y, nuevamente, la inmensa mayoría de los incautos participantes se registra sin pensar siquiera en la información que están cediendo y las condiciones de tal cesión.

En el formulario de registración se requieren, entre otros, los siguientes datos personales:

• Nombres y apellidos
• Tipo y número de documento
• Fecha de nacimiento
• Sexo
• Domicilio postal
• Dirección de e-mail
• Número de teléfono
• Número de celular y empresa proveedora (opcional)

Se hace la aclaración de que los datos proporcionados “para poder ganar los premios, deberán ser verdaderos“, con lo cual el participante no tiene siquiera el derecho de “disfrazar” algun dato requerido. Y, como de costumbre, se promete que “la información que ingreses es confidencial“, invitando a leer la política de confidencialidad del concurso.

La política de confidencialidad (que en realidad es el reglamento, redactado en alguna variante del idioma castellano que incluye términos como “chequear“) dice todo lo contrario, declarando expresamente que (el resaltado es mío):

El Organizador no se responsabiliza por el uso que pueda hacerse de la información provista por cada Participante en el supuesto que la misma sea utilizada sin autorización del Organizador.

Todos los participantes de Gran DT autorizan al Organizador a publicar y difundir sus datos personales, foto personal y equipos imaginarios seleccionados, por cualquier formato y sin limitación de ningún tipo.

¿Cómo es que alguien (más que alguien, millones) puede aceptar tales condiciones? Es preocupante el nivel del ignorancia y desaprensión al que hemos llegado, como para brindar sin más nuestra información personal y permitir que se use para lo que a cualquiera pueda ocurrírsele.

Y sin embargo ahí van, millones de incautos, a vender barato lo que costó tan caro. Una verdadera lástima.

The situation

I have a table “mytable” (1,000,000 rows) with a column named “mycolumn” of type “datetime” and an index created on it named “idx_mycolumn“. When I issue the following query:

SELECT * FROM mytable ORDER BY mycolumn

it tooks more than 1 minute to give the results (the 1,000,000 rows ordered by mycolumn.)

Using the command “EXPLAIN” I can see that the MySQL optimizer don’t use the index at all: it generates a filesort (on disk) in order to sort the resultset. The only way to solve this issue (as far as I know) is providing a “hint” to the optimizer, telling what indexes to use:

SELECT * FROM mytable USE INDEX(idx_mycolumn) ORDER BY mycolumn

But the optimizer still chooses to do a full table scan instead of using the “idx_mycolumn” index (and still generates a filesort, taking more than 1 minute.)

There is a way to force the optimizer to use the index:

SELECT * FROM mytable FORCE INDEX(idx_mycolumn) ORDER BY mycolumn

This time, the optimizer uses the index, and the query takes about 3 seconds. (Is the MySQL query optimizer that bad?)

A bigger problem

Then, I came into the real problem for me: Obviously I’ll never need to get all the rows from that table, but is a common task to “paginate” the rows (previously ordered by some column) taking, let’s say, 25 rows at a time and using an offset. The query looks as follows:

SELECT * FROM mytable ORDER BY mycolumn LIMIT 100000,25

It sorts the resultset using the values of “mycolumn” and then returns 25 rows skipping the first 100,000. Surprisingly, this time the query tooks less than 1 second to execute (and “EXPLAIN” says that is using the “idx_mycolumn” index. What a joy!).

But the problem is still there: If the limit reaches (or surpases) the last row, then the optimizer throws away the index and generates a filesort (taking more than 1 minute, making the query totally useless…)

The solution (again) is to force the optimizer to use the index “idx_mycolumn“, getting a response in about 3 seconds.

My conclusion

Far from being a MySQL expert, the only conclusion I can reach is that the optimizer is really screwed up. How can it be possible that changing only the limit of the results, confuses the optimizer in such a way that leads to a simple query (that can’t take more than a few seconds) to take an unacceptable amount of time (not to mention the disk space)?

As I can’t (and don’t want) force indexes in every query involving large tables in my system, the only real solution for me is replacing MySQL with a more robust (and decent) DBMS (I’ve tried PostgreSQL with the same database and the results are far more reasonable.)

Some things to consider

• The problem is the same being the engine used MyISAM or InnoDB.
• The problem doesn’t get solved after doing a “ANALYZE TABLE“.
• I’ve trying with other datatypes for the sorting column, with the same results.
• I’ve tested this issue with versions 5.0.35 and 5.0.51a, with identical results.

Update (2008/12/30)

The observed behavior must be related with the bug 28404 (patched in version 5.1). From the patch description:

When there are many indexes in table, optimizer wrongly does not even consider the one on column used in ORDER BY, when LIMIT N clause is also present.

I’ve oversimplified the example, but in my real scenario I had multiple single-column indexes on the table. I still can’t believe that the optimizer get confused by having multiple indexes to choose from (but only in presence of the LIMIT clause). Can you guess how is the optimizer coded? (That’s why I use the word “toy” in the title.)

A posible solution seems to be moving to the new version, but anyway, MySQL 5.1 also has several issues (and the distribution installation script for GNU/Linux is totally broken), so I’m moving to PostgreSQL.

(Thanks to Abel Chiola for the links.)

Ayer me entero de una nueva iniciativa, para comprar directamente (sin licitación) un nuevo equipo a IBM… ¡esta vez por más de $1.000.000! El funcionario autor de la iniciativa (el Cdor. Fernando Terzo) es el mismo impulsor de la anterior y, olvidando lo prometido hace cuatro años (reimplementar los sistemas usando herramientas portables), vuelve a la carga redoblando la apuesta y los números.

Dice una frase adjudicada a Napoleón que “no hay que atribuir a la malicia lo que es explicable por la estupidez“, pero siendo tan grande y reiterado el error y habiendo de por medio tanto dinero, se hace muy difícil…

A continuación, un nuevo artículo con enlaces al proyecto y su fundamentación (y sin muchas esperanzas de que sirva de algo).

Río Cuarto y otro salto hacia atrás

• Formato HTML
• Formato PDF

Addendum

No sin gran sorpresa, acabo de descubrir una página en el sitio web de la Municipalidad en donde se resalta el “cambio profundo” que se ha realizado en estos últimos años (pero que sigue requiriendo la dependencia de IBM y hardware millonario). En virtud de esto, he actualizado el artículo.

“El código abierto es interesante. Apple ha adoptado Webkit y puede que nosotros le echemos un vistazo, pero seguiremos construyendo extensiones para IE 8.”

O el “monkey boy” se ha vuelto loco, o realmente algo ha cambiado en la visión (y la realidad de Microsoft). WebKit es un motor para navegadores, derivado de KHTML (usado por el navegador Konqueror) y utilizado por el navegador Safari de Apple. Sus componentes se encuentran bajo las licencias LGPL y BSD, por lo cual es software libre.

Así es que, según el máximo directivo de Microsoft, el software libre es interesante. Claro que Ballmer no utilizaría el término “software libre”, sino que habla de “código abierto” (open source); de paso, una razón más para no utilizar este término.

Recordando la frase de Ghandi, “Primero te ignoran, después se ríen de ti, después te atacan, luego ganas“, Microsoft claramente ya pasó por las primeras tres etapas. ¿Le habrá llegado el agua a las rodillas?

De repente (y aunque no haya dejado de caer ni una sola bomba hasta hoy), la imagen de los EE.UU. pasa de ser un gigante opresor del mundo a la de un posible salvador que puede cambiar el rumbo de la historia. Aquí, en la Argentina, ya deberíamos habernos dado cuenta hace un buen rato de que no vivimos en una democracia, pero ¿puede alguien creer que los EE.UU. sí tienen una?

Pensando en esto, se me ocurrió uscar quiénes fueron los principales donantes económicos a las campañas de Barack Obama y John McCain…

Comparando estas listas, encuentro que hay varios que aparecen en ambas. Estos son:

• Citigroup Inc
• Goldman Sachs
• JPMorgan Chase & Co
• Morgan Stanley
• UBS AG

Revisando las listas de donantes a las campañas previas a senador de Obama y McCain, aparecen los mismos actores, con el añadido de la recientemente presentada en bancarrota Lehman Brothers.

¿Quiénes son estos señores? Bancos. Pero no cualquier banco, son los principales actores detrás de la Reserva Federal de los EE.UU. La Reserva Federal, el “Fed”, fue creada en el año 1913 por la presión de los banqueros privados y desde entonces es manejada por estos mismos para regular la emisión y el flujo de dinero (teniendo un control casi total sobre la inflación y las tasas de interés). En resumen: son los dueños del dinero (y no sólo por tenerlo, son quienes lo fabrican).

Esto es una clara muestra de que, detrás de ambos candidatos, se encuentran los mismos intereses económicos. Algo que me llama mucho la atención es que, por el simple hecho del color de la piel del candidato, los EE.UU. ahora parecen gozar de un crédito abierto en la confianza del resto del mundo (como si Colin Powell y Condoleezza Rice no fuesen negros).

¿Hasta cuándo seguiremos creyendo en milagros promovidos por los medios?

Aunque en la nota del diario dice, correctamente, que el ministro de Justicia es Aníbal Fernández, en el subtitulado de la nota del canal de noticias TN (integrante del mismo multimedio), dice que el ministro se llama Alberto Fernández (polémico ex Jefe de Gabinete, que renunciara a raíz del conflicto con el campo).

Me pregunto, ¿son brutos o malintencionados? Cualquiera escribe cualquier cosa y nadie se molesta en revisarla, o hay (como más de una vez) alguna maniobra oculta detrás de estos errores aparentes?

Revisando la presentación de la charla, recordé un artículo anterior del mismo autor titulado: “Every breath you take…” (aludiendo a la famosa canción del grupo británico The Police), el cuál reproduzco a continuación. Aunque fue escrito en el año 2003, no ha perdido vigencia. Para leer y meditar un buen rato…

Nota: También puede descargar este artículo en los siguientes formatos:

• Formato HTML (sin decoraciones)
• Formato PDF

Every breath you take…

Tecnología de información y control social

Enrique A. Chaparro ¹

Every breath you take
Every move you make
Every bond you break
Every step you take
I’ll be watching you
–The Police

Necesaria introducción

Extrañas circunstancias éstas para escribir un artículo sobre las relaciones entre tecnología y sociedad. O, más bien, sobre las relaciones entre nuestro pequeño sector de la ciencia y la tecnología y la sociedad en su conjunto. Algún misterioso optimismo, probablemente heredado de la esperanzadora (pero ingenua) visión kantiana de “progreso”, nos ha llevado a creer en los efectos benéficos de la tecnología o, a lo sumo, en su neutralidad. Me gustaría explicarle eso a la pequeña Safa Karim, de once años, quien al momento de escribirse esto yacía en el hospital al-Kindi de Bagdad con el estómago perforado por metralla de una bomba “inteligente” estadounidense, y que habrá muerto una muerte anónima para cuando usted, lector, vea este artículo. Me gustaría poder explicar por qué los últimos escasos noventa años de la historia humana hemos asistido al desarrollo más extraordinario de la ciencia y la técnica, y al mismo tiempo descendido a los niveles más repugnantes de barbarie (sírvanme para ello de testigos Auschwitz, Dresden, Hiroshima…) Me gustaría poder creer que la raza humana ha evolucionado de modo tal que concede mayor libertad a cada uno de sus miembros. Me gustaría decir que la profecía orwelliana del Hermano Mayor sólo pertenece a la ficción y es irrealizable.

Así pues, he comenzado a escribir este artículo cuatro veces, y otras tantas lo he recomenzado desde cero. Hasta que tomó esta forma actual. No un paper característico, plagado de correctísimas citas en el formato prescripto por la AMS (de hecho, apreciado lector, hay suficientes motores de búsqueda en la Internet como para que Ud. pueda encontrar por sí mismo las referencias). Tampoco una reflexión sobre las promesas, cumplidas y fallidas, de la tecnología de información. Pretende ser un originador de controversias y reflexiones acerca del presente estado de crisis de la presuntuosamente llamada “Sociedad de la Información” frente a la sociedad real; pretende instalar el debate, no saldarlo. Le queda a usted, lector, la tarea no trivial de analizarlo y, si fuera posible, devolver sus comentarios al autor.

Zeitgeist

Ciñéndonos ahora a nuestro rinconcito de la ciencia y la tecnología, resulta evidente la existencia de una crisis profunda. Por un lado, en las últimas dos décadas hemos asistido al proceso de creación colectiva más impresionante que la humanidad haya visto: la Internet. Seiscientos millones de personas están conectadas a la “red de redes”; y, al mismo tiempo, al menos la mitad de la humanidad jamás ha usado un teléfono. Y aún para el resto de la humanidad “no conectada”, la influencia decisiva de los sistemas de información como formadores de identidad pública es insoslayable: la existencia “legal” de un ser humano, su patrimonio, y en buena medida su destino dependen de registros y procesos informatizados.

Nunca como ahora ha resultado más sencillo difundir las ideas, el conocimiento, el arte; y paradojalmente, se diseñan trabas legales y técnicas cada vez más restrictivas para evitar esa libre circulación. Un puñado de corporaciones pretende convertir el espacio multilateral de la Internet en espacios unilaterales de pocos productores oligopólicos y muchos consumidores aborregados. El Hermano Mayor puede escrutar nuestra correspondencia, rastrear cada uno de nuestros movimientos, cambiar la historia o decretarnos “unpersons”. Las grandes corporaciones de software, potenciadas por el “efecto de red” y con la indispensable cooperación de la coerción estatal subvertida en beneficio privado, obtienen tasas de ganancia insultantes²; en tanto, el consumidor de estos productos se halla sujeto por contratos leoninos que llegan a permitir a aquellas tomar control total de los equipos informáticos de éste.

Rastros de la tormenta

A esta altura, estimado lector, usted se estará preguntando si el autor no ha entrado en un frenesí apocalíptico. Le aseguro que no; algunos ejemplos de esas afirmaciones se incluyen más abajo. Otros casos quedan como ejercicio intelectual para usted. Pero, mientras tanto, hagamos un pequeño experimento: en la lista siguiente, haremos apenas una docena de afirmaciones aparentemente ridículas; tómelas como una adivinanza, y luego veremos las respuestas:

1. Un programador va preso, esposado e incomunicado, por escribir un programa que no viola ninguna ley en su país.
2. Usted puede sufrir pena de prisión si hace para su hijo una copia adicional de un CD con un juego que Ud. mismo compró.
3. Una ley impide la investigación independiente en seguridad de los sistemas de información y la ingeniería inversa.
4. La misma ley se usa para impedir la fabricación competitiva de cartuchos para impresoras.
5. Otra ley obliga a los bibliotecarios a informar a un organismo policial acerca de los hábitos de lectura individuales.
6. Su correo personal puede ser libremente reproducido y divulgado por el cartero.
7. Usted concede a su proveedor de software, por contrato, el derecho a administrar su máquina cuando y cómo se le dé la gana.
8. Centenares de millones de correos personales son diariamente abiertos e inspeccionados por las agencias de inteligencia de algunos países.
9. Usted compra un disco compacto musical. Cuando intenta escucharlo, este arruina intencionalmente su reproductor.
10. Una pieza de software permite a los vendedores de programas decidir qué es lo que usted puede instalar en su propia computadora.
11. Usted compra derechos de uso de cierto software, y paga además cargos anuales de soporte. Se descubre una falla garrafal de seguridad en ese software, debida a negligencia del productor. Su única solución es obtener una nueva versión del software… pagándola, por supuesto.
12. Una persona es condenada a prisión y fuerte multa por vender piezas de repuesto para una máquina fabricada por un tercero. Las piezas no son robadas, ni implican un daño a la salud de los usuarios, ni una estafa a estos.

El lector dirá que estas cosas son imposibles en la democracia, y sólo imaginables en el contexto del nazismo o el stalinismo. ¿Es así? Veámoslo paso a paso:

• Los casos 1, 3 y 4 son aplicaciones de la Digital Millenium Copyright Act de los Estados Unidos; en el primer caso, Dmitry Sklyarov, un programador ruso, fue preso en Estados Unidos, encadenado e incomunicado por haber descubierto (en Rusia) el formato en que un programa de Adobe Corp. almacenaba la información y haber creado (en Rusia) un programa que la ponía en claro.
• El caso 2 es el de la extensión de los derechos de autor al software tal como ha sido vista por la legislación de muchos países, incluyendo Argentina y recientemente Uruguay.
• El caso 5 es una aplicación (actual, vigente, no imaginada) de la Patriot Act de los Estados Unidos.
• El caso 6 es el de las condiciones de uso del servicio Hotmail, y otros de Microsoft; el ISP Xtra de Nueva Zelandia, y probablemente unos cuantos más (Sí, lector, condiciones del contrato que usted acepta, aunque estén encubiertas en un lugar ignoto del sitio web).
• El caso 7 se ve reflejado en los acuerdos de licencia de usuario final (EULA) de Microsoft para, por ejemplo, el último Service Pack de Windows 2000 o el programa Windows Media Player.
• El caso 8 tiene al menos dos representantes conspicuos: la red Echelon, constituida por organismos de inteligencia de Estados Unidos, el Reino Unido, Canadá, Australia y Nueva Zelandia; y el programa Carnivore del FBI.
• El caso 9 corresponde a la tecnología de protección de discos de Sony Corp., que daña los reproductores de CD de las máquinas Apple Macintosh; posteriormente se agregó una advertencia impresa en el disco, aunque el “elaborado sistema de protección” puede ser derrotado con un marcador indeleble de tres pesos. ¿Asistiremos a una prohibición generalizada de los marcadores?
• El caso 10 es el de proyecto Palladium de Microsoft.
• El caso 11 es muy actual, y corresponde a la posición oficial de Microsoft respecto de no proporcionar parches para el sistema operativo Windows NT 4.0 que solucionen una falla grave en la implementación del protocolo RPC.
• El caso 12 no es, como el lector habrá imaginado rápidamente, el del “terrorista” interpretado por Robert DeNiro que reparaba sistemas de aire acondicionado por fuera de la burocracia estatal en la genial película “Brazil” de Terry Gilliam; se trata, en cambio, del caso de David Rocci, que acaba de ser condenado a 5 meses de prisión y 28.500 dólares de multa por vender modchips para Microsoft Xbox.

Si aún le queda alguna duda, lo invito a buscar referencias más detalladas en la Internet.

Génesis y crisis

Pero ¿cómo hemos llegado hasta aquí? Un primer elemento a tener en cuenta es la avidez de las corporaciones y sus desesperados esfuerzos por extraer ganancias aún mayores vendiendo conocimientos, entretenimiento, “contenidos”, objetos inmateriales que podemos englobar bajo el genérico de “derechos de uso”. El software, y los contenidos digitales, son ejemplos característicos de esta familia.

Para una vision más organizada del problema, es necesario dar una rápida pasada por un concepto básico de economía: sólo es suceptible de apreciación económica lo que está sujeto a escasez. Ahora bien, el conocimiento no es escaso, es decir, quien entrega una idea no deja por ello de poseerla, a diferencia de un objeto material. ¿Cómo hacer, entonces, que estos conocimientos adquirieran valor económico? Creándoles valor artificialmente, a través de monopolios sustentados en la fuerza coercitiva del Estado. Estos monopolios se engloban bajo la denominación genérica de “propiedad intelectual” y comprenden tanto los derechos de copia (copyright) como las patentes. Algunas de las doctrinas económico-jurídicas subyacentes en la creación de estos monopolios sostienen que esto garantiza una justa remuneración por el trabajo de los autores, aunque con ello olvidan que el copyright generalmente pertenece a los editores. Tome el lector al azar algunos libros de su biblioteca y verifique a quién está asignado el copyright. Otros sostienen que el copyright funciona como protección de la inversión que el editor realiza para difundir la obra y, generando una perspectiva de ganancia, como aliciente para difundir cada vez más obras entre el público. Otras doctrinas, en el plano de las patentes, sostienen que la perspectiva de ganancia por la explotación exclusiva y por tiempo limitado de la idea funciona como un motor para alentar la información. Debe considerarse también que el copyright, al menos en sus inicios, cumple una función adicional: permitir la censura estatal. Al otorgar el “privilegio real” sólo a editores autorizados, el Estado podía determinar límites a los contenidos de lo que se difundía por un medio tan extraordinariamente poderoso como entonces era la palabra impresa.

Analicemos primero los esquemas de copyright. Estos funcionaron razonablemente hasta hace poco tiempo. En efecto, los autores obtenían remuneración por su trabajo (no siempre adecuada, valga decirlo), los editores obtenían ganancias, el público se beneficiaba por la difusión masiva de conocimiento y, claro, el Estado podía establecer ciertos controles materiales sobre qué se publicaba. Adicionalmente, los derechos de exclusividad se otorgaban con límite temporal razonable. La industria del software, bastante reciente puesto que la distribución de software “enlatado” no tiene más de treinta años, se coló en este sistema³; e irrumpió tan fuerte que la inclusión del amparo de copyright para el software es conditio sine qua non para que se permita a un país ingresar en la Organización Mundial del Comercio⁴.

Pero todo este edificio se vino abajo con la aparición y popularización de los medios digitales. El costo de reproducir conocimiento se hizo trivial, y dejó de requerir capacidad industrial. La accesibilidad de la Internet hizo posible el intercambio casi instantáneo de información, sin importar las distancias. Con recursos relativamente limitados, cada ciudadano puede convertirse en difusor eficiente de conocimiento, al costo de unos pocos centavos y, a diferencia del copista de la Edad Media, a una increíble velocidad de reproducción.

Esta transformación sustantiva en la capacidad de reproducción del conocimiento provoca una situación de crisis extrema, por la que estamos atravesando. En efecto, los editores ya no pueden garantizar sus tasas de ganancia, los autores no saben qué remuneración podrán esperar, y los Estados ya no pueden evitar la circulación masiva de conocimiento cuya divulgación no desean. Al mismo tiempo, la “industria del entretenimiento”, preocupada desde hace tiempo por garantizar sus flujos de ganancia, ha presionado a los gobiernos para extender los límites temporales del monopolio. Los plazos de exclusividad se han ido extendiendo constantemente durante los últimos veinte años, mediante modificaciones legislativas, en su mayoría inspiradas en los acuerdos de la Organización Mundial de la Propiedad Intelectual (WIPO); aunque, justo es decirlo, la industria del software no ha participado activamente en este lobby por la extensión de los plazos de exclusividad (después de todo, al menos por ahora no hace mucha diferencia proteger un programa por cincuenta o por setenta años).

Desde luego, es necesario garantizar de alguna forma la remuneración del trabajo intelectual; resulta de estricta justicia que los autores reciban una compensación por la contribución que realizan al conjunto de la sociedad. Pero la presente crisis muestra que los mecanismos de copyright, y las exageraciones en curso, no resultan la construcción más adecuada para garantizar estas compensaciones.

En cuanto a las patentes, la situación no es más alentadora. Las patentes de invención surgen en los textos constitucionales modernos (a partir de la Constitución de los Estados Unidos, 1787⁵) como mecanismo de aliento al desarrollo, concediendo a los inventores el derecho a la explotación exclusiva de su hallazgo por un tiempo limitado. Pero mucha agua ha corrido bajo los puentes. Las fuerzas combinadas de varias industrias (química, biotecnología, software) han impulsado, en particular en los Estados Unidos, extensiones del alcance interpretativo de lo “inventable” a extremos tales que procesos inmateriales, algoritmos matemáticos o cosas existentes en la naturaleza se han vuelto patentables. Se conceden patentes a obviedades, sin análisis del arte previo, sin asomo de racionalidad, y hasta sin revisión previa⁶.

Un buen número de analistas sostiene que, a la larga, esta voracidad por la apropiación de derechos sobre el conocimiento logrará el resultado exactamente inverso al que se proponía como motor inicial de la legislación al respecto, es decir, terminará por frenar y disuadir los esfuerzos creativos, y conducirá a controles oligopólicos. Con ello, no hacen más que recordar lo que ya hace más de cincuenta años señalaba Friederich Hayek (a quien nadie podrá acusar de anticapitalista)⁷: que las patentes y el copyright extienden indebidamente la propiedad privada y alientan el crecimiento de monopolios⁸

La ofensiva

En esta situación de tensión, se desarrolla una ofensiva por parte de las corporaciones que controlan “contenidos”. Esta ofensiva tiene dos frentes de ataque, el legal y el tecnológico, donde la acción de estos grupos de poder es claramente visible. Y un tercero, más sutil, en el que estos mismos grupos de poder han logrado la alianza de sectores de intereses contrapuestos, perfumado con el aroma a santidad de las buenas intenciones: la “inclusión digital”. En el frente legal, se impulsan leyes y tratados que limitan los derechos del usuario, convierten en delito la investigación independiente en seguridad informática y la ingeniería inversa⁹, imponen tasas absurdas sobre los medios de almacenamiento¹⁰, y recurren al poder coercitivo penal del estado como forma de solución de conflictos que pertenecen totalmente a la esfera del Derecho Civil.

En el plano técnico, se diseñan constantemente nuevos mecanismos de control, puestos bajo el pomposo título de Digital Rights Management (DRM)¹¹. Entre estos se destacan especialmente los destinados a limitar la ejecución de software en los sistemas de los usuarios sólo a programas “autorizados”. Esto resultaría razonable, aunque perogrullesco, si el que concede la autorización fuese el usuario; pero en la realidad, esta autorización depende de los productores de software. El más notorio de estos proyectos es Palladium (ahora denominado NGSCB) de Microsoft; a pesar de los esfuerzos de relaciones públicas y marketing que pretenden disociar Palladium de cualquier fin de DRM o de cautividad (lock in) de los usuarios, resulta evidente que estos son los únicos propósitos de la iniciativa¹².

Estas iniciativas de control se vinculan con otras, menos espectaculares tal vez, pero cuyas amenazas para las libertades públicas no son menos terribles. Por ejemplo, los procesos de identificación/atribución de identidad, actividad típica de los Estados nacionales, se suplantan en la red por mecanismos invasivos como MS Passport.

Para ensombrecer más el panorama, se nos bombardea constantemente con declaraciones sobre la “brecha digital” y la necesidad de “incluir” a sectores mayores de la sociedad. Estas declaraciones provienen no sólo de las megacorporaciones (lo que las tornaría al menos sospechables a los ojos de cualquier oyente sagaz), sino también de gobiernos y organizaciones multilaterales y no-gubernamentales de los más diversos tipos. Coincidirá conmigo, lector, en que la falta de acceso a los medios digitales amenaza en constituirse en una nueva forma de analfabetismo. Sin embargo, espero que coincida conmigo también en estas dos observaciones:

• La llamada “exclusión digital” es una consecuencia más de la pobreza, en un mundo en que el reparto de la riqueza se ha tornado más ferozmente inequitativo que nunca antes en la historia.
• No es posible combatir la pobreza repartiendo computadores: su valor proteínico es bastante discutible.

Detrás de la pretendida inclusión digital, la agenda oculta de las corporaciones que pretenden el control de los contenidos es el aumento de una clientela cautiva; para lo cual, claro, hay que garantizar que esa clientela pague tributo por los contenidos que recibe, y allí entran las medidas legales y técnicas de las que hablábamos más arriba. Una clientela de consumidores pasivos de “información y entretenimiento”, abastecidos por una élite concentrada de proveedores de “contenidos” y de los medios necesarios para obtenerlos. Pero… ¿por qué organizaciones y gobiernos, cuyas agendas en principio no coinciden con la de estas corporaciones, aparecen en el mismo barco? Las razones son complejas: en algunos casos, el árbol del potencial analfabetismo les ha impedido ver el bosque de las causas reales y las intenciones ocultas; en otros, el poder económico y político de las corporaciones ha generado la suficiente presión; y en el resto, finalmente, existen coincidencias objetivas o beneficios mutuos.

No crea el lector que sostengo alguna nueva forma de luddismo. Estoy convencido de que extender los beneficios de las tecnologías de información a un número cada vez mayor de personas contribuirá a gestar una sociedad más justa, si y sólo si esta extensión amplifica el valor de la libertad; pero cualquier tentativa de inclusión limitada a reproducir y profundizar el modelo “pocos producen / muchos consumen” es un paso más hacia la pesadilla orwelliana.

Es precisamente en esta pretensión de control total a la manera del Hermano Mayor en que (algunos) aparatos estatales entran en escena. Porque una vez instalada la infraestructura legal y tecnológica de DRM, convertirla de gestión de derechos digitales en gestión de derechos políticos es una simple movida. El mismo programa que hoy puede impedir que usted descargue de la red una copia ilegal de una canción, o borrarla de su disco rígido cuando ya está almacenada, puede servir mañana para impedirle el acceso a fuentes de información independiente¹³, o rastrear a cualquiera que firme una petición contra la guerra. En un contexto histórico en que las fronteras entre los intereses de las corporaciones y los de los gobiernos de las naciones más poderosas se borran¹⁴, esta pesadilla no es sólo posible, sino también probable. Además de las constantes escuchas ilegales de las comunicaciones en la red, ciertos gobiernos impulsan medidas legislativas para el control y registro detallado de los hábitos de sus ciudadanos en el ciberespacio; y lo que se hace en las grandes potencias se reproduce, en servil imitación, en la periferia del mundo¹⁵.

Hace veinte años, el grupo The Police escribía la canción que da título a este artículo. Seguramente el lector la ha escuchado. Si alguna vez creyó que se trataba de una canción romántica, vuelva a escucharla ahora.

Resistiendo

¿Estamos, pues, en una situación sin esperanza? Déjeme compartir con usted, lector, una reflexión del historiador, periodista y combatiente antifascista italiano Leo Valiani¹⁶. El la hizo para sintetizar sus impresiones sobre el Siglo XX, pero me parece perfectamente aplicable a estas circunstancias: “Nuestro siglo muestra que la victoria de los ideales de justicia e igualdad es siempre efímera, pero también que si logramos preservar la libertad, siempre podremos empezar de nuevo… No hay necesidad de desesperar, aún en las situaciones más desesperadas.”

Porque, pese a todo, los humanos somos huesos duros de roer. Porque donde una red peer-to-peer desaparece, aparecen como hongos otras nuevas. Porque donde la industria del software intenta bloquear a los usuarios, el movimiento del software libre genera instrumentos sustitutivos con un modo de producción diferente. Porque donde los medios concentrados intentan disfrazar la información, surgen cada vez más medios alternativos. Todo estriba en preservar la libertad. Ahora, lector, la tarea es también suya.

Sobre este documento…

Este material puede ser distribuido exclusivamente bajo los términos y las condiciones que se establecen en la Open Publication License, v1.0.

Notas al pie

… Chaparro¹

Fundación Vía Libre – Argentina echaparro@vialibre.org.ar

… insultantes²

No se me ocurren otros adjetivos, fuera de lo soez, para calificar los márgenes de utilidad del orden del 560% que obtiene Microsoft Corp. por sus sistemas operativos y suite de oficina. El lector interesado podrá consultar las presentaciones trimestrales detalladas de esa empresa a la Securities and Exchange Commision.

… sistema³

Deberíamos decir “se coló por la ventana”. En efecto, para obtener la protección legal del copyright para las demás producciones intelectuales, es necesario depositar el código fuente (el texto, la partitura); el software está relevado de esta obligación. Con ello, además, la función de protección contra el plagio implícita en los registros de derechos de autor se volatiliza.

… Comercio⁴

TRIPS Agreement, Artículo 10.

… 1787⁵

Artículo 1, Sección 8, Cláusula 8: “The Congress shall have Power … To promote the Progress of Science and useful Arts, by securing for limited Times to Authors and Inventors the exclusive Right to their respective Writings and Discoveries”

… previa⁶

Para demostrar la ridiculez de este sistema un abogado australiano, John Keogh, patentó un “Dispositivo Circular que Facilita la Locomoción”: la rueda. Innovation Patent #2001100012.

… anticapitalista)⁷

Uno de los autores favoritos de los políticos neoconservadores de la década de 1980, como los que “daban letra” a Margaret Thatcher o Ronald Reagan. Lamentablemente, parece que sólo lo leyeron parcialmente.

… monopolios⁸

Hayek, F.A.: “Free Enterprise and Competitive Order” en Individualism and Economic Order, Routledge and Kegan Paul, Londres, 1949, pp.113-115

… inversa⁹

Un ejemplo local de esto, para peor redactado a los tropezones como fulgurante muestra de ignorancia, es el proyecto de ley sobre delitos informáticos aprobado recientemente por la Cámara de Diputados de la Nación. Con la excusa de legislar en un campo que indudablemente necesita definición legal, se convierten en delictivas conductas perfectamente legítimas. SADIO, en un gesto destacable, se ha pronunciado duramente contra este proyecto.

… almacenamiento¹⁰

Imagine el lector lo ridículo que resultaría aplicar una tasa al papel en blanco, cuyo producido se destinase a los editores de libros, puesto que ese papel sirve potencialmente para obtener fotocopias. Sin embargo, en varios países existen o están en discusión tasas por el estilo aplicables a todos los CDs y DVDs vírgenes.

… (DRM)¹¹

Cabe señalar que así como se crean, son quebrados al poco tiempo de lanzados. Un notable especialista en seguridad de sistemas de información, Bruce Schneier, decía no hace mucho que “pretender información digital incopiable es como pretender agua que no moje”.

… iniciativa¹²

Para un análisis detallado, remito al lector a la página sobre el particular de Ross Anderson en http://www.cl.cam.ac.uk/~rja14/tcpa-faq.html y los enlaces a los que ella apunta.

… independiente¹³

No exagero, y mas bien me quedo corto. Los ciudadanos de la República Popular China no pueden acceder a ciertos contenidos en la Internet que el gobierno considera “inapropiados”. Para impedir estos accesos, el gobierno cuenta con la colaboración de corporaciones como Cisco y Google.

… borran¹⁴

Bástenme para muestra las historias de presidentes petroleros con accesos mesiánicos, y buques tanque bautizados “Condoleeza”.

… mundo¹⁵

No hace mucho, en una reunión pública, he escuchado al diputado que preside la Comisión de Comunicaciones e Informática de la Cámara de Diputados de la Nación pronunciarse en favor de mecanismos que permitan retener información sobre acceso de los usuarios a la Internet. Esta opinión surgió a partir de expresiones de un funcionario de la Policía Federal, quien “lamentaba” la carencia de instrumentos legales que permitieran la investigación de delitos informáticos mediante el registro del tráfico generado por los usuarios de la Internet.

… Valiani¹⁶

Leo Valiani nació en 1909. Fue preso político del fascismo, luchó por la República en España, fue dirigente de la Resistencia italiana, periodista, historiador, fundador del Partido Radical, senador vitalicio desde 1980 (designado por su viejo amigo y compañero de lucha Sandro Pertini). Murió en Milán el 17 de septiembre de 1999.

Sobre el autor

Enrique Chaparro es matemático y especialista en criptografía y seguridad, con títulos de la Universidad de Buenos Aires (Argentina), la Universidad de Waterloo (Canadá) y la Universidad de Londres (UK). Es miembro de la Asociación Internacional de Criptografía, del Comité Técnico del IEEE sobre Seguridad y Privacidad, y de la Fundación Vía Libre. Es consultor para el Banco Interamericano de Desarrollo y el Programa de Desarrollo de las Naciones Unidas. Ha tomado parte en diversos proyectos legislativos para el uso de Software Libre en los gobiernos de Argentina, Colombia y Perú, y es responsable por la incorporación de software libre en diversas agencias gubernamentales de Argentina.

A pesar de que nada tengo que ver con Genexus, mi amigo Gabriel Medina (un verdadero gurú de dicha herramienta) me invitó a participar de dicho evento, dando una charla relacionada con el Software Libre.

Imagínense… un “outsider” del mundo Genexus, como yo, dando una charla sobre Software Libre en un evento de usuarios de una herramienta privativa (del cual participaron también empleados de la empresa que la desarrolla y la comercializa). Pero no sólo sobreviví, sino que también lo pasé muy bien.

La charla

Decidí abordar la charla desde la siguiente perspectiva: Presentar el software libre, su definición y analizar muy brevemente las distintas licencias existentes. Luego, mostrar casos paradigmáticos de empresas que, por diversos motivos, basan su modelo de negocio (o parte de él) en software que se distribuye bajo licencias libres. De esta manera, mi intención fue mostrarles que es posible “ganar dinero” con el software libre, desde la perspectiva de la empresa que lo desarrolla y distribuye.

Al finalizar la charla, pedí a los presentes (la gran mayoría, programadores) que levantaran la mano aquellos a quienes les gustaría que Genexus fuera “libre”. Mi siguiente pregunta fue dirigida a quienes no levantaron la mano: ¿Por qué no?

Deliberadamente había dejado fuera de la presentación las numerosas ventajas que el Software Libre ofrece a los desarrolladores. Luego de mi pregunta se planteó un breve debate, en donde el principal punto de discusión fue “¿De qué va a vivir Artech?” (la empresa productora de Genexus). Precisamente, aclaré, de eso se trató esta charla: mostrar que existe otro modelo, que no se basa en la venta de licencias de uso de los programas.

Software Libre: Un modelo de desarrollo y distribución de software con ventajas para (casi) todos

• Presentación en formato PDF
• Presentación en formato ODP (OpenOffice.org)

Algunas fotos y algo más…

Aquí estoy con Gabriel Medina (izquierda) y Germán Rampo (derecha). Germán fue uno de los organizadores, quienes hicieron todo lo posible por que estuviéramos totalmente a gusto. ¡Y vaya si lo lograron!

Aquí estamos los 3 viajeros de Río Cuarto: Gabriel, Silvina y yo. Dificilmente olvidaremos un viaje más que divertido (toda una aventura esquivando piquetes, tomando mates, comiendo chocolates y discutiendo sobre los temas más variados).

Aquí estoy tratando de hacerme entender. (De por sí, dificil tarea. Imaginen con una sola mano libre.)

Los participantes (organizadores, disertantes y asistentes) del encuentro en pleno.

Claro que los organizadores tienen muchas más fotos.

Agradecimientos

A los organizadores: Germán y Martín Rampo, Carlos Lucatti y Elías Eblagón. Nos atendieron en todo momento. Nos llevaron, trajeron… alimentaron y saciaron nuestra sed. Gente grossa, de verdad.

A los uruguayos: Gabriel Icasuriaga (Masternet), Cristhian Gomez (Urulinux), Javier Cruchaga (Franja) y Daniel Monza. Unos tipazos, discutimos, conversamos, tomamos cerveza, intercambiamos ideas. Hasta quedó pendiente alguna invitación a Uruguay a comer un “lomo”. Un placer conocer a gente como ellos. (Además, son la “task force” que promueven el uso y la creación de software libre en el ambiente de Genexus).

A Gabriel: Gracias a él pasé unos días excelentes, disfruté de un viaje reparador y conocí a todas estas personas (¡y no nos frenó ningún piquete!). Te pasaste, Gab.

A Silvina: No sólo me acompañó en este viaje, sino que fue un apoyo invaluable en la preparación de la charla y una compañía única paseando por las calles de Rosario (de compras, haciéndonos caricaturas, tomando licuados y haciendo una siesta en un sillón de alguna galería del centro…).

Ruby: “Orientación a Objetos” y algo más…

• Presentación en formato PDF
• Presentación en formato ODP (OpenOffice.org)

Bueno, ¡no podía faltar una foto! ;)